Фонд СПО представил браузерное дополнение JShelter для ограничения JavaScript API
Автор
Сообщение
news_bot ®
Стаж: 6 лет 9 месяцев
Сообщений: 27286
Фонд свободного ПО представил проект JShelter, развивающий браузерное дополнение для защиты от угроз, возникающих при использовании JavaScript на сайтах, включая скрытую идентификацию, отслеживание перемещений и накопление данных о пользователе. Код проекта распространяется под лицензией GPLv3. Дополнение подготовлено для Firefox, Google Chrome, Opera, Brave, Microsoft Edge и других браузеров на основе движка Chromium.
Проект развивается как совместная инициатива, финансируемая фондом
NLnet Foundation. К разработке JShelter в том числе присоединился Джоржио Маоне (Giorgio Maone), создатель дополнения NoScript, а также основатели проекта J++ и авторы дополнений JS-Shield и JavaScript Restrictor. В качестве основы нового проекта использовано дополнение JavaScript Restrictor.
JShelter можно рассматривать как подобие межсетевого экрана для программных интерфейсов JavaScript, доступных сайтам и web-приложениям. Дополнение предоставляет четыре уровня защиты, а также режим гибкой настройки доступа к API. Нулевой уровень полностью разрешает доступ ко всем API, первый включает минимальные блокировки не нарушающие работу страниц, второй уровень балансирует между блокировками и совместимостью, а четвёртый уровень включает строгую блокировку всего лишнего.
Настройки блокировки API можно привязывать к отдельным сайтам, например, для какого-то сайта можно усилить защиту, а для какого-то отключить. Также можно выборочно блокировать определённые методы, объекты, свойства и функции JavaScript, или подменять возвращаемые значения (например, выдавать ложные сведения о системе). Отдельно выделяется режим NBS (Network boundary shield), который не позволяет страницам использовать браузер в качестве прокси между внешней и локальной сетями (перехватываются и анализируются все исходящие запросы).
Блокируемые или ограничиваемые API:
- window.Date, window.performance.now(), window.PerformanceEntry, Event.prototype.timeStamp, Gamepad.prototype.timestamp и VRFrameData.prototype.timestamp - выдаваемое точное время может использоваться для идентификации и проведения атак по сторонним каналам.
- HTMLCanvasElement (canvas.toDataURL(), canvas.toBlob(), CanvasRenderingContext2D.getImageData, OffscreenCanvas.convertToBlob()) - используются для определения особенностей графической подсистемы при идентификации пользователя.
- AudioBuffer и AnalyserNode (AudioBuffer.getChannelData(), AudioBuffer.copyFromChannel(), AnalyserNode.getByteTimeDomainData(), AnalyserNode.getFloatTimeDomainData(), AnalyserNode.getByteFrequencyData() и AnalyserNode.getFloatFrequencyData()) - идентификация через анализ звуковых сигналов.
- WebGLRenderingContext - идентификация через анализ особенностей графического стека и GPU.
- MediaDevices.prototype.enumerateDevices - идентификация через получение параметров и названий камеры и микрофона.
- navigator.deviceMemory, navigator.hardwareConcurrency - получение сведений об оборудовании.
- XMLHttpRequest (XHR) - передача собранных сведений о системе на внешний сервер после загрузки страницы.
- ArrayBuffer - проведение микроархитектурных атак типа Spectre.
- WebWorker (window.Worker), SharedArrayBuffer (window.SharedArrayBuffer) - проведение атак, оценивающих задержки при доступе к данным.
- Geolocation API (navigator.geolocation) - доступ к сведениям о местоположении (дополнение позволяет искажать возвращаемые данные).
- Gamepad API (navigator.getGamepads()) - один из признаков идентификации, учитывающий наличие в системе геймпада.
- Virtual Reality API, Mixed Reality API - использование параметров устройств виртуальной реальности для идентификации.
- window.name - межсайтовые утечки.
- navigator.sendBeacon - используется для web-аналитики.
===========
Источник:
OpenNet.RU
===========
Похожие новости
- Главная ссылка к новости (https://www.fsf.org/news/fsf-a...)
