Основная задача плагина uBlock Origin – блокировка нежелательной рекламы, однако вместе с тем плагин блокирует инструмент CSP. Content security policy (политика защиты контента) предотвращает внедрение вредоносного JavaScript кода и XSS-атаки. Проблему обнаружил исследователь безопасности Скотт Хелме.
CSP (Политика защиты контента) – дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак. Благодаря этой функции разработчики и администраторы сайта могут узнавать о попытках эксплуатации уязвимостей в коде и не допускать эксплуатацию ресурса злоумышленниками.
Как выяснилось, uBO для браузеров Chrome и Firefox блокирует все отчеты CSP, если на странице разрешен какой-либо скрипт, затрагивающий конфиденциальность пользователя (например, скрипт Google Analytics). Web-сайты не получают предупреждения от браузеров о попытках осуществления XSS-атак, если uBO установлен и активен.
Разработчик плагина Реймонд Хилл объяснил, что эта функция является предусмотренной и, если пользователю необходимо, чтобы отчеты CSP все же отправлялись, он может добавить нужный ему скрипт в список исключений плагина вручную.
Хелме выступил против данной функции в плагине. По его словам, uBO может блокировать Google Analytics, не мешая отправке отчетов CSP.
Хилл в свою очередь отметил, что отчеты CSP являются потенциальной угрозой конфиденциальности, так как данные отправляются на удаленный сервер. Отчеты CSP помогают владельцу сайта исправлять проблемы при настройке сервера, однако они вообще не затрагивают возможные проблемы пользователей. По словам разработчика, CSP – всего лишь маркетинг.
Среди исследователей безопасности этот спор вызвал оживленную дискуссию. Компромисс пока не найден, но Хилл пообещал изучить эту проблему и посмотреть, возможно ли блокировать только определенные отчеты CSP.
Источник: securitylab.ru