uBlock Origin: prywatność ważniejsza niż cudze (?) bezpieczeństwo

uBlock Origin: prywatność ważniejsza niż cudze (?) bezpieczeństwo19.10.2017 20:57

Coraz popularniejszy bloker reklam uBlock Origin okazał się byćnadgorliwy w swojej walce z tym, czego internauci nie chcą oglądać.Okazuje się, że blokuje on także działanie nowej technologiiContent Security Policy(CSP), pomyślanej jako sposób na ochronę przed atakami typuCross-site scripting (XSS). Przy włączonym rozszerzeniu,ostrzeżenie o hakerskim ataku było wygaszane.

CSP pozwala właścicielom stron internetowych na narzucenieograniczeń w ładowaniu skryptów i innych zasobów, które mogąbyć na nich uruchamiane. Można np. stworzyć białą listędopuszczalnych skryptów albo zakazać ładowania zasobów pozaHTTPS. W ten sposób można powstrzymać próby wstrzyknięciazłośliwego JavaScriptu, a jeśli odpowiednio skonfigurowaćpolityki i przygotować serwer, to informacja o ataku zostanieautomatycznie przesłana do administratora strony. Najlepszą chybadokumentację korzystania z tej technologii przygotowała Mozilla.

Niestety jednak to raportowanie o ataku jest neutralizowane przezantyreklamowe rozszerzenie, zarówno w Chrome jak i Firefoksie.Odkrył to badacz Scott Helme, który na trackerzebłędów uBlocka skarży się, że ma taką politykęraportowania skonfigurowaną na swojej stronie, jednak uBlockwszystkie raporty CSP blokuje.

Okazuje się, że to nie błąd, lecz celowe zamierzeniedewelopera uBlocka, Raymonda Hilla. Założył on sobie, że raportyCSP będą blokowane w razie wstrzyknięcia wysterylizowanego skryptuw stronę. Takie właśnie wysterylizowane skrypty używane są przezrozszerzenie, by zminimalizować ryzyko zepsucia strony wskutekzablokowania oryginalnego skryptu.

To właśnie działo się na stronie Helme’a, gdziezneutralizowanym skryptem było Google Analytics. uBlock zakładałwięc, że to wstrzyknięty skrypt powodował raport CSP i blokowałgo. Nie z konieczności – jeśli ktoś stworzy sobie regułędopuszczającą takie Google Analytics, to raport CSP nie będziezablokowany.

Raport CSP ujawnia odsyłającą witrynę
Raport CSP ujawnia odsyłającą witrynę

Biorąc pod uwagę liczbę witryn korzystających z GoogleAnalytics i rosnącą popularność uBlock Origina, który już jestw tej samej lidze co AdBlock Plus, szerokie blokowanie raportów CSPw praktyce unieważnia tę technologię. Dlatego Helme wezwał dozaprzestania tak szerokiego blokowania. Skrypt Google’a może byćblokowany bez szkody dla wykrywania ataków XSS.

Podczas dyskusji (w trakcie której Helme usłyszał różnerzeczy na swój temat) wyszło, że rzeczywisty powód takiej decyzjiwiążesię z prywatnością. Twórca uBlock Origina uważa, że raportyCSP mogą naruszać prywatność użytkowników, wysyłając dane naserwer operatora witryny. Owszem, pomoże to mu rozwiązać jegoproblemy, ale nie pomaga w rozwiązaniu problemów użytkownika.Tymczasem uBlock Origin działa w imieniu użytkowników,neutralizuje Google Analytics by uniemożliwić śledzenie ludzi wsieci. Raporty CSP mogłyby tymczasem doprowadzić do wycieku danych.

Helme nie daje się przekonać.Utrzymuje, że takie uniwersalne blokowanie wszystkich raportów oincydentach bezpieczeństwa jest szkodliwe, a nawet niebezpieczne.Opowieści o naruszeniach prywatności brzmią nieprzekonująco,wysłanie takiego raportu niczym się pod tym względem nie różniod pobrania obrazka, skryptu czy arkusza stylów z sieci CDN. Typowyużytkownik nie ma zresztą też nawet pojęcia o istnieniu CSP, więcsugerowanie, by ręcznie dopuszczać skrypty nie ma sensu.

Sprawa wywołała dyskusję wmediach społecznościowych. Czy raportowanie CSP jest mechanizmembezpieczeństwa dla użytkownika? Czy użytkownik jest odpowiedzialnyza zgłaszanie problemów z witryną? Czy rozszerzenie zaprojektowanedo zwiększania bezpieczeństwa i prywatności możepsuć inne mechanizmy bezpieczeństwa? Na te pytania nie majednoznacznej odpowiedzi, tym bardziej że CSP można nadużyć dośledzenia użytkowników. Na te pytania nie widaćjednoznacznej odpowiedzi. Na razie Hill obiecał że przemyślisprawę, czy nie dałoby się zrobić tak, by CSP blokował tylko teraporty CSP, które są wynikiem działania uBlocka Origin. Takierozwiązanie jest obecnie testowane w kanale deweloperskimrozszerzenia, wraz z przełącznikiem pozwalającym na selektywne (wodniesieniu do witryn) i globalne blokowanie Content Security Policy.

