Новости Тысячи расширений Chrome отключают заголовки безопасности

Специальный корреспондент
Собака

Собака

Пресс-служба
Команда форума
Private Club
Регистрация
13/10/15
Сообщения
54.786
Репутация
62.290
Реакции
276.912
RUB
0
2485 расширений изменяли как минимум один заголовок безопасности, используемый популярными web-сайтами.
image



Тысячи расширений для браузера Google Chrome, доступных в официальном online-магазине Chrome, изменяют заголовки безопасности на популярных web-сайтах, подвергая пользователей риску широкого спектра кибератак.

Каждый раз, когда пользователь обращается к web-сайту, браузер делает запрос на сервер и последний загружает страницу. Хотя сами по себе сайты отображаются с помощью кода HTML, JavaScript и CSS, администраторы сайтов могут добавлять дополнительные настройки в заголовок HTTP-соединения с целью указать браузеру пользователя обрабатывать доставленный контент определенным образом. Не все web-сайты используют заголовки безопасности, но многие из современных web-сервисов обычно используют их для защиты пользователей от атак.

Исследователи из Центра информационной безопасности имени Гельмгольца CISPA оценить количество расширений Chrome, вмешивающихся в заголовки безопасности. С помощью пользовательского фреймворка, созданного специально для целей исследования, эксперты проанализировали 186 434 расширения для Chrome, которые были доступны в официальном интернет-магазине в прошлом году. По результатам исследования, 2485 расширений перехватывали и изменяли по крайней мере один заголовок безопасности, используемый 100 самыми популярными web-сайтами (согласно списку Tranco).

Исследование не фокусировалось на всех заголовках безопасности, а только на четырех наиболее распространенных, таких как Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options и X- Content-Type-Options. В 553 случаях вредоносные расширения отключали все четыре заголовка безопасности.

Наиболее часто отключаемым заголовком безопасности был CSP, позволяющий владельцам сайтов контролировать, какие web-ресурсы разрешено загружать странице в браузере, и обеспечивающий защиту от XSS-атак и внедрения данных.



 
Сверху Снизу