Блокировщик рекламы uBlock разделился на два проекта. Вместе с рекламой uBlock Origin блокирует еще и уведомления о возможных кибератаках

Вместе с рекламой uBlock Origin блокирует еще и уведомления о возможных кибератаках

За последние несколько лет блокировщики рекламы стали очень популярными из-за роста объема рекламного контента, размещаемого на сайтах. Но как оказалось, такие продукты тоже не без изъянов. Специалистам удалось обнаружить интересную особенность одного из самых популярных блокировщиков рекламы, которая может представлять опасность для пользователей.

Проблема была обнаружена специалистом Скоттом Хелме. Он занимается исследованием проблем безопасности различных программных продуктов и прочих инструментов, используемых в том числе и в браузерах. На этот раз в поле зрения попал блокировщик рекламы uBlock Origin. Он пользуется огромной популярностью среди пользователей, поэтому проблема, описанная Скоттом, является актуальной и очень серьезной.

Дело в том, что при активации uBlock Origin в любом из популярных браузеров под блокировку подпадает не только рекламный контент, но еще и инструмент CSP, который отвечает за политику защиты контента и предотвращает внедрение вредоносного кода JavaScript и совершения XSS-атак.

Главной задачей Content security policy является отправка администраторам сайта уведомлений о том, что на их ресурс была совершена попытка атаки.

Блокировка CSP в таких популярных браузерах, как Chrome и Firefox, происходит не всегда. Например, она применяется, если на странице запущен и действует какой-либо из скриптов, имеющих отношение к конфиденциальности пользователя. Это может быть даже скрипт Google Analytics.

Заметить эту функцию блокировщика не так уж и просто. Хемле наткнулся на нее совершенно случайно, когда обнаружил, что на его сайте не один отчет о попытках совершения атак не отправляется. Как выяснилось позже, виной всему блокировщик рекламы.

После детального изучения проблемы стало ясно, что браузеры, в которых активирован uBlock Origin попросту не отправляют предупреждения администраторам. Получается, что разработчики могут даже не догадываться, что кто-то посторонний осуществил попытку взлома кода. В этом случае администраторы даже не узнают, если их ресурс будет скомпрометирован.

По словам одного из разработчиков плагина Реймонда Хилла, если пользователь не согласен с такой политикой блокировщика, то он может запросто ее изменить, правда делать придется это вручную. Для этого в список исключений расширения необходимо добавить нужный скрипт. После этого отчеты CSP снова начнут отправляться.

Хелме уверен, что эта функция в расширении для блокировки рекламы вовсе не нужна, но Хилл с его мнением не согласился. Он уверен, что отчеты CSP могут представлять угрозу для пользователей, так как отчеты со всеми данными отправляются на сторонний сервер. Он назвал эти отчеты простым маркетинговым ходом, который помогает владельцам сайтов настраивать свои ресурсы, но совершенно никоим образом не помогают решать проблемы пользователей.

Читать еще: Чем создать виртуальный диск. Как создается виртуальный жесткий диск и виртуальный CD-ROM

Вокруг этой темы разгорелась настоящая дискуссия, которая до сих пор продолжается. Нашлись сторонники как одной, так и другой стороны. Но в ходе данного спора Хилл заявил, что эта проблема должна быть досконально изучена. Он пообещал заняться этим и рассмотреть возможность блокирования не всех отчетов CSP, а только тех, которые представляют серьезную угрозу конфиденциальности пользователей.

Блокировщик рекламы uBlock разделился на два проекта

Вчера мы рассказывали вам про чудесное превращение расширения Adblock в BetaFish Adblocker, и в комментариях к посту началось обсуждение другого популярного блокировщика рекламы uBlock, с которым тоже творится что-то странное. Мы решили разобраться в ситуации и поделиться с вами фактами.

uBlock – еще одно расширение для блокировки рекламы на посещаемых сайтах. Согласно заявлениям Рэймонда Хилла, разработчика проекта, и комментариям некоторых пользователей, uBlock отличается от аналогов тем, что потребляет меньше памяти, ресурсов процессора и в целом более легковесное. Например, вот статистика потребления памяти от авторов:

А вот более впечатляющие данные по загрузке CPU:

Странности начались в этом месяце, когда в Chrome Web Store возникло новое альтернативное расширение с таким же названием. При этом первоначальное расширение было сначала переименовано в uBlock₀, затем вовсе пропало из каталога и только спустя некоторое время вернулось под названием uBlock Origin.

Вполне понятно, почему в этой ситуауции многие пользователи начали задваться вопросами и даже обвинять более новое расширение в мошенничестве. Но что же произошло на самом деле?

Передача прав

Рэймонд Хилл (gorhill), первоначальный разработчик uBlock, спустя некоторое время прокомментировал ситуацию.

This is how however more and more of my time was spent, and no doubt it would just become worst as uBlock gained popularity. So I was getting sucked into something I never intended to do.

Проект uBlock создавался Рэймондом как хобби и в основном только для себя. Он хотел создать расширение, которое будет удовлетворять его задачам. И не более. А вышло все так, что uBlock стал крайне популярным (почти 1 млн пользователей в Chrome Web Store). Ни времени, ни желания на поддержку и развитие расширения в соответствии с требованиями пользователей у него не было. Поэтому он решил передать право на название “uBlock” и основной репозиторий на Гитхабе Крису Алеоди.

