LinkedIn memeriksa 2.953 ekstensi browser

 (github.com/mdp)
1 poin oleh GN⁺ 2026-02-06 | 1 komentar | Bagikan ke WhatsApp
  • Situs web LinkedIn mendeteksi keberadaan 2.953 ekstensi Chrome setiap kali halaman dimuat
  • Repositori ini mendokumentasikan semua ID ekstensi, nama, dan tautan Chrome Web Store yang diperiksa LinkedIn
  • Dari seluruh ekstensi, sekitar 78% diverifikasi lewat Chrome Web Store, dan sekitar 22% lewat Extpose
  • Skrip yang disediakan (fetch_extension_names.js) secara otomatis mengumpulkan nama ekstensi, dan untuk ekstensi yang sudah dihapus menggunakan pencarian alternatif melalui Extpose
  • Data ini menunjukkan skala praktik situs web dalam mengidentifikasi ekstensi browser pengguna

LinkedIn Chrome Extension Fingerprinting

  • LinkedIn diam-diam memeriksa 2.953 ekstensi Chrome pada setiap pemuatan halaman
    • Proses ini dilakukan sebagai bentuk fingerprinting untuk mengidentifikasi ekstensi yang terpasang di browser pengguna
  • Repositori ini mencakup daftar lengkap ekstensi yang diperiksa LinkedIn beserta alat terkaitnya
    • File chrome_extensions_with_names_all.csv berisi ID ekstensi, nama, serta tautan ke Chrome Web Store atau Extpose

Struktur data

  • File data memuat tiga kolom: Extension ID, Name, dan URL
    • Extension ID adalah pengenal 32 karakter, sedangkan URL mengarah ke Chrome Web Store atau tautan Extpose
  • Daftar lengkap dapat dilihat di file chrome_extensions_with_names_all.csv

Skrip

  • fetch_extension_names.js mengambil nama ekstensi dari Chrome Web Store, dan jika ekstensi telah dihapus atau tidak dapat diakses maka melakukan pencarian alternatif melalui Extpose
    • Contoh perintah: node fetch_extension_names.js, node fetch_extension_names.js --offset 0 --limit 500
  • test_fetch.js memproses 3 ekstensi pertama dan dapat diuji dalam mode verbose

Statistik

  • Daftar fingerprint LinkedIn mencakup total 2.953 ekstensi
  • Dari jumlah tersebut, sekitar 78% diverifikasi lewat Chrome Web Store, dan sekitar 22% lewat Extpose

File sumber

  • chrome_extension_ids.txt : daftar ID ekstensi mentah yang diekstrak dari fingerprint.js milik LinkedIn
  • fingerprint.js : skrip pendeteksi ekstensi (versi dipersingkat) yang disertakan di halaman LinkedIn
  • fetch_extension_names.js : skrip bantu untuk mengumpulkan nama ekstensi secara otomatis

Ringkasan

  • LinkedIn memeriksa informasi ekstensi browser dalam skala besar, dan
    repositori ini secara transparan mempublikasikan daftar lengkap serta metode pengumpulannya

Bacaan terkait

1 komentar

 
GN⁺ 2026-02-06
Komentar Hacker News

  • Firefox tampaknya kebal terhadap isu ini
    Chrome mengekspos sumber daya web yang dapat diakses ekstensi dalam bentuk chrome-extension://[PACKAGE ID]/[PATH],
    sedangkan Firefox mengaksesnya dalam bentuk moz-extension://<extension-UUID>/myfile.png.
    Di sini <extension-UUID> dibuat secara acak untuk tiap browser agar situs tidak bisa melakukan fingerprinting browser melalui ekstensi yang terpasang
    Dokumentasi terkait: Dokumentasi Chrome, Dokumentasi Firefox

    • Katanya kalau memakai browser dengan pangsa pasar di bawah 5% berarti ketinggalan teknologi web terbaru, tapi ironisnya justru ada keuntungan keamanan seperti ini
    • Kadang kipas komputer saya berputar seperti orang gila, dan biasanya penyebabnya adalah Firefox dengan tab LinkedIn yang terbuka. Saya jadi penasaran apakah ini semacam penambangan kripto, atau cuma memang tidak efisien
    • Kalau ID ekstensi diubah per browser, bukankah yang teridentifikasi justru penggunanya sendiri, bukan browsernya?
      Bukankah itu berubah dari “browser ini punya ekstensi X, Y, Z” menjadi “ini browser milik Jim Bob”?

