Тысячи расширений Chrome отключают заголовки безопасности

Чт 27 Май 2021 07:28

Тысячи расширений для браузера Google Chrome, доступных в официальном online-магазине Chrome, изменяют заголовки безопасности на популярных web-сайтах, подвергая пользователей риску широкого спектра кибератак.

Каждый раз, когда пользователь обращается к web-сайту, браузер делает запрос на сервер и последний загружает страницу. Хотя сами по себе сайты отображаются с помощью кода HTML, JavaScript и CSS, администраторы сайтов могут добавлять дополнительные настройки в заголовок HTTP-соединения с целью указать браузеру пользователя обрабатывать доставленный контент определенным образом. Не все web-сайты используют заголовки безопасности, но многие из современных web-сервисов обычно используют их для защиты пользователей от атак.

Исследователи из Центра информационной безопасности имени Гельмгольца CISPA попытались оценить количество расширений Chrome, вмешивающихся в заголовки безопасности. С помощью пользовательского фреймворка, созданного специально для целей исследования, эксперты проанализировали 186 434 расширения для Chrome, которые были доступны в официальном интернет-магазине в прошлом году. По результатам исследования, 2485 расширений перехватывали и изменяли по крайней мере один заголовок безопасности, используемый 100 самыми популярными web-сайтами (согласно списку Tranco).

Исследование не фокусировалось на всех заголовках безопасности, а только на четырех наиболее распространенных, таких как Content-Security Policy (CSP), HTTP Strict-Transport-Security (HSTS), X-Frame-Options и X- Content-Type-Options. В 553 случаях вредоносные расширения отключали все четыре заголовка безопасности.

Наиболее часто отключаемым заголовком безопасности был CSP, позволяющий владельцам сайтов контролировать, какие web-ресурсы разрешено загружать странице в браузере, и обеспечивающий защиту от XSS-атак и внедрения данных.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 132 дня 11 часов 58 минут 15 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.