При этом Рэймонд продолжит поддерживать теперь уже форк основной ветки. Этот форк, по сути, это последняя именно его версия расширения, которая в основном будет получать исправления. Новые функции будут добавляться только тогда, когда он сам почувствует в них необходимость для себя. И что самое интересное. Этот форк продолжит жить в Chrome Web Store по старому адресу и со всей текущей базой пользователей. У него изменилось лишь название: теперь это uBlock Origin. В то время как Крису пришлось опубликовать второе расширение, которое за месяц набрало около 55 тыс. пользователей.

Читать еще: DIY — USB Jig для восстановления окирпиченных Android девайсов. DIY — USB Jig для восстановления окирпиченных Android девайсов Usb джиг для каких телефонов подходит

Новый uBlock (от Криса) и старый uBlock Origin (от Рэймонда) продолжат существовать и развиваться независимо друг от друга. Хотя на данный момент эти расширения являются почти копиями, в скором будущем их пути, интерфейс и возможности могут сильно разойтись.

А что там с удалением из Web Store?

В самом начале мы писали, что оригинальное расширение пропало из каталога Chrome Web Store, а потом вернулось уже под новым названием. Через некоторое время после публикации нового расширения uBlock от Криса, старое было удалено из каталога модераторами якобы из-за нарушений правил сервиса.

При этом Рэймонд не получал никаких уведомлений от Google, и даже после обращения в поддержку никто не смог объяснить ему причину, ссылаясь на то, что все подробности описаны в письме, которое он должен был получить (но не получил). Оставим за скобками качество модерации Chrome Web Store (сами все понимаете. ).

The Chrome store is ridiculous. They should just be straightforward and state the reason of why the extension is taken down right in the dashboard. What’s so difficult about this?

Автор так и не получил ответа на свой запрос, но попробовал вновь отправить uBlock на модерацию, в этот раз изменив название на uBlock Origin и иконку (в самом начале нашего поста вы можете увидеть уже новую иконку). И расширение пропустили.

Драма об авторстве

Недавно между старым и новым авторами расширения разыгралась небольшая драма. Суть очень простая. Крис написал на страничке расширения, что оно “current uBlock project development by Chris”. Рэймонд обиделся на это, посчитав, что Крис таким образом хочет присвоить себе все лавры. Правда потом они помирились. Крис опубликовал даже видео с извинениями. А подпись об авторстве заменили на “Project currently managed by Chris”.

Ок, так где и как скачать uBlock?

Если вы хотите продолжать пользоваться оригинальным расширением, которое скорее всего будет развиваться исключительно только в сторону исправлений, то устанавливайте uBlock Origin.

Если же вам интересны новые возможности, и вы хотите стать частью сообщества, предлагать свои идеи, то тут лучше обратить внимание на новый uBlock.

Читать еще: SciDAVis: программа для визуализации данных

UPD

Пришло время подвести итоги. uBlock Origin продолжает жить с новой большой аудиторией, а вот uBlock, похоже, загнулся. Пользователи перебежали за настоящим автором.

Плагин uBlock Origin блокирует уведомления о кибератаках

При включенном плагине разработчики и администраторы могут не знать о попытках эксплуатации уязвимостей в коде сайта.

Исследователь безопасности Скотт Хелме (Scott Helme) обнаружил , что плагин uBlock Origin (uBO), основной задачей которого является блокировка нежелательной рекламы, также блокирует инструмент CSP (Политика защиты контента, Content security policy), предотвращающий внедрение вредоносного JavaScript кода и XSS-атак. CSP автоматически отправляет отчеты о попытках атак администраторам сайта.

uBO для браузеров Chrome и Firefox блокирует все отчеты CSP, если на странице разрешен какой-либо скрипт, затрагивающий конфиденциальность пользователя, например, скрипт Google Analytics. По словам исследователя, он заметил данную функцию плагина, когда увидел, что ни один отчет CSP на его сайте не был отправлен.

Проблема заключается в том, что web-сайты не получают предупреждения от браузеров о попытках осуществления XSS-атак, если uBO установлен и активен. Таким образом разработчики и администраторы сайта могут не знать о попытках эксплуатации уязвимостей в коде, а ресурс может быть скомпрометирован.

Как заявил разработчик плагина Реймонд Хилл (Raymond Hill), данная функция является предусмотренной и, если пользователю необходимо, чтобы отчеты CSP все же отправлялись, он может вручную добавить нужный ему скрипт в список исключений плагина.

Хелме выступил против данной функции в плагине. По его словам, uBO может блокировать Google Analytics, не мешая отправке отчетов CSP.

Хилл в свою очередь возразил, что отчеты CSP являются потенциальной проблемой конфиденциальности, поскольку данные отправляются на удаленный сервер. Отчеты CSP помогают владельцу сайта исправлять проблемы при настройке сервера, однако они вообще не затрагивают возможные проблемы пользователей. По большому счету отчеты CSP – всего лишь маркетинг, отметил он.

Спор вызвал оживленную дискуссию среди исследователей безопасности. К настоящему времени компромисс так и не был достигнут, однако Хилл заявил, что изучит данную проблему и посмотрит, возможно ли блокировать только определенные отчеты CSP.

CSP (Политика защиты контента) – дополнительный уровень безопасности, который помогает обнаружить и смягчить некоторые виды атак, в том числе межсайтовый скриптинг (XSS) и внедрение данных.

Подписывайтесь на каналы “SecurityLab” в Telegram и Twitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.

голоса

Рейтинг статьи