Realtime blog trackingRealtime website statistics
Главная Блог Почему пылкие гуглеры вносят в Chrome изменения блокировщика рекламы?

Почему пылкие гуглеры вносят в Chrome изменения блокировщика рекламы?

Почему пылкие гуглеры вносят в Chrome изменения блокировщика рекламы?

Почему пылкие гуглеры вносят в Chrome изменения блокировщика рекламы?
Потому что они создали монстра - и борются за него.

источник theregister.co.uk
иллюстрация wallpaperaccess.com

Анализ. В этом месяце инженеры Google настаивали на том, что потрясение рекламного гиганта расширениями браузера Chrome не убьет блокировщиков рекламы. Вместо этого нам говорят, что Google делают плагины более безопасными. У этих инженеров больше работы, чем может показаться.

Отложив на мгновение публичные заявления Google об угрозе дохода, создаваемой блокировщиками веб-рекламы, и действиях корпорации, предпринятых в магазине Google Play для ограничения помех рекламе в мобильных приложениях, у интернет-голиафа есть основания для пересмотра своей экосистемы Chrome Extension - потому что это так же хрупко, как карточный домик.

Google настаивает на том, что справляется с ситуацией, отмечая, что количество вредоносных расширений уменьшилось на 89 процентов с начала 2018 года. Но кодеры технического титана все еще занимаются устранением основной причины - платформы с небольшим количеством защитных ограждений.

Расширения Chrome имеют очевидную полезность для разработчиков и пользователей. Они могут улучшить конфиденциальность, добавить функциональность и улучшить работу в Интернете. Но они настолько мощные, что ими легко злоупотреблять, и процесс обеспечения безопасности, который Google использует для Chrome Web Store, не является надежным.

Основная проблема заключается в том, что Chrome Extensions может отменить модель безопасности браузера и получить конфиденциальные данные. Читатель, который написал для уточнения этого вопроса, предположил, что если бы люди действительно понимали, насколько безграничны расширения Chrome, им дали бы оценку CVE 10,0 и запретили бы предприятиям.

Это может быть чем-то завышенным, учитывая, что API в центре этого беспорядка, в частности блокирующий возможности API webRequest, будет по-прежнему доступен для предприятий после завершения обновления платформы, потому что это очень полезно.

Раймонд Хилл, разработчик uBlock Origin, не согласен с этой характеристикой, потому что, по его словам, возможность смены заголовков является неотъемлемой частью разработки API webRequest, а не упущением.

«Здесь нет проблем с CVE, потому что расширения включены, и то, что они могут сделать, сообщается пользователям, желающим установить их», - сказал он в электронном письме в The Register.

Но решения по разработке платформы Google имеют последствия для безопасности. И Mozilla тоже, поскольку Firefox также поддерживает API-интерфейс webRequest для дополнений (также известных как расширения).

На канадской конференции по безопасности SecTor в октябре прошлого года - по совпадению в том же месяце, когда Google анонсировала свой план пересмотра Chrome Extensions, известный как Manifest v3, - Лилли Чалуповски, разработчик приложений для безопасности в GoSecure, сделала презентацию под названием The Chrome Crusader. Безопасность лишена

Чалуповски продемонстрировал, что в расширениях Chrome есть возможность убирать заголовки HTTP, включая заголовки безопасности, из взаимодействий веб-сайтов. В результате получается тривиально создать расширение, нарушающее модель безопасности браузера Same-Origin.

Как она сказала в интервью для The Register по телефону, «инъекция - это особенность».

«Когда у вас есть инъекция как функция, именно тогда вы должны начать беспокоиться, - сказал Чалуповски, - особенно когда вы передаете функциональность, чтобы изменять безопасные заголовки на лету и изменять их буквально на все, что вы хотите».

Во время своей демонстрации Чалуповски показала, как создать базовое расширение Chrome, которое взаимодействует с командно-контрольным сервером Flask - локально для демонстрации - для кражи паролей с веб-сайта онлайн-банкинга.

Google, надо сказать, следит за вредоносными расширениями, но Чалуповски предложил несколько способов, которыми злоумышленники могут избежать обнаружения.

Chalupowski опубликовал код PoC на GitHub; Реестр еще не определил, влияют ли какие-либо изменения, внесенные в Chrome после первоначальной публикации кода PoC, на его функциональность.

«uBlock Origin и некоторые другие используют эту возможность для изменения заголовков в целях безопасности», - сказала она. «В то же время те же функции будут использоваться в Chrome и Firefox для злонамеренных целей».

И в этом заключается проблема: разработчик с благими намерениями может создать полезный код расширения, а разработчик с благими намерениями может использовать один и тот же API для злоупотребления доверием и кражи информации.

Еще в 2010 году, когда разрабатывался API-интерфейс webRequest, обсуждался вопрос о последствиях для конфиденциальности и безопасности, но это не было главной задачей. Проектный документ упоминает проблему попутно:

Как можно злоупотреблять этим API? Могут быть проблемы с конфиденциальностью, поскольку расширения могут собирать подробную информацию о сетевом трафике через этот API.

Расширения Chrome раньше были еще более открытыми. Хиллс сказал, что еще в 2013 году расширения Chrome могли видеть сетевые запросы других расширений через API webRequest. Это была полезная функция, но также и злоупотребляющая, и поэтому была удалена.

Google, возможно, нужно сделать webRequest менее рискованным, но среди тех, кто разрабатывает расширения, есть надежда, что цена безопасности не является неэффективной блокировкой контента и неконтролируемым контролем конфиденциальности.

Хилл утверждает, что Google должен реализовать более детализированную модель разрешений для ослабления заголовков CORS и CSP. Расширения, требующие определенных возможностей, могут запрашивать их напрямую, а не соглашаться на менее способный API. Он также предположил, что Google может запретить доступ API WebRequest к более широкому диапазону заголовков запросов, как это уже происходит в некоторых случаях.

«Прямо сейчас браузер просто уверен, что расширения браузера будут хороши», - сказал Чалуповски. По ее словам, «это всего лишь хорошая новость для пользователей».

Для разработчиков и пользователей, способных сделать ответственный выбор в отношении программного обеспечения, которое они устанавливают, это немного сложнее. ® Обновлено, чтобы добавить

В электронном письме в коллега Чалуповски сказала, что ей удалось подтвердить, что ее старое доказательство концепции больше не работает с последней версией Chromium. Она сказала, что блокировка перекрестного чтения (CORB) теперь, по-видимому, блокирует запросы, и этот код для удаления заголовков больше не создает записей журнала, указывающих, что он работает. Она сказала, что не уверена, связано ли это с добавлением таких функций, как строгая изоляция сайтов или что-то еще.

«Тот факт, что это не работает, является хорошим знаком», - сказала она.

🐟