- OpenNews: Выпуск GNU LibreJS 7.20, дополнения для блокирования несвободного JavaScript в Firefox
- OpenNews: Фонд СПО планирует запустить новую платформу совместной разработки и хостинга кода
- OpenNews: Релиз web-браузера GNU IceCat 60.7.0
- OpenNews: Представлена новая техника скрытой идентификации системы и браузера
- OpenNews: Организация EFF переводит проект HTTPS Everywhere в разряд устаревших
Похожие новости:
- [Высокая производительность, IT-инфраструктура] Синхронизируем время по задачам с Jira заказчика
- [Управление разработкой, Управление проектами, Управление продуктом] Обновленный плагин YouTrack для IDE на платформе IntelliJ
- Проект GCC разрешил приём изменений без передачи Фонду СПО прав на код
- Идентификация через анализ внешних обработчиков протоколов в браузере
- [Интерфейсы, Научно-популярное, Мозг, Здоровье] Исследование движения глаз для улучшения здоровья и доступности (перевод)
- Фонд свободного ПО сертифицировал беспроводной маршрутизатор ThinkPenguin TPE-R1300
- [Разработка мобильных приложений, Монетизация мобильных приложений, Медийная реклама, Управление продуктом, IT-компании] Facebook всё-таки изменит свои рекламные инструменты из-за новых правил Apple о приватности
- Сопротивление внедрению API FLoC, продвигаемого Google вместо отслеживающих Cookie
- [Open source, Законодательство в IT, IT-компании] Проект Debian выбрал нейтральную позицию по итогам голосования по поводу отношения к Столлману
- [Open source, Законодательство в IT, Биографии гиков, IT-компании] Очередная акция противников RMS, на этот раз против фонда GNU
Теги для поиска: #_jshelter, #_track, #_fingerprint, #_fsf
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:56
Часовой пояс: UTC + 5
Автор | Сообщение |
---|---|
news_bot ®
Стаж: 6 лет 9 месяцев |
|
Фонд свободного ПО представил проект JShelter, развивающий браузерное дополнение для защиты от угроз, возникающих при использовании JavaScript на сайтах, включая скрытую идентификацию, отслеживание перемещений и накопление данных о пользователе. Код проекта распространяется под лицензией GPLv3. Дополнение подготовлено для Firefox, Google Chrome, Opera, Brave, Microsoft Edge и других браузеров на основе движка Chromium. Проект развивается как совместная инициатива, финансируемая фондом NLnet Foundation. К разработке JShelter в том числе присоединился Джоржио Маоне (Giorgio Maone), создатель дополнения NoScript, а также основатели проекта J++ и авторы дополнений JS-Shield и JavaScript Restrictor. В качестве основы нового проекта использовано дополнение JavaScript Restrictor. JShelter можно рассматривать как подобие межсетевого экрана для программных интерфейсов JavaScript, доступных сайтам и web-приложениям. Дополнение предоставляет четыре уровня защиты, а также режим гибкой настройки доступа к API. Нулевой уровень полностью разрешает доступ ко всем API, первый включает минимальные блокировки не нарушающие работу страниц, второй уровень балансирует между блокировками и совместимостью, а четвёртый уровень включает строгую блокировку всего лишнего. Настройки блокировки API можно привязывать к отдельным сайтам, например, для какого-то сайта можно усилить защиту, а для какого-то отключить. Также можно выборочно блокировать определённые методы, объекты, свойства и функции JavaScript, или подменять возвращаемые значения (например, выдавать ложные сведения о системе). Отдельно выделяется режим NBS (Network boundary shield), который не позволяет страницам использовать браузер в качестве прокси между внешней и локальной сетями (перехватываются и анализируются все исходящие запросы). Блокируемые или ограничиваемые API:
=========== Источник: OpenNet.RU =========== Похожие новости
|
|
Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете голосовать в опросах
Вы не можете прикреплять файлы к сообщениям
Вы не можете скачивать файлы
Текущее время: 22-Ноя 12:56
Часовой пояс: UTC + 5