LinkedIn ने 2,953 ब्राउज़र एक्सटेंशनों की जांच की

 (github.com/mdp)
1 पॉइंट द्वारा GN⁺ 2026-02-06 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • LinkedIn वेबसाइट हर बार पेज लोड होने पर 2,953 Chrome extensions की मौजूदगी का पता लगाती है
  • यह repository उन सभी extension IDs, नामों और Chrome Web Store links को दस्तावेज़ित करती है जिन्हें LinkedIn जांचता है
  • पूरे extensions में से लगभग 78% Chrome Web Store से, और लगभग 22% Extpose के ज़रिए पहचाने गए
  • दी गई script (fetch_extension_names.js) अपने-आप extension नाम इकट्ठा करती है, और हटाए गए extensions के लिए Extpose से वैकल्पिक lookup करती है
  • यह डेटा वेबसाइटों द्वारा उपयोगकर्ता के ब्राउज़र extensions की पहचान करने की प्रक्रिया के पैमाने को दिखाता है

LinkedIn Chrome Extension Fingerprinting

  • LinkedIn हर page load पर 2,953 Chrome extensions को चुपचाप जांचता है
    • यह प्रक्रिया उपयोगकर्ता के ब्राउज़र में इंस्टॉल extensions की पहचान करने के लिए fingerprinting के रूप में की जाती है
  • इस repository में LinkedIn द्वारा जांचे जाने वाले सभी extensions की सूची और संबंधित tools शामिल हैं
    • chrome_extensions_with_names_all.csv फ़ाइल में extension ID, नाम, और Chrome Web Store या Extpose link व्यवस्थित रूप से दिए गए हैं

डेटा संरचना

  • डेटा फ़ाइल में Extension ID, Name, और URL नाम के तीन columns शामिल हैं
    • Extension ID 32-अक्षरों का identifier है, और URL Chrome Web Store या Extpose link की ओर जाता है
  • पूरी सूची chrome_extensions_with_names_all.csv फ़ाइल में देखी जा सकती है

स्क्रिप्ट

  • fetch_extension_names.js Chrome Web Store से extension नाम लाती है, और अगर extension हटाया जा चुका हो या उपलब्ध न हो तो Extpose के ज़रिए वैकल्पिक lookup करती है
    • command उदाहरण: node fetch_extension_names.js, node fetch_extension_names.js --offset 0 --limit 500
  • test_fetch.js पहले 3 extensions को प्रोसेस करती है, और verbose मोड में टेस्ट की जा सकती है

आँकड़े

  • LinkedIn की fingerprint सूची में कुल 2,953 extensions शामिल हैं
  • इनमें से लगभग 78% Chrome Web Store से, और लगभग 22% Extpose के ज़रिए पहचाने गए

स्रोत फ़ाइलें

  • chrome_extension_ids.txt : LinkedIn के fingerprint.js से निकाली गई raw extension IDs की सूची
  • fingerprint.js : LinkedIn पेज में शामिल extension detection script (संक्षिप्त संस्करण)
  • fetch_extension_names.js : extension नाम अपने-आप इकट्ठा करने वाली सहायक script

सारांश

  • LinkedIn बड़े पैमाने पर ब्राउज़र extension जानकारी की जांच कर रहा है,
    और यह repository उसकी पूरी सूची और संग्रह विधि को पारदर्शी रूप से सार्वजनिक करती है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-02-06
Hacker News की टिप्पणियाँ

  • Firefox इस मुद्दे से immune लगता है
    Chrome एक्सटेंशन के web accessible resources को chrome-extension://[PACKAGE ID]/[PATH] फ़ॉर्म में एक्सपोज़ करता है,
    जबकि Firefox में एक्सेस moz-extension://<extension-UUID>/myfile.png फ़ॉर्म में होता है।
    यहाँ <extension-UUID> हर ब्राउज़र में randomly generate होता है ताकि साइट इंस्टॉल किए गए एक्सटेंशनों के ज़रिए ब्राउज़र का fingerprinting न कर सके
    संबंधित दस्तावेज़: Chrome documentation, Firefox documentation

    • कहते थे कि 5% से कम market share वाला ब्राउज़र इस्तेमाल करोगे तो modern web technologies छूट जाएँगी, लेकिन उल्टा इसमें ऐसा security advantage है — यह विडंबनापूर्ण है
    • कभी-कभी मेरे कंप्यूटर का fan पागलों की तरह घूमने लगता है, और ज़्यादातर मामलों में वजह LinkedIn टैब खुला हुआ Firefox होता है। सोचता हूँ क्या यह cryptocurrency mining कर रहा है, या बस बहुत inefficient है
    • अगर extension ID हर ब्राउज़र के हिसाब से बदलती है, तो क्या ब्राउज़र की जगह यूज़र खुद identify नहीं होने लगता?
      “इस ब्राउज़र में X, Y, Z एक्सटेंशन हैं” से “यह Jim Bob का ब्राउज़र है” में बदलने जैसा नहीं है?

