За последние несколько лет блокировщики рекламы стали очень популярными из-за роста объема рекламного контента, размещаемого на сайтах. Но как оказалось, такие продукты тоже не без изъянов. Специалистам удалось обнаружить интересную особенность одного из самых популярных блокировщиков рекламы, которая может представлять опасность для пользователей.
Проблема была обнаружена специалистом Скоттом Хелме. Он занимается исследованием проблем безопасности различных программных продуктов и прочих инструментов, используемых в том числе и в браузерах. На этот раз в поле зрения попал блокировщик рекламы uBlock Origin. Он пользуется огромной популярностью среди пользователей, поэтому проблема, описанная Скоттом, является актуальной и очень серьезной.
Дело в том, что при активации uBlock Origin в любом из популярных браузеров под блокировку подпадает не только рекламный контент, но еще и инструмент CSP, который отвечает за политику защиты контента и предотвращает внедрение вредоносного кода JavaScript и совершения XSS-атак.
Главной задачей Content security policy является отправка администраторам сайта уведомлений о том, что на их ресурс была совершена попытка атаки.
Блокировка CSP в таких популярных браузерах, как Chrome и Firefox, происходит не всегда. Например, она применяется, если на странице запущен и действует какой-либо из скриптов, имеющих отношение к конфиденциальности пользователя. Это может быть даже скрипт Google Analytics.
Заметить эту функцию блокировщика не так уж и просто. Хемле наткнулся на нее совершенно случайно, когда обнаружил, что на его сайте не один отчет о попытках совершения атак не отправляется. Как выяснилось позже, виной всему блокировщик рекламы.
После детального изучения проблемы стало ясно, что браузеры, в которых активирован uBlock Origin попросту не отправляют предупреждения администраторам. Получается, что разработчики могут даже не догадываться, что кто-то посторонний осуществил попытку взлома кода. В этом случае администраторы даже не узнают, если их ресурс будет скомпрометирован.
По словам одного из разработчиков плагина Реймонда Хилла, если пользователь не согласен с такой политикой блокировщика, то он может запросто ее изменить, правда делать придется это вручную. Для этого в список исключений расширения необходимо добавить нужный скрипт. После этого отчеты CSP снова начнут отправляться.
Хелме уверен, что эта функция в расширении для блокировки рекламы вовсе не нужна, но Хилл с его мнением не согласился. Он уверен, что отчеты CSP могут представлять угрозу для пользователей, так как отчеты со всеми данными отправляются на сторонний сервер. Он назвал эти отчеты простым маркетинговым ходом, который помогает владельцам сайтов настраивать свои ресурсы, но совершенно никоим образом не помогают решать проблемы пользователей.
Вокруг этой темы разгорелась настоящая дискуссия, которая до сих пор продолжается. Нашлись сторонники как одной, так и другой стороны. Но в ходе данного спора Хилл заявил, что эта проблема должна быть досконально изучена. Он пообещал заняться этим и рассмотреть возможность блокирования не всех отчетов CSP, а только тех, которые представляют серьезную угрозу конфиденциальности пользователей.