Uno de los errores más frecuentes que encuentra DOM Snitch en los sitios es Untrusted code . Lo encuentra en google.com por ejemplo. Aquí hay un resultado de esta herramienta :
¿Es una vulnerabilidad?
Editar: este informe de DOM Snitch se debió a la habilitación de la función de llamada por clic de Skype que envía solicitudes mientras se carga la página
La heurística "Código no confiable" pretende marcar la inclusión de cualquier recurso que esté alojado fuera del origen inmediato o una lista predefinida de orígenes seguros ( enlace ). La base de esta heurística es proporcionar una señal si está incluyendo recursos de un origen que no debería. No evalúa si un recurso incluido es inseguro o no.
En cuanto al ejemplo anterior, el script incluido no es de DOM Snitch ya que la extensión en sí usa JavaScript en línea cuando necesita pasar código JavaScript a la página en sí. Consulte enlace .
La documentación sobre DOM Snitch es un poco escasa, por lo que solo puedo suponer que por "Código no confiable" se refieren a Javascript de una fuente diferente a la de la página actual en la que se encuentra.
La captura de pantalla que proporcionaste muestra que el "código no confiable" es una extensión de Chrome que el navegador Chrome cargará a través de una etiqueta <script> inyectada en la página actual.
Las extensiones usan este llamado "script de contenido" para analizar la página actual y hacer algo si pretende hacer algo con ella. No todas las extensiones serán agregadas a cada página. Esto se controla a través de los permisos que se solicitan al instalar una extensión. Algunas extensiones solicitan acceso a todas las páginas ( por ejemplo, Stylish solicita permiso para "Sus datos en todos los sitios web" ), algunas solo para algunas páginas ( Google Mail Checker tiene acceso a "Sus datos en google.com" ), y algunos para ninguno ( la aplicación oficial de GMail ).
En conclusión, debe estar seguro, siempre y cuando confíe en el autor de la extensión.
El "código no confiable" se define por el origen de un recurso relativo al recurso actual a través de la " configuración de SafeOrigins ". La forma en que DOM Snitch implementa esto es, en mi opinión, de poco valor, ya que si el recurso actual se modificó con una intención hostil, no importaría si el elemento hostil fuera local o no local.
Información sobre la configuración de SafeOrigins:
Utilizado por la heurística de untrustedCode, este campo especifica los orígenes que se consideran de confianza para hospedar scripts, CSS y Flash películas.
"safeOrigins": [" .example.com", "foo.example.com/example/ "]
Lea otras preguntas en las etiquetas web-browser vulnerability-scanners
