JShelter, FSF spraudnis, lai ierobežotu JavaScript API

Brīvās programmatūras fonds iepazīstināja ar projektu JShelter, kas attīsta a pārlūkprogrammas spraudnis, lai aizsargātu pret JavaScript radītajiem draudiem tīmekļa vietnēs, tostarp slēptā identifikācija, kustību izsekošana un lietotāju datu vākšana.

Projekta kods Tas tiek izplatīts saskaņā ar GPLv3 licenci. Spraudnis ir gatavs pārlūkprogrammām Firefox, Google Chrome, Opera, Brave, Microsoft Edge un citām pārlūkprogrammām, kuru pamatā ir Chromium dzinējs.

Projekts tā tiek izstrādāta kā kopīga iniciatīva, ko finansē NLnet fonds. JShelter ir pievienojies arī NoScript spraudņa radītājam Giorgio Maone, kā arī projekta J ++ dibinātājiem un spraudņu JS-Shield un Restricted JavaScript autoriem. JavaScript ierobežojošais spraudnis tiek izmantots kā jaunā projekta pamats.

Lielākajā daļā mūsdienu vietņu ir arvien vairāk programmu, kuras lietotāja tīmekļa pārlūkprogramma lejupielādē un palaiž automātiski, kad lapas tiek ielādētas. Lai gan šīs JavaScript programmas var nodrošināt vietnei funkcionalitāti un vietējās pārlūkprogrammas funkcijas, tās ir arī svarīga atbildība gan no drošības, gan privātuma viedokļa. Turklāt programmatūra parasti tiek licencēta ar neētiskiem noteikumiem saskaņā ar FSF standartiem, tādējādi ierobežojot lietotāju iespējas un apgrūtinot mācīšanos un drošību.

JPatvērums var uzskatīt par JavaScript API ugunsmūri pieejams tīmekļa vietnēm un lietojumprogrammām. Papildinājums nodrošina četrus aizsardzības līmeņus, kā arī elastīgu konfigurācijas režīmu API piekļuvei. Nulles līmenis pilnībā ļauj piekļūt visām API, pirmais ietver minimālu bloķēšanu, kas nepārtrauc lapu darbu, otrais līmenis līdzsvaro slēdzenes un saderību, un ceturtais līmenis ietver stingru visu nevajadzīgo bloķēšanu.

API bloķēšanas iestatījumi var saistīt ar atsevišķām vietnēmPiemēram, vienai vietnei varat pastiprināt aizsardzību, bet citai - atspējot.

Piekļuve sīkfailiem, pirkstu nospiedumu izveidošana, lai izsekotu lietotājus vairākās vietnēs, vietējā tīkla adreses atklāšana vai lietotāju ievades iegūšana pirms veidlapas iesniegšanas ir daži JavaScript iespēju piemēri, ko var izmantot kaitīgā veidā. JShelter pievieno drošības slāni, kas ļauj lietotājam izvēlēties, vai kāda darbība vietnē ir jāaizliedz, vai arī tā ir jāatļauj ar ierobežojumiem, piemēram, samazinot ģeogrāfiskās atrašanās vietas precizitāti pilsētas teritorijā. Šis slānis var arī palīdzēt kā pretpasākums uzbrukumiem, kas vērsti uz pārlūkprogrammu, operētājsistēmu vai aparatūras līmeņiem.

JShelter projekts ir bezmaksas licencēts pret ļaunprātīgas programmatūras pārlūka paplašinājums, lai mazinātu iespējamos JavaScript draudus. Projekta vietne ir pieejama vietnē https://jshelter.org/. Tas jautās globāli vai pēc vietnes, vai lietotājs atļauj noteiktas vietējās funkcijas, ko nodrošina JavaScript dzinējs un dokumenta objekta modelis (DOM). 

arī var selektīvi bloķēt noteiktas metodes, objektus, rekvizītus un funkcijas JavaScript vai viltot atgriešanās vērtības (piemēram, sniedziet nepatiesu informāciju par sistēmu). Atsevišķi tiek izcelts NBS (tīkla robežu vairogs) režīms, kas neļauj lapām izmantot pārlūkprogrammu kā starpniekserveri starp ārējiem un vietējiem tīkliem (visi izejošie pieprasījumi tiek pārtverti un analizēti).

“JShelter tagad palīdzēs aizsargāt lietotājus no kritiskiem draudiem un ievērojami veicinās progresu, lai panāktu nepieciešamo ilgtermiņa kultūras maiņu no brīva JavaScript. Šis ir projekts, kuru es ilgi gaidīju, apnicis nodarboties ar visu veidu iespējamām antifunkcijām pārlūkprogrammās, kuras es izmantoju un izplatu, un man ir jāatrod kāds pretpasākums tām ar konfigurācijas izmaiņām, ielāpiem vai paplašinājumiem, ”sacīja Rubēns Rodrigess. , bijušais FSF galvenais tehnoloģiju virsnieks. "Spēja iesaiņot JavaScript dzinēju aizsardzības slānī ir spēles mainītājs."

Beidzot ja jūs interesē uzzināt vairāk par to, varat pārbaudīt informāciju Šajā saitē.

Tiem, kas ir ieinteresēti paplašinājuma instalēšanā savās pārlūkprogrammās, viņi to var iegūt vietnē šī saite.


Raksta saturs atbilst mūsu principiem redakcijas ētika. Lai ziņotu par kļūdu, noklikšķiniet uz šeit.

Esi pirmais, kas komentārus

Atstājiet savu komentāru

Jūsu e-pasta adrese netiks publicēta.

*

*

  1. Atbildīgais par datiem: Migels Ángels Gatóns
  2. Datu mērķis: SPAM kontrole, komentāru pārvaldība.
  3. Legitimācija: jūsu piekrišana
  4. Datu paziņošana: Dati netiks paziņoti trešām personām, izņemot juridiskus pienākumus.
  5. Datu glabāšana: datu bāze, ko mitina Occentus Networks (ES)
  6. Tiesības: jebkurā laikā varat ierobežot, atjaunot un dzēst savu informāciju.