La Free Software Foundation va presentar el projecte JShelter, que desenvolupa un complement del navegador per protegir-se de les amenaces que sorgeixen quan s'utilitza JavaScript als llocs web, inclosa la identificació oculta, el seguiment dels moviments i l'acumulació de dades d'usuari. El codi del projecte es distribueix sota la llicència GPLv3. El complement està preparat per a Firefox, Google Chrome, Opera, Brave, Microsoft Edge i altres navegadors basats en el motor Chromium.
El projecte s'està desenvolupant com una iniciativa conjunta finançada per la Fundació NLnet. Giorgio Maone, creador del complement NoScript, així com els fundadors del projecte J++ i els autors dels complements JS-Shield i JavaScript Restrictor, també es van unir al desenvolupament de JShelter. El complement JavaScript Restrictor s'utilitza com a base per al nou projecte.
JShelter es pot pensar com una mena de tallafoc per a interfícies de programació JavaScript disponibles per a llocs web i aplicacions web. El complement proporciona quatre nivells de protecció, així com un mode de configuració flexible per accedir a l'API. El nivell zero permet accedir completament a totes les API, el primer inclou un bloqueig mínim que no interromp el funcionament de les pàgines, el segon nivell equilibra entre bloqueig i compatibilitat i el quart nivell inclou un bloqueig estricte de tot allò que no és necessari.
La configuració de bloqueig de l'API es pot vincular a llocs individuals; per exemple, la protecció es pot reforçar per a alguns llocs i es pot desactivar per a d'altres. També podeu bloquejar selectivament determinats mètodes, objectes, propietats i funcions de JavaScript, o canviar els valors de retorn (per exemple, produir informació falsa sobre el sistema). Una característica independent és el mode NBS (Network boundary shield), que no permet que les pàgines utilitzin el navegador com a intermediari entre xarxes externes i locals (totes les sol·licituds sortints s'intercepten i s'analitzen).
API bloquejades o restringides:
- window.Date, window.performance.now(), window.PerformanceEntry, Event.prototype.timeStamp, Gamepad.prototype.timestamp i VRFrameData.prototype.timestamp: la sortida de temps exacta es pot utilitzar per identificar i dur a terme atacs de canal lateral .
- HTMLCanvasElement (canvas.toDataURL(), canvas.toBlob(), CanvasRenderingContext2D.getImageData, OffscreenCanvas.convertToBlob()): s'utilitza per determinar les característiques del subsistema gràfic quan s'identifica un usuari.
- AudioBuffer i AnalyserNode (AudioBuffer.getChannelData(), AudioBuffer.copyFromChannel(), AnalyserNode.getByteTimeDomainData(), AnalyserNode.getFloatTimeDomainData(), AnalyserNode.getByteFrequencyData() i AnalyserNode () i AnalyserNode () i AnalyserNode.
- WebGLRenderingContext: identificació mitjançant l'anàlisi de les característiques de la pila de gràfics i la GPU.
- MediaDevices.prototype.enumerateDevices - identificació mitjançant l'obtenció de paràmetres i noms de la càmera i el micròfon.
- navigator.deviceMemory, navigator.hardwareConcurrency: obtenció d'informació sobre el maquinari.
- XMLHttpRequest (XHR): transfereix la informació recopilada del sistema a un servidor extern després de carregar la pàgina.
- ArrayBuffer: realitza atacs Spectre de microarquitectura.
- WebWorker (window.Worker), SharedArrayBuffer (window.SharedArrayBuffer) - realitzant atacs que avaluen els retards en accedir a les dades.
- API de geolocalització (navigator.geolocation): accés a la informació d'ubicació (l'addició us permet distorsionar les dades retornades).
- Gamepad API (navigator.getGamepads()) és un dels signes d'identificació que té en compte la presència d'un gamepad al sistema.
- API de realitat virtual, API de realitat mixta: ús de paràmetres del dispositiu de realitat virtual per a la identificació.
- window.name - filtracions entre llocs.
- navigator.sendBeacon: s'utilitza per a l'anàlisi web.
Font: opennet.ru