Конфиденциальность - отслеживание исходящих запросов AJAX расширения Chrome

Question

Конфиденциальность - отслеживание исходящих запросов AJAX расширения Chrome

Есть ли какой-нибудь возможный способ отследить исходящее сетевое общение расширения Chrome с веб-сайта?

Предположим, что расширение Chrome 'content script' отправляет AJAX-запросы на сервер по указанному IP-адресу для создания собственной аналитики. Это расширение работает в браузере, в то время как пользователь просматривает различные веб-сайты.

Есть ли возможность для этих сайтов отслеживать, что делает расширение (что открывает AJAX) или куда оно отправляет данные? (На какой IP пытался отправить AJAX-запрос)

ОБНОВИТЬ

Чтобы быть ясным, мне интересно узнать о способностях отслеживания независимого стороннего сайта, а не пользователя расширения.

ОБНОВИТЬ

Дополнительные пояснения: расширение отправляет запрос на сервер, не связанный с серверами / веб-сайтами, которые просматривает пользователь.

ПРИМЕР

Пользователь просматривает Youtube и Facebook ежедневно. Это расширение отправляет запросы AJAX на сервер хранения, где хранятся посещенные URL-адреса пользователя. ( Youtube и Facebook). Я хотел бы знать, знает ли Facebook, что это расширение делает это, и каков IP-адрес сервера хранения?

0

javascript ajax google-chrome google-chrome-extension privacy

Источник

user2445219 21 июл '16 в 08:41

2 ответа

Решение

Может быть, это излишне, но вы можете попытаться прослушать свой собственный трафик с помощью Wireshark (или любой другой программы) и посмотреть на запросы. Если они используют https, все будет сложнее, и вам придется расшифровывать трафик.

0

Источник

user6618229 21 июл '16 в 08:45

Другие вопросы по тегам javascript ajax google-chrome google-chrome-extension privacy

user934239 21 июл '16 в 09:45 2016-07-21 09:45 · Accepted Answer · 2016-07-21 09:45

В основном нет, из-за концепции изолированного мира. Акцент мой:

Сценарии содержимого выполняются в специальной среде, называемой изолированным миром. У них есть доступ к DOM страницы, в которую они внедрены, но не к каким-либо переменным или функциям JavaScript, созданным этой страницей. Каждый скрипт содержимого выглядит так, как будто на странице, на которой он запущен, нет другого JavaScript-кода. То же самое верно и в обратном: JavaScript, запущенный на странице, не может вызывать какие-либо функции или обращаться к любым переменным, определенным скриптами содержимого.

Так что, если вы хотели сделать что-то вроде переопределения XMLHttpRequestэто не сработает, так как у скрипта контента есть "безопасная гавань", к которой вы не можете прикоснуться.

И это еще до того, как появилась возможность делегировать сетевые операции фоновому сценарию, который имеет совершенно другое происхождение.

Из этого есть исключение: расширение может иногда вводить код непосредственно в контекст страницы. Тогда он сосуществует с веб-сайтом JavaScript, и теоретически можно шпионить за другим. На практике, однако, расширение может выполнить свой код до того, как какой-либо из кодов веб-сайта сможет среагировать, и, следовательно, скрыть / защитить себя от вмешательства.