Блокировщик перестарался

Исследователь Скотт Хелм обнаружил проблему популярного плагина uBlock Origin, используемого в браузерах для блокировки нежелательной рекламы. Как выяснилось, это ПО блокирует не только рекламу, но и предупреждения о возможных хакерских вмешательствах. Речь идет о достаточно новой технологии, известной как политика информирования о безопасности контента (content security policy reporting – CSP). Этот интегрированный в браузеры инструмент призван защитить сайты от внедрения вредоносных JavaScript-кодов и атак по типу межсайтового скриптинга. Обнаружив подозрительный код, CSP извещает о нем администраторов сайта.

Однако этого не происходит, если в браузере включен плагин uBlock Origin, а на странице уже разрешен какой-либо посторонний код, потенциально затрагивающий конфиденциальность пользователя. Это, например, может быть вполне безобидный скрипт Google Analytics. Но блокировщик по умолчанию решает, что наличие сторонних кодов на странице разрешено – и отключает уведомления CSP, тем самым лишая администраторов сайта возможности узнать об атаке от посетителей страницы.

Ситуация вызвала жаркие споры среди специалистов. Разработчик uBlock Origin Рэймонд Хилл заявил, что не считает находку Скотта Хелма проблемой или ошибкой своего детища. Он отметил, что блокировщик заботится о пользователе, а не об администраторах посещаемых им страниц. Хилл также добавил, что если пользователь все же хочет, чтобы администраторы ресурсов получали с его браузера уведомления CSP, то он волен вручную внести тот же скрипт Google Analytics или любой другой код в список исключений плагина. Впрочем, многие эксперты выразили недоумение его позицией, указав, что забота о безопасности не может быть односторонней, и нельзя защищать интересы только пользователей в ущерб интересам администраторов веб-ресурсов. В результате Рэймонд Хилл все же согласился внимательнее изучить проблему и выяснить, существуют ли пути ее устранения.