LinkedIn 檢查 2953 個瀏覽器擴充功能

背景

這份研究揭露了 LinkedIn 網站透過腳本偵測使用者瀏覽器中是否安裝了特定的 2953 個擴充功能。該技術利用了瀏覽器中「可存取網頁資源」（Web Accessible Resources）的特性，透過嘗試載入擴充功能內部的特定檔案路徑，來判斷該功能是否存在於使用者的瀏覽器中。

社群觀點

在 Hacker News 的討論中，社群對於 LinkedIn 這種行為的動機與技術細節展開了激烈的辯論。許多開發者指出，這份清單並非隨機挑選，而是高度集中在自動化開發、數據抓取、銷售開發（Sales Intelligence）以及招聘工具。這顯示 LinkedIn 的主要目的很可能是為了防止平台數據被第三方工具大規模抓取，或是為了打擊那些繞過 LinkedIn 付費服務（如 Recruiter 帳號）的自動化行銷行為。部分留言者認為，LinkedIn 作為微軟旗下的數據巨頭，本身就在進行大規模的跨站追蹤與數據收集，卻反過來嚴厲打擊第三方抓取行為，這種「只許州官放火」的立場顯得相當虛偽。

在技術層面上，社群對瀏覽器的安全性防護表達了擔憂。雖然有網友初期誤以為 LinkedIn 是向 Chrome 線上應用程式商店發送請求，但隨後被其他資深開發者糾正：這其實是利用了 Chrome 擴充功能 ID 固定且其內部資源可被網頁腳本偵測的漏洞。相比之下，Firefox 瀏覽器的防禦機制獲得了高度評價，因為 Firefox 會為每個瀏覽器實例隨機生成擴充功能的 UUID，使得網站無法透過預測路徑來進行指紋追蹤。部分討論也提到，Chrome 的 Manifest V3 雖然開始引入類似的隨機化機制，但目前仍未完全普及，這使得 Chromium 系瀏覽器的使用者在面對此類指紋追蹤時顯得較為脆弱。

此外，關於「抓取數據是否屬於濫用」的爭論也十分精彩。支持抓取的一方認為，只要不造成伺服器過載，獲取公開網頁上的資訊不應被視為犯罪，甚至有開發者分享了他們如何開發擴充功能來幫助招聘人員節省手動輸入資料的時間，認為這是對平台功能的良性補充。然而，反對者則指出，大規模的自動化抓取會導致平台充斥垃圾訊息與虛假申請，最終損害所有使用者的體驗。更有趣的觀點提到，LinkedIn 為了建立這份偵測清單，本身可能也違反了 Chrome 商店的服務條款來進行反向抓取，這種「以抓取對抗抓取」的手段充滿了諷刺意味。

延伸閱讀

• Firefox 關於防止擴充功能指紋追蹤的技術文件：詳細說明了 Firefox 如何透過隨機化 UUID 來保護使用者隱私。
• Castle.io 關於偵測瀏覽器擴充功能的技術分析：深入探討了網站如何利用擴充功能進行機器人偵測與指紋識別。
• LinkedIn 偵測腳本原始碼片段：研究者從 LinkedIn 網站中提取出的實際指紋追蹤程式碼。