JShelter - An anti-malware Web browser extension
Buongiorno nexiane, finalmente un software per (cercare di) impedire a JavaScript di fare i peggiori danni... ovvero: siccome NON VOGLIONO sistemare il runtime JavaScript per evitare che faccia danni, mettiamogli finalmente un bel filtro. https://jshelter.org/ --8<---------------cut here---------------start------------->8--- What is JShelter? JShelter is a browser extension to give back control over what your browser is doing. A JavaScript-enabled web page can access much of the browser's functionality, with little control over this process available to the user: malicious websites can uniquely identify you through fingerprinting and use other tactics for tracking your activity. JShelter aims to improve the privacy and security of your web browsing. How does it work? Like a firewall that controls network connections, JShelter controls the APIs provided by the browser, restricting the data that they gather and send out to websites. JShelter adds a safety layer that allows the user to choose if a certain action should be forbidden on a site, or if it should be allowed with restrictions, such as reducing the precision of geolocation to the city area. This layer can also aid as a countermeasure against attacks targeting the browser, operating system or hardware. --8<---------------cut here---------------end--------------->8--- Per i dettagli tecnici in merito a quanto sia problematico JavaScript per la sicurezza (via https://jshelter.org/credits/): --8<---------------cut here---------------start------------->8--- Key ideas The development of this extension is influenced by the paper JavaScript Zero: Real JavaScript and Zero Side-Channel Attacks [1]. It appeared during the work of Zbyněk Červinka and provided basically the same approach to restrict APIs as was at the time developed by Zbyněk Červinka. The Force Point report [2] was a key inspiration for the development of the Network Boundary Shield. Some of the fingerprinting counter-measures are inspired by Farbling of the Brave browser [3]. --8<---------------cut here---------------end--------------->8--- Per ulteriori dettagli tecnici: https://jshelter.org/blog/ Saluti, 380° [1] https://attacking.systems/web/files/jszero.pdf [2] «Attacking the internal network from the public Internet using a browser as a proxy» https://www.forcepoint.com/sites/default/files/resources/files/report-attack... [3] https://jshelter.org/farbling/ -- 380° (Giovanni Biscuolo public alter ego) «Noi, incompetenti come siamo, non abbiamo alcun titolo per suggerire alcunché» Disinformation flourishes because many people care deeply about injustice but very few check the facts. Ask me about <https://stallmansupport.org>.
Grazie Giovanni, è bello che qualcuno inizi a considerare la questione. On Tue, 26 Oct 2021 11:17:37 +0200 380° wrote:
Attacking the internal network from the public Internet using a browser as a proxy
Vi si legge, da marzo 2019
Though not a new attack, it is not widely known outside of the security research community that a malicious JavaScript can attack the internal network. [...]
Since a browser will by default have access to localhost as well as the local LAN, these attacks can bypass a potential local host-based firewall as well as the corporate/consumer perimeter firewall.
Ovvero quanto ad agosto 2018 io segnalavo agli sviluppatori di Firefox e Chrome https://bugzilla.mozilla.org/show_bug.cgi?id=1487081 https://bugs.chromium.org/p/chromium/issues/detail?id=879381 che dopo avermi fatto bannare da Lobste.rs (cui avevano indirizzato per discutere la questione[1] ma senza rispondere alle mie domande) hanno spiegato[2]
this is the Web functioning as designed
L'accesso alla rete interna era solo uno dei potenziali attacchi segnalati (quello usato dal governo Russo[3] per identificare "persone attente alla privacy e con competenze tecniche decenti"), ma la segnalazione rimane "RESOLVED INVALID". Nello stesso modo il finger printing è solo uno degli attacchi resi possibili dall'esecuzione automatica di codice personalizzato controllato da terze parti. Devo dare un'occhiata al codice di JShelter, ma assumendo che funzioni perfettamente ha comunque un limite: scarica il codice JS e questo può essere sufficiente per la tracciatura. Per il momento io utilizzo uMatrix [4] o uBlock Origin [5] (in modalità expert) insieme a LocalCDN [6], talvolta via Tor (di cui NoScript è la prima cosa che disinstallo) ed appena potrò dare un'occhiata al sorgente, magari aggiungerò anche JShelter. Prima o poi vorrei trovare il tempo per mettere su un tutorial o una guida su come usare questi tool insieme per minimizzare i dati diffusi durante la navigazione web, ma il problema è che si tratta di soluzioni che cercano di minimizzare i danni in un contesto estremamente ostile. E' un po' come scrivere una guida per finire Doom in modalità Nightmere! senza cheatcodes [7]: è... complicato [8]! Per quanto ben fatte siano le armi disponibili, non è possibile usarle in modo efficace senza comprendere un minimo il funzionamento del web. Contrariamente a Doom, però, non è divertente e le ferite (i dati sottratti) rimangono per sempre ed hanno effetti seri nella vita reale. Giacomo [1] https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c3 [2] https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c10 [3] https://bugzilla.mozilla.org/show_bug.cgi?id=1487081#c16 [4] https://github.com/gorhill/uMatrix [5] https://ublockorigin.com/ [6] https://www.localcdn.org/ [7] https://doom.fandom.com/wiki/Doom_Cheat_Codes [8] detto questo, mia figlia 12enne ci riesce in abbastanza bene, quindi dovrebbe essere alla portata di molti adulti...
participants (2)
-
380° -
Giacomo Tesio