r   e   k   l   a   m   a
r   e   k   l   a   m   a

uBlock Origin: prywatność ważniejsza niż cudze (?) bezpieczeństwo

Strona główna AktualnościOPROGRAMOWANIE

Coraz popularniejszy bloker reklam uBlock Origin okazał się być nadgorliwy w swojej walce z tym, czego internauci nie chcą oglądać. Okazuje się, że blokuje on także działanie nowej technologii Content Security Policy (CSP), pomyślanej jako sposób na ochronę przed atakami typu Cross-site scripting (XSS). Przy włączonym rozszerzeniu, ostrzeżenie o hakerskim ataku było wygaszane.

CSP pozwala właścicielom stron internetowych na narzucenie ograniczeń w ładowaniu skryptów i innych zasobów, które mogą być na nich uruchamiane. Można np. stworzyć białą listę dopuszczalnych skryptów albo zakazać ładowania zasobów poza HTTPS. W ten sposób można powstrzymać próby wstrzyknięcia złośliwego JavaScriptu, a jeśli odpowiednio skonfigurować polityki i przygotować serwer, to informacja o ataku zostanie automatycznie przesłana do administratora strony. Najlepszą chyba dokumentację korzystania z tej technologii przygotowała Mozilla.

Niestety jednak to raportowanie o ataku jest neutralizowane przez antyreklamowe rozszerzenie, zarówno w Chrome jak i Firefoksie. Odkrył to badacz Scott Helme, który na trackerze błędów uBlocka skarży się, że ma taką politykę raportowania skonfigurowaną na swojej stronie, jednak uBlock wszystkie raporty CSP blokuje.

r   e   k   l   a   m   a

Okazuje się, że to nie błąd, lecz celowe zamierzenie dewelopera uBlocka, Raymonda Hilla. Założył on sobie, że raporty CSP będą blokowane w razie wstrzyknięcia wysterylizowanego skryptu w stronę. Takie właśnie wysterylizowane skrypty używane są przez rozszerzenie, by zminimalizować ryzyko zepsucia strony wskutek zablokowania oryginalnego skryptu.

To właśnie działo się na stronie Helme’a, gdzie zneutralizowanym skryptem było Google Analytics. uBlock zakładał więc, że to wstrzyknięty skrypt powodował raport CSP i blokował go. Nie z konieczności – jeśli ktoś stworzy sobie regułę dopuszczającą takie Google Analytics, to raport CSP nie będzie zablokowany.

Biorąc pod uwagę liczbę witryn korzystających z Google Analytics i rosnącą popularność uBlock Origina, który już jest w tej samej lidze co AdBlock Plus, szerokie blokowanie raportów CSP w praktyce unieważnia tę technologię. Dlatego Helme wezwał do zaprzestania tak szerokiego blokowania. Skrypt Google’a może być blokowany bez szkody dla wykrywania ataków XSS.

Podczas dyskusji (w trakcie której Helme usłyszał różne rzeczy na swój temat) wyszło, że rzeczywisty powód takiej decyzji wiąże się z prywatnością. Twórca uBlock Origina uważa, że raporty CSP mogą naruszać prywatność użytkowników, wysyłając dane na serwer operatora witryny. Owszem, pomoże to mu rozwiązać jego problemy, ale nie pomaga w rozwiązaniu problemów użytkownika. Tymczasem uBlock Origin działa w imieniu użytkowników, neutralizuje Google Analytics by uniemożliwić śledzenie ludzi w sieci. Raporty CSP mogłyby tymczasem doprowadzić do wycieku danych.

Helme nie daje się przekonać. Utrzymuje, że takie uniwersalne blokowanie wszystkich raportów o incydentach bezpieczeństwa jest szkodliwe, a nawet niebezpieczne. Opowieści o naruszeniach prywatności brzmią nieprzekonująco, wysłanie takiego raportu niczym się pod tym względem nie różni od pobrania obrazka, skryptu czy arkusza stylów z sieci CDN. Typowy użytkownik nie ma zresztą też nawet pojęcia o istnieniu CSP, więc sugerowanie, by ręcznie dopuszczać skrypty nie ma sensu.

Sprawa wywołała dyskusję w mediach społecznościowych. Czy raportowanie CSP jest mechanizmem bezpieczeństwa dla użytkownika? Czy użytkownik jest odpowiedzialny za zgłaszanie problemów z witryną? Czy rozszerzenie zaprojektowane do zwiększania bezpieczeństwa i prywatności może psuć inne mechanizmy bezpieczeństwa? Na te pytania nie ma jednoznacznej odpowiedzi, tym bardziej że CSP można nadużyć do śledzenia użytkowników.

Na te pytania nie widać jednoznacznej odpowiedzi. Na razie Hill obiecał że przemyśli sprawę, czy nie dałoby się zrobić tak, by CSP blokował tylko te raporty CSP, które są wynikiem działania uBlocka Origin. Takie rozwiązanie jest obecnie testowane w kanale deweloperskim rozszerzenia, wraz z przełącznikiem pozwalającym na selektywne (w odniesieniu do witryn) i globalne blokowanie Content Security Policy.

© dobreprogramy
r   e   k   l   a   m   a
r   e   k   l   a   m   a

Komentarze

r   e   k   l   a   m   a
r   e   k   l   a   m   a
Czy wiesz, że używamy cookies (ciasteczek)? Dowiedz się więcej o celu ich używania i zmianach ustawień.
Korzystając ze strony i asystenta pobierania wyrażasz zgodę na używanie cookies, zgodnie z aktualnymi ustawieniami przeglądarki.