D'Free Software Foundation huet de JShelter-Projet agefouert, deen e Browser-Add-on entwéckelt fir géint Bedrohungen ze schützen déi entstinn wann Dir JavaScript op Websäiten benotzt, inklusiv verstoppt Identifikatioun, Tracking Bewegungen an d'Akkumulatioun vu Benotzerdaten. De Projet Code gëtt ënner der GPLv3 Lizenz verdeelt. Den Add-on ass virbereet fir Firefox, Google Chrome, Opera, Brave, Microsoft Edge an aner Browser baséiert op dem Chromium Engine.
De Projet gëtt entwéckelt als eng gemeinsam Initiativ finanzéiert vun der NLnet Foundation. De Giorgio Maone, Creator vum NoScript Add-on, wéi och d'Grënner vum J++ Projet an d'Autoren vun den JS-Shield a JavaScript Restrictor Add-ons, sinn och mat der Entwécklung vum JShelter bäitrieden. De JavaScript Restrictor Add-on gëtt als Basis fir den neie Projet benotzt.
JShelter kann als eng Aart Firewall fir JavaScript Programméierungsinterfaces op Websäiten a Webapplikatiounen verfügbar sinn. Den Add-on bitt véier Niveaue vu Schutz, souwéi e flexibele Konfiguratiounsmodus fir Zougang zu der API. Niveau Null erlaabt komplett Zougang zu all APIen, déi éischt enthält minimal Blockéierung déi d'Operatioun vu Säiten net stéiert, den zweeten Niveau balanséiert tëscht Blockéierung a Kompatibilitéit, an de véierte Niveau enthält strikt Blockéierung vun alles wat onnéideg ass.
API Spär Astellunge kënnen un eenzel Siten gebonnen ginn, zum Beispill, Schutz kann fir e puer Siten gestäerkt ginn, an behënnert fir anerer. Dir kënnt och selektiv verschidde JavaScript Methoden, Objeten, Eegeschaften a Funktiounen blockéieren, oder Retourwäerter änneren (zum Beispill falsch Informatioun iwwer de System produzéieren). Eng separat Feature ass den NBS (Network boundary shield) Modus, deen Säiten net erlaabt de Browser als Proxy tëscht externen a lokalen Netzwierker ze benotzen (all erausginn Ufroe ginn ofgefaangen an analyséiert).
Blockéiert oder limitéiert APIen:
- window.Date, window.performance.now(), window.PerformanceEntry, Event.prototype.timeStamp, Gamepad.prototype.timestamp a VRFrameData.prototype.timestamp - déi exakt Zäitausgang ka benotzt ginn fir Säitkanalattacken z'identifizéieren an auszeféieren .
- HTMLCanvasElement (canvas.toDataURL (), canvas.toBlob (), CanvasRenderingContext2D.getImageData, OffscreenCanvas.convertToBlob ()) - benotzt d'Fonctiounen vun der Grafiken subsystem ze bestëmmen wann e Benotzer Identifikatioun.
- AudioBuffer and AnalyserNode (AudioBuffer.getChannelData(), AudioBuffer.copyFromChannel(), AnalyserNode.getByteTimeDomainData(), AnalyserNode.getFloatTimeDomainData(), AnalyserNode.getByteFrequencyData() an AnalyserNode.getByteTimeDomainData()
- WebGLRenderingContext - Identifikatioun duerch Analyse vun Features vum Grafikstack a GPU.
- MediaDevices.prototype.enumerateDevices - Identifikatioun andeems Dir Parameteren an Nimm vun der Kamera a Mikrofon kritt.
- navigator.deviceMemory, navigator.hardwareConcurrency - Informatiounen iwwer Hardware kréien.
- XMLHttpRequest (XHR) - transferéiert gesammelt Systeminformatioun op en externen Server nodeems d'Säit gelueden ass.
- ArrayBuffer - duerchgefouert mikroarchitektural Spectre Attacken.
- WebWorker (window.Worker), SharedArrayBuffer (window.SharedArrayBuffer) - Attacken ausféieren, déi Verspéidungen evaluéieren beim Zougang zu Daten.
- Geolocation API (navigator.geolocation) - Zougang zu Standuertinformatioun (d'Zousätzlech erlaabt Iech déi zréckginn Donnéeën ze verzerren).
- Gamepad API (navigator.getGamepads ()) ass ee vun den Identifikatiounsschëlder, déi d'Präsenz vun engem Gamepad am System berücksichtegt.
- Virtual Reality API, Mixed Reality API - Benotzung vu virtuelle Realitéit Apparatparameter fir Identifikatioun.
- window.name - Kräiz-Site Leckage.
- navigator.sendBeacon - fir Webanalyse benotzt.
Source: opennet.ru