Июл 01, 2015 - 0 Comments - Интересно -

Возможность выполнения JavaScript в обход ограничений NoScript

01.07.2015 19:34 Возможность выполнения JavaScript в обход ограничений NoScript

В популярном дополнении NoScript, используемом для блокирования выполнения нежелательного JavaScript-кода, выявлена недоработка, которая позволяет организовать выполнение произвольного JavaScript-кода под прикрытием белого списка. NoScript по умолчанию разрешает выполнение скриптов, загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих доверия ресурсов входит и домен googleapis.com, который используется не только для ресурсов Google, но и в работе публичных сервисов.

Для запуска своего JavaScript в обход NoScript атакующий может создать скрипт, разместив его в Google Cloud и установив прямую ссылку на storage.googleapis.com. Продолжив изучение белого списка исследователи пришли к выводу, что это не единичный случай. Например, присуствующий в белом списке домен zendcdn.net был освобождён и его удалось купить всего за 10 долларов. Обеспокоенным безопасностью пользователям рекомендуется очистить белый список NoScript (Options > Whitelist).

  1. Главная ссылка к новости (http://www.theregister.co.uk/2015/07/01/…)
Тип: Проблемы безопасности
Ключевые слова: noscript, (найти похожие документы)
При перепечатке указание ссылки на opennet.ru обязательно
 
 
 
+/
Policeman — точно нет. Я пытался с ним от NoScript избавиться — не вышло, хотя деталей не помню — то ли полные домены не позволял, то ли наобоот — только полные… Хотя, опять же, допилить могли, я нашёл удобный вариант и успокоился.
 
 
+/
Казалось бы, достаточно очевидно: открываешь NoScript и смотришь какие его функции не покрываются uMatrix-ом. Предпологаю что список включает в себя:
* блокировку шрифтов
* остановку действий похожих на XSS
* ABE (хотя лично я не понимаю в точности что это делает)
* ClearClick
* запрещение WebGL (хз нужно ли, но опция есть)
 
 
+/
Ну, с моей точки зрения это всё вообще третьестепенные штуки. Шрифты файрфокс и сам блокировать умеет, а остальное через расширения вроде Policeman/uMatrix и так не пролезет. За исключением запрета WebGL, конечно.
 
 
 
–1 +/
с тупизной браузера — очень хорошо борется — отсутствие плагинов и расширений… 🙂

…так как именно — плагины и расширения — приводят к тупке браузера.

 
 
–1 +/
Пара десятков рекламных и/или следящих вставок на паре десятков открытых страниц приводят к тупизне куда быстрее. JS-эффекты на странице, куда заходишь текст прочесть — тоже отлично справляются.

А так — из попадавшегося мне явно тупить умели тупить умели только Adblock Plus и какая-то хрень для автозамен на странице, да Firebug в своё время этим отличался.

 
+2 +/
Белый список надо чистить сразу после установки NoScript. Это расширение нужно именно для того, чтоб я сам решал, где какие скрипты можно выполнять, без всяких списков.
 
+/
> NoScript по умолчанию разрешает выполнение скриптов, загруженных с доверительных ресурсов, помещённых в белый список. В список заслуживающих доверия ресурсов входит и домен googleapis.com

спонсор показа — сервис googleapis? используйте только правильные аписы?

если честно, то я NoScript представлял себе иначе…

 

Ваш комментарий
 

This entry passed through the Full-Text RSS service — if this is your content and you’re reading it on someone else’s site, please read the FAQ at fivefilters.org/content-only/faq.php#publishers.


Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Человек ? *