  • एक्सटेंशन सूची देखने पर ज़्यादातर LinkedIn data scraping या automation से जुड़े एक्सटेंशन दिखते हैं
    LinkedIn में काम करते समय भी ऐसा दुरुपयोग बहुत था, और हमने अंदरूनी detection·prevention systems काफ़ी sophisticated बनाए थे, लेकिन यह कभी खत्म न होने वाली लड़ाई थी

    • अगर LinkedIn ने extension fingerprinting के लिए data source बनाया, तो काफ़ी संभव है कि किसी ने (शायद LinkedIn ने?) Chrome Web Store को scrape किया हो।
      यह Chrome Web Store TOS violation भी हो सकता है
    • सूची देखकर यह बहुत sophisticated नहीं लगती। ऐसा लगता है जैसे सिर्फ़ नाम में “email” वाले एक्सटेंशन फ़िल्टर किए गए हों, और ज़्यादातर के पास linkedin.com access permission भी नहीं है
    • LinkedIn के नज़रिए से यह समस्या हो सकती है, लेकिन असली समस्या data brokering करने वाली LinkedIn जैसी कंपनियाँ हैं
    • कोड से लगता है कि match होने पर यह कुछ करता नहीं, बस नतीजों को CSV में save करता है ताकि उन्हें fingerprint data की तरह इस्तेमाल किया जा सके
    • पहले मैंने एक क्लाइंट के लिए LinkedIn scrape किया था, और वह काफ़ी दिलचस्प अनुभव था

  • Chrome अब नया IE6 लगता है
    Google ने खुद को अगला Microsoft बना लिया है और विज्ञापन-हितैषी दिशा में जा रहा है।
    security improvements से ज़्यादा यह ad blockers को कमजोर करने और malware को चलने देने की तरफ़ योगदान देता दिखता है

    • Chrome spyware है, इस बात से सहमत हूँ, लेकिन यह भी सच है कि Site Isolation और sandboxing जैसी security features सबसे पहले उसी ने अपनाई थीं।
      patches की speed और security testing भी बुरी नहीं है
    • आज का Chrome, IE6 से भी कहीं ज़्यादा बुरा है। Microsoft कम से कम users को track करके ads नहीं बेचता था
    • जो ads को नियंत्रित करता है, वही इंटरनेट को नियंत्रित करता है
    • Google पहले ही monopoly company बन चुका है, और हर monopoly आख़िरकार ऐसी ही हो जाती है
    • अगर 2026 में भी कोई Chrome इस्तेमाल कर रहा होगा, तो वह सच में बहादुर developer होगा

  • LinkedIn खोलकर F12 दबाओ तो error count लगातार बढ़ता रहता है
    screenshot यहाँ देखा जा सकता है

    • अगर X लिंक blocked हो तो xcancel लिंक से भी देख सकते हैं

  • हाल में LinkedIn की extension detection technique और कम side effects वाले दूसरे तरीकों पर एक ब्लॉग पोस्ट लिखी गई थी
    Castle ब्लॉग पोस्ट

    • अगर Firefox को patch करके navigator.webdriver हमेशा false कर दिया जाए, तो remote control संभव हो जाता है।
      इसे detect करना मुश्किल है, लेकिन input speed patterns से फिर भी पकड़ा जा सकता है
    • लेख की सामग्री ठीक इसी विषय से मेल खाती है, इसलिए पढ़ना दिलचस्प था

  • कुछ महीने पहले इस पर एक article लिखा था।
    इसमें बताया था कि यह क्यों संभव है, और रोकथाम के तरीके भी समझाए थे
    article लिंक

    • जिज्ञासा है कि क्या उस लेख में यह भी बताया गया था कि LinkedIn ऐसा क्यों कर रहा है, या सिर्फ़ technical possibility ही समझाई गई थी

  • LinkedIn हाल में बहुत सारे अजीब dark patterns इस्तेमाल कर रहा है

    • Firefox में scroll speed को ज़बरदस्ती बदल देता है
    • mobile web पर प्रोफ़ाइल देखकर back जाने पर हमेशा homepage पर redirect कर देता है
    • analytics URLs random paths के साथ बनाए जाते हैं ताकि blocking से बचा जा सके
      कोई जानता है कि इन हरकतों की वजह क्या है?
    • लगता है LinkedIn contact database industry के साथ खुली जंग लड़ रहा है, इसलिए ऐसी tactics अपना रहा है।
      web crawling से लेकर इंसानों को hired manual work तक, यह विभिन्न defensive strategies इस्तेमाल कर रहा है

  • यह तरीका 2019 से ही जाना-पहचाना था
    Nymeria ब्लॉग पोस्ट

  • LinkedIn जिन एक्सटेंशनों को scan करता है उनकी सूची साफ़ है, लेकिन उससे भी ज़्यादा दिलचस्प वे एक्सटेंशन हैं जिन्हें यह scan नहीं करता
    उदाहरण के लिए “Contact Out” को scan किया जा सकता है, लेकिन LinkedIn का रवैया ऐसा लगता है मानो वह इसे नज़रअंदाज़ कर रहा हो।
    शक होता है कि कहीं कोई अंदरूनी सौदा तो नहीं हुआ
    Contact Out extension लिंक

    • उस extension ने manifest में content-accessible resources घोषित नहीं किए हैं, इसलिए fingerprinting संभव नहीं है
    • दिलचस्प बात यह है कि LinkedIn Claude extension या Dassi AI जैसी चीज़ों को भी block नहीं करता। वजह जानने की उत्सुकता है

  • लिखा है, “यह repository LinkedIn द्वारा inspect किए जाने वाले सभी extensions को document करती है, और उन्हें identify करने के tools देती है,”
    तो जिज्ञासा है कि यह कैसे पुष्टि की गई कि LinkedIn वास्तव में इन IDs को inspect करता है
    और यह भी जानना है कि क्या यह non-Chrome users के लिए भी प्रासंगिक है

    • कुछ हफ़्ते पहले एक vendor ने तकनीकी तौर पर LinkedIn के तरीके का विश्लेषण करने वाली पोस्ट डाली थी,
      और अपनी approach को “ज़्यादा quiet, कम noticeable, और बड़े scale पर चलाने में आसान” बताकर शेख़ी बघारी थी
      Castle ब्लॉग पोस्ट