Open Source Foundation представи JShelter добавка за браузър, за да ограничи JavaScript API

Фондацията за свободен софтуер представи проекта JShelter, който разработва добавка за браузър за защита срещу заплахи, които възникват при използване на JavaScript на уебсайтове, включително скрита идентификация, проследяване на движения и натрупване на потребителски данни. Кодът на проекта се разпространява под лиценз GPLv3. Добавката е подготвена за Firefox, Google Chrome, Opera, Brave, Microsoft Edge и други браузъри, базирани на двигателя Chromium.

Проектът се развива като съвместна инициатива, финансирана от фондация NLnet. Giorgio Maone, създател на добавката NoScript, както и основателите на проекта J++ и авторите на добавките JS-Shield и JavaScript Restrictor, също се включиха в разработката на JShelter. Добавката JavaScript Restrictor се използва като основа за новия проект.

JShelter може да се разглежда като вид защитна стена за интерфейси за програмиране на JavaScript, достъпни за уебсайтове и уеб приложения. Добавката предоставя четири нива на защита, както и гъвкав режим на конфигурация за достъп до API. Ниво нула напълно позволява достъп до всички API, първото включва минимално блокиране, което не нарушава работата на страниците, второто ниво балансира между блокиране и съвместимост, а четвъртото ниво включва стриктно блокиране на всичко ненужно.

Настройките за блокиране на API могат да бъдат обвързани с отделни сайтове, например защитата може да бъде засилена за някои сайтове и деактивирана за други. Можете също така избирателно да блокирате определени методи, обекти, свойства и функции на JavaScript или да промените върнатите стойности (например да създадете невярна информация за системата). Отделна функция е режимът NBS (Network boundary shield), който не позволява на страниците да използват браузъра като прокси между външни и локални мрежи (всички изходящи заявки се прихващат и анализират).

Блокирани или ограничени API:

• window.Date, window.performance.now(), window.PerformanceEntry, Event.prototype.timeStamp, Gamepad.prototype.timestamp и VRFrameData.prototype.timestamp - точният изходен час може да се използва за идентифициране и извършване на атаки от страничен канал .
• HTMLCanvasElement (canvas.toDataURL(), canvas.toBlob(), CanvasRenderingContext2D.getImageData, OffscreenCanvas.convertToBlob()) - използва се за определяне на характеристиките на графичната подсистема при идентифициране на потребител.
• AudioBuffer и AnalyserNode (AudioBuffer.getChannelData(), AudioBuffer.copyFromChannel(), AnalyserNode.getByteTimeDomainData(), AnalyserNode.getFloatTimeDomainData(), AnalyserNode.getByteFrequencyData() и AnalyserNode.getFloatFrequencyData()) - идентификация чрез анализ на аудио сигнали.
• WebGLRenderingContext - идентифициране чрез анализ на характеристиките на графичния стек и GPU.
• MediaDevices.prototype.enumerateDevices - идентификация чрез получаване на параметри и имена на камерата и микрофона.
• navigator.deviceMemory, navigator.hardwareConcurrency - получаване на информация за хардуера.
• XMLHttpRequest (XHR) - прехвърля събраната системна информация към външен сървър, след като страницата се зареди.
• ArrayBuffer - извършване на микроархитектурни Spectre атаки.
• WebWorker (window.Worker), SharedArrayBuffer (window.SharedArrayBuffer) - извършване на атаки, които оценяват забавянията при достъп до данни.
• API за геолокация (navigator.geolocation) - достъп до информация за местоположение (добавката ви позволява да изкривите върнатите данни).
• API на геймпада (navigator.getGamepads()) е един от идентификационните знаци, който отчита наличието на геймпад в системата.
• API за виртуална реалност, API за смесена реалност - използване на параметри на устройството за виртуална реалност за идентификация.
• window.name - течове между сайтове.
• navigator.sendBeacon - използва се за уеб анализи.

Източник: opennet.ru