При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.
Исследователь безопасности Скотт Хелме (Scott Helme) обнаружил , что плагин uBlock Origin (uBO), основной задачей которого является блокировка нежелательной рекламы, также блокирует инструмент CSP (Политика защиты контента, Content security policy), предотвращающий внедрение вредоносного JavaScript кода и XSS-атак. CSP автоматически отправляет отчеты о попытках атак администраторам сайта.
uBO для браузеров Chrome и Firefox блокирует все отчеты CSP, если на странице разрешен какой-либо скрипт, затрагивающий конфиденциальность пользователя, например, скрипт Google Analytics. По словам исследователя, он заметил данную функцию плагина, когда увидел, что ни один отчет CSP на его сайте не был отправлен.
Проблема заключается в том, что web-сайты не получают предупреждения от браузеров о попытках осуществления XSS-атак, если uBO установлен и активен. Таким образом разработчики и администраторы сайта могут не знать о попытках эксплуатации уязвимостей в коде, а ресурс может быть скомпрометирован.
Как заявил разработчик плагина Реймонд Хилл (Raymond Hill), данная функция является предусмотренной и, если пользователю необходимо, чтобы отчеты CSP все же отправлялись, он может вручную добавить нужный ему скрипт в список исключений плагина.
Хелме выступил против данной функции в плагине. По его словам, uBO может блокировать Google Analytics, не мешая отправке отчетов CSP.
Хилл в свою очередь возразил, что отчеты CSP являются потенциальной проблемой конфиденциальности, поскольку данные отправляются на удаленный сервер. Отчеты CSP помогают владельцу сайта исправлять проблемы при настройке сервера, однако они вообще не затрагивают возможные проблемы пользователей. По большому счету отчеты CSP - всего лишь маркетинг, отметил он.
Спор вызвал оживленную дискуссию среди исследователей безопасности. К настоящему времени компромисс так и не был достигнут, однако Хилл заявил, что изучит данную проблему и посмотрит, возможно ли блокировать только определенные отчеты CSP.
CSP (Политика защиты контента) - дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных.
Лечим цифровую неграмотность без побочных эффектов