  • Dari daftar ekstensi, kebanyakan adalah ekstensi untuk scraping data LinkedIn atau otomatisasi
    Waktu bekerja di LinkedIn, penyalahgunaan seperti ini juga sangat parah, dan meskipun ada sistem deteksi dan pencegahan internal yang cukup canggih, ini tetap jadi pertarungan tanpa akhir

    • Agar LinkedIn bisa membuat sumber data untuk fingerprinting ekstensi, besar kemungkinan seseorang (mungkin LinkedIn?) melakukan scraping Chrome Web Store.
      Ini mungkin melanggar TOS Chrome Web Store
    • Kalau melihat daftarnya, sebenarnya tidak terlalu canggih. Terlihat seperti hanya memfilter ekstensi yang namanya mengandung “email”, dan sebagian besar bahkan tidak punya izin akses ke linkedin.com
    • Dari sudut pandang LinkedIn ini mungkin masalah, tapi masalah yang sebenarnya adalah perusahaan seperti LinkedIn yang melakukan broker data
    • Dari kodenya, tampaknya saat ada yang cocok mereka tidak melakukan sesuatu secara langsung, melainkan hanya menyimpan hasilnya ke CSV untuk dipakai sebagai data fingerprinting
    • Dulu saya pernah scraping LinkedIn untuk klien, dan itu pengalaman yang cukup menarik

  • Chrome sekarang terasa seperti IE6 baru
    Google telah menjadikan dirinya Microsoft berikutnya, dan bergerak ke arah yang makin ramah iklan.
    Rasanya kontribusinya lebih besar pada melemahkan ad blocker dan membiarkan malware, bukan meningkatkan keamanan

    • Saya setuju bahwa Chrome itu spyware, tetapi memang benar mereka yang pertama kali memperkenalkan fitur keamanan seperti Site Isolation atau sandboxing.
      Kecepatan patch dan pengujian keamanannya juga tidak buruk
    • Chrome saat ini adalah sesuatu yang jauh lebih buruk daripada IE6. Microsoft setidaknya tidak melacak pengguna atau menjual iklan
    • Siapa yang mengendalikan iklan, mengendalikan internet
    • Google sudah menjadi perusahaan monopoli, dan semua monopoli pada akhirnya berubah seperti ini
    • Kalau pada 2026 masih ada orang yang memakai Chrome, berarti dia benar-benar developer pemberani

  • Kalau membuka LinkedIn lalu menekan F12, jumlah error terus bertambah
    Tangkapan layarnya bisa dilihat di sini

  • Baru-baru ini saya merangkum di blog tentang teknik deteksi ekstensi LinkedIn dan metode lain dengan efek samping yang lebih kecil
    Tulisan blog Castle

    • Jika Firefox dipatch agar navigator.webdriver selalu false, kendali jarak jauh tetap bisa dilakukan.
      Sulit dideteksi, tetapi masih bisa terdeteksi lewat pola kecepatan input
    • Menarik dibaca karena isi tulisannya sangat sesuai dengan topik ini

  • Beberapa bulan lalu saya menulis artikel terkait.
    Saya menjelaskan mengapa hal seperti ini bisa terjadi, dan juga cara pencegahannya
    Tautan artikel

    • Saya penasaran apakah tulisan itu juga membahas mengapa LinkedIn melakukan hal ini, atau hanya menjelaskan kemungkinan teknisnya saja

  • Akhir-akhir ini LinkedIn banyak memakai dark pattern yang aneh

    • Memaksa mengubah kecepatan scroll di Firefox
    • Di web mobile, setelah melihat profil lalu menekan kembali, pengguna selalu dialihkan ke halaman utama
    • URL untuk analitik dibuat dengan jalur acak untuk mencoba menghindari pemblokiran
      Saya penasaran apakah ada yang tahu alasan di balik perilaku ini
    • LinkedIn tampaknya sedang berperang habis-habisan melawan industri basis data kontak, jadi mereka memakai taktik seperti ini.
      Dari scraping web sampai mempekerjakan orang untuk kerja manual, mereka sedang memakai berbagai strategi pertahanan

  • Cara seperti ini sebenarnya sudah dikenal sejak 2019
    Tulisan blog Nymeria

  • Daftar ekstensi yang dipindai LinkedIn memang jelas, tapi justru ekstensi yang tidak dipindai lebih menarik
    Misalnya, “Contact Out” seharusnya bisa dipindai, tetapi LinkedIn tampak memilih untuk mengabaikannya.
    Jadi timbul kecurigaan jangan-jangan ada kesepakatan di balik layar
    Tautan ekstensi Contact Out

    • Ekstensi tersebut tidak mendeklarasikan content-accessible resources di manifest, jadi tidak bisa dilakukan fingerprinting
    • Menariknya, LinkedIn juga tidak memblokir hal-hal seperti ekstensi Claude atau Dassi AI. Saya penasaran alasannya

  • Tertulis bahwa “repositori ini mendokumentasikan semua ekstensi yang diperiksa LinkedIn dan menyediakan alat untuk mengidentifikasinya”,
    tetapi saya penasaran bagaimana mereka memverifikasi bahwa LinkedIn benar-benar memeriksa ID-ID ini.
    Dan saya juga ingin tahu apakah ini relevan bagi pengguna non-Chrome

    • Beberapa minggu lalu ada vendor yang mengunggah tulisan yang menganalisis secara teknis metode LinkedIn,
      sambil membanggakan bahwa pendekatan mereka “lebih senyap, kurang mencolok, dan lebih mudah dijalankan dalam skala besar”
      Tulisan blog Castle