Firefox 扩展如何通过匿名代理使用 IP 地址?原IP可能暴露?
How Do Firefox Extensions Use IP Address With Anonymous Proxy? Original IP May Be Exposed?
关于 Firefox 扩展连接的研究
我已阅读有关 Firefox Extensions (https://addons.mozilla.org/en-us/faq) 的常见问题解答,并查看了他们的社区论坛以获取信息,但无法找到有关扩展程序实际如何连接和收集您的数据的任何信息。
我找到的最接近的是有关数据收集的 Mozilla Wiki 页面 (https://wiki.mozilla.org/Firefox/Data_Collection),但它只为您提供了基本的选择 in/out 数据收集级别。
我想了解的是:
如果我在 Firefox 中使用手动配置的匿名代理,扩展程序是否可能将我的实际 IP 地址(不是我的代理 IP 地址)发送回第三方?
示例:翻译扩展程序
例如,如果我要使用 Firefox 的 Google 翻译,Google 是否可以看到我的原始 IP?
我在想什么
由于代理是浏览器连接到 Internet 的唯一途径,因此扩展程序必须使用代理 IP 地址进行连接,因此只能看到代理 IP 地址。但是,我很想确保没有后门或扩展程序泄露我的原始 IP 的方式。
非常感谢任何见解。我们没有做任何不道德的事情,我们只需要为不同的客户维护单独的 IP 使用,并且不想冒险混合他们的信息。再次感谢。
Firefox 扩展的功能通常不受限制,只有基于 WebExtensions framework 的扩展才被沙盒化 - 目前大多数 Firefox 扩展仍然是经典的基于 XUL 的扩展或基于 Add-在 SDK 上,这些没有固有的限制。所以理论上扩展可以做很多事情来使你去匿名化,例如:
- Use nsIDNSService in order to retrieve your local IP address(通常,此地址在您的本地网络之外无效)。
- 更改浏览器设置,特别是禁用您配置的代理服务器。
- 使用外部命令行工具读取系统信息或绕过浏览器发送请求。
- 读取硬盘上的文件以找到您的名字。
请注意,Chrome 还提供了一个 API to modify browser's proxy settings extensions,类似的 API 计划用于 WebExtensions。因此,即使沙盒也不能始终防止去匿名化,您需要信任您正在安装的扩展程序。
但是,Addons.Mozilla.Org are usually reviewed by Mozilla (the ones that aren't reviewed yet have a yellow install button and a warning). One aspect that the reviewers look into is: does this add-on do what it claims to do or are there unexpected side-effects? Any unexpected functionality has to be strictly opt-in, with full explanation about the implications. This was introduced in 2009 as the No Surprises policy 上托管的扩展程序运行良好。 Chrome 网上应用店没有任何可比较的政策。
关于 Firefox 扩展连接的研究
我已阅读有关 Firefox Extensions (https://addons.mozilla.org/en-us/faq) 的常见问题解答,并查看了他们的社区论坛以获取信息,但无法找到有关扩展程序实际如何连接和收集您的数据的任何信息。
我找到的最接近的是有关数据收集的 Mozilla Wiki 页面 (https://wiki.mozilla.org/Firefox/Data_Collection),但它只为您提供了基本的选择 in/out 数据收集级别。
我想了解的是:
如果我在 Firefox 中使用手动配置的匿名代理,扩展程序是否可能将我的实际 IP 地址(不是我的代理 IP 地址)发送回第三方?
示例:翻译扩展程序
例如,如果我要使用 Firefox 的 Google 翻译,Google 是否可以看到我的原始 IP?
我在想什么
由于代理是浏览器连接到 Internet 的唯一途径,因此扩展程序必须使用代理 IP 地址进行连接,因此只能看到代理 IP 地址。但是,我很想确保没有后门或扩展程序泄露我的原始 IP 的方式。
非常感谢任何见解。我们没有做任何不道德的事情,我们只需要为不同的客户维护单独的 IP 使用,并且不想冒险混合他们的信息。再次感谢。
Firefox 扩展的功能通常不受限制,只有基于 WebExtensions framework 的扩展才被沙盒化 - 目前大多数 Firefox 扩展仍然是经典的基于 XUL 的扩展或基于 Add-在 SDK 上,这些没有固有的限制。所以理论上扩展可以做很多事情来使你去匿名化,例如:
- Use nsIDNSService in order to retrieve your local IP address(通常,此地址在您的本地网络之外无效)。
- 更改浏览器设置,特别是禁用您配置的代理服务器。
- 使用外部命令行工具读取系统信息或绕过浏览器发送请求。
- 读取硬盘上的文件以找到您的名字。
请注意,Chrome 还提供了一个 API to modify browser's proxy settings extensions,类似的 API 计划用于 WebExtensions。因此,即使沙盒也不能始终防止去匿名化,您需要信任您正在安装的扩展程序。
但是,Addons.Mozilla.Org are usually reviewed by Mozilla (the ones that aren't reviewed yet have a yellow install button and a warning). One aspect that the reviewers look into is: does this add-on do what it claims to do or are there unexpected side-effects? Any unexpected functionality has to be strictly opt-in, with full explanation about the implications. This was introduced in 2009 as the No Surprises policy 上托管的扩展程序运行良好。 Chrome 网上应用店没有任何可比较的政策。