¿Puede mi computadora estar comprometida por la lista de filtros uBlock / Adblock

1

uBlock es de código abierto y supongo que confío en el autor. Pero las listas de filtros son algo que es mantenido por otras personas. ¿Es posible agregar algo para filtrar la lista para comprometer la computadora / navegador, por ejemplo, obtener mis datos y enviarlos al servidor del atacante?

La pregunta surgió leyendo:

  

Los filtros genéricos medio-alto se implementan de la siguiente manera: Todos los   filtros genéricos de alto y medio que coinciden con los 8 primeros caracteres de   La URL de un enlace en una página web se considerará relevante para la web.   Página y, por tanto, se inyectará un selector CSS basado en estos filtros.   en la página web, con el fin de ocultar los enlaces no deseados.

Si el autor de la extensión no solo oculta los elementos DOM, sino que inyecta algo (¿CSS ?, ¿CSS ?, ¿es seguro inyectar CSS?) en la página, ¿puede ser posible inyectar el script JS en todas mis páginas, que ¿Enviaré mis datos al servidor del atacante?

    
pregunta demas 06.08.2017 - 18:08
fuente

1 respuesta

1

Sin hacer una revisión completa del código de uBlock, la respuesta sería "sí", el autor de una extensión que tiene acceso para modificar el DOM podría agregar y eliminar CSS y JS. La extensión de Chrome de LastPass inyecta javascript para completar las contraseñas. uBlock usa CSS y bloquea las solicitudes de bibliotecas remotas. Ambos permisos pueden generar vulnerabilidades y consecuencias no deseadas, como la reciente revelación de que CSS se puede usar para robar información de tarjetas de crédito en determinadas circunstancias.

Personalmente, he visto extensiones ilegales que se han instalado en las máquinas de los clientes que agregan "Russian Bride" y anuncios de farmacias a la página de inicio de Google al modificar el DOM.

Dicho esto, la comunidad que trabaja con las listas de bloqueo de uBlock es diligente, y si hubiera un problema, me imagino que sería de corta duración.

Al final, como señalaste en tu pregunta, debes decidir si vas a confiar en la extensión y el autor.

    
respondido por el DrDamnit 06.08.2017 - 20:05
fuente

Lea otras preguntas en las etiquetas