Źródło artykułu:www.dobreprogramy.pl
© dobreprogramy·Redakcja·Regulamin·Polityka prywatności·Reklama·Kontakt
Szanowna Użytkowniczko! Szanowny Użytkowniku!
×
Aby dalej móc dostarczać coraz lepsze materiały redakcyjne i udostępniać coraz lepsze usługi, potrzebujemy zgody na dopasowanie treści marketingowych do Twojego zachowania. Twoje dane są u nas bezpieczne, a zgodę możesz wycofać w każdej chwili na podstronie polityka prywatności.

Kliknij "PRZECHODZĘ DO SERWISU" lub na symbol "X" w górnym rogu tej planszy, jeżeli zgadzasz się na przetwarzanie przez Wirtualną Polskę i naszych Zaufanych Partnerów Twoich danych osobowych, zbieranych w ramach korzystania przez Ciebie z usług, portali i serwisów internetowych Wirtualnej Polski (w tym danych zapisywanych w plikach cookies) w celach marketingowych realizowanych na zlecenie naszych Zaufanych Partnerów. Jeśli nie zgadzasz się na przetwarzanie Twoich danych osobowych skorzystaj z ustawień w polityce prywatności. Zgoda jest dobrowolna i możesz ją w dowolnym momencie wycofać zmieniając ustawienia w polityce prywatności (w której znajdziesz odpowiedzi na wszystkie pytania związane z przetwarzaniem Twoich danych osobowych).

Od 25 maja 2018 roku obowiązuje Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 (określane jako "RODO"). W związku z tym chcielibyśmy poinformować o przetwarzaniu Twoich danych oraz zasadach, na jakich odbywa się to po dniu 25 maja 2018 roku.

Kto będzie administratorem Twoich danych?

Administratorami Twoich danych będzie Wirtualna Polska Media Spółka Akcyjna z siedzibą w Warszawie, oraz pozostałe spółki z grupy Wirtualna Polska, jak również nasi Zaufani Partnerzy, z którymi stale współpracujemy. Szczegółowe informacje dotyczące administratorów znajdują się w polityce prywatności.

O jakich danych mówimy?

Chodzi o dane osobowe, które są zbierane w ramach korzystania przez Ciebie z naszych usług, portali i serwisów internetowych udostępnianych przez Wirtualną Polskę, w tym zapisywanych w plikach cookies, które są instalowane na naszych stronach przez Wirtualną Polskę oraz naszych Zaufanych Partnerów.

Dlaczego chcemy przetwarzać Twoje dane?

Przetwarzamy je dostarczać coraz lepsze materiały redakcyjne, dopasować ich tematykę do Twoich zainteresowań, tworzyć portale i serwisy internetowe, z których będziesz korzystać z przyjemnością, zapewniać większe bezpieczeństwo usług, udoskonalać nasze usługi i maksymalnie dopasować je do Twoich zainteresowań, pokazywać reklamy dopasowane do Twoich potrzeb. Szczegółowe informacje dotyczące celów przetwarzania Twoich danych znajdują się w polityce prywatności.

Komu możemy przekazać dane?

Twoje dane możemy przekazywać podmiotom przetwarzającym je na nasze zlecenie oraz podmiotom uprawnionym do uzyskania danych na podstawie obowiązującego prawa – oczywiście tylko, gdy wystąpią z żądaniem w oparciu o stosowną podstawę prawną.

Jakie masz prawa w stosunku do Twoich danych?

Masz prawo żądania dostępu, sprostowania, usunięcia lub ograniczenia przetwarzania danych. Możesz wycofać zgodę na przetwarzanie, zgłosić sprzeciw oraz skorzystać z innych praw wymienionych szczegółowo w polityce prywatności.

Jakie są podstawy prawne przetwarzania Twoich danych?

Podstawą prawną przetwarzania Twoich danych w celu świadczenia usług jest niezbędność do wykonania umów o ich świadczenie (tymi umowami są zazwyczaj regulaminy). Podstawą prawną przetwarzania danych w celu pomiarów statystycznych i marketingu własnego administratorów jest tzw. uzasadniony interes administratora. Przetwarzanie Twoich danych w celach marketingowych realizowanych przez Wirtualną Polskę na zlecenie Zaufanych Partnerów i bezpośrednio przez Zaufanych Partnerów będzie odbywać się na podstawie Twojej dobrowolnej zgody.

Przejdź na