IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

uBlock Origin empêche les navigateurs d'alerter les sites Web des attaques de type XSS


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 875
    Points : 86 930
    Points
    86 930
    Billets dans le blog
    2
    Par défaut uBlock Origin empêche les navigateurs d'alerter les sites Web des attaques de type XSS
    uBlock Origin empêche les navigateurs d'alerter les sites Web des attaques de type XSS
    en bloquant les rapports CSP

    L'adblocker populaire uBlock Origin est accusé d'être beaucoup trop radical dans sa mission au point de mettre en péril la sécurité de ses utilisateurs, en bloquant des rapports envoyés par les navigateurs pour alerter les sites Web de certaines attaques de piratage.

    Au cœur du problème se trouvent les alertes Content Security Policy (CSP). La CSP est une couche de sécurité supplémentaire qui aide à détecter et à atténuer certains types d'attaques, y compris les attaques XSS (Cross Site Scripting) et d'injection de données. Dans les attaques XSS, des scripts malveillants sont injectés sur des sites Web légitimes et fiables. Un attaquant peut utiliser une application Web pour envoyer un code malveillant, généralement sous la forme d'un script côté navigateur, à un autre utilisateur final. Il faut noter que ces attaques sont utilisées dans tout ce qui concerne le vol de données, le défaçage de sites Web ou la distribution de logiciels malveillants.

    Les sites Web peuvent utiliser la technologie CSP pour mettre en liste blanche un script qu’ils autorisent à s'exécuter sur leurs pages, empêchant ainsi les attaquants d'injecter du code JavaScript malveillant dans les navigateurs pour détourner les comptes des utilisateurs. Cette technologie, qui est un draft du W3C, est censée stopper les attaques XSS et signaler automatiquement les tentatives de piratage aux administrateurs du site, mais pas si uBlock Origin est installé sur le navigateur qui est censé lancer l'alerte.

    D'après un chercheur en sécurité du nom de Scott Helme, l'adblocker populaire empêche en effet les navigateurs d'envoyer les alertes CSP. « uBO bloque l'envoi de rapports CSP légitimes. J'ai une configuration de politique mise en place sur scotthelme.co.uk qui déclenche plusieurs rapports qui sont tous bloqués », a-t-il écrit dans un rapport de bogue sur GitHub.

    En réponse à sa préoccupation, le développeur d'uBlock Origin Raymond Hill a fait savoir que cela est prévu « par conception » et que son extension bloque les alertes CSP si un script neutralisé pour protéger la vie privée de l'utilisateur est autorisé sur la page, par exemple un script Google Analytics, comme c'était le cas avec le site de Scott Helme.

    Hill explique que de faux rapports CSP peuvent être générés quand l'adblocker neutralise les scripts Google Analytics. Quand des rapports CSP sont générés, uBO suppose donc que c'est la neutralisation qui a provoqué cela, et qu'il s'agit d'un faux positif. Dans ce cas, il bloque les rapports pour empêcher les fuites d'informations, d'après Raymond Hill. Le développeur d'uBO explique toutefois que des utilisateurs pourraient manuellement mettre Google Analytics sur liste blanche pour un site particulier afin d'éviter la suppression de tout rapport CSP et corriger le problème. Il va encore défendre le blocage des rapports CSP en affirmant qu’ils ne profitent pas aux utilisateurs, et que le dire serait juste du marketing.


    Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité, est que « si vous avez un risque XSS sur votre site, par exemple, un navigateur exécutant uBlock Origin ne peut plus vous le signaler. » Autrement dit, les sites Web ne recevront pas d'alertes des navigateurs lorsque uBlock Origin est installé et que des acteurs malveillants essaient d'exécuter des attaques XSS. Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.


    Après la réaction du développeur d'uBlock Origin, Paul Moore, un autre chercheur en sécurité s'exprimant sur ce problème, a trouvé « bizarre » qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse non seulement des fonctionnalités importantes des agents utilisateurs, mais son développeur refuse de corriger le problème.


    Scott Helm pour sa part pense que uBO peut bloquer Google Analytics sans interférer avec les rapports CSP. « Les deux choses ne sont pas liées, ils choisissent d'empêcher l'envoi du rapport CSP », a-t-il dit.

    Suite à ces critiques, Raymond Hill a décidé d'étudier le problème pour voir s'il est possible et pratique pour uBO de bloquer seulement les rapports CSP qui sont déclenchés lorsque l'adblocker fait son travail. Mais pour le moment, si vous utilisez uBlock Origin, votre navigateur ne peut pas avertir les sites Web en cas d’attaques de types XSS ou d’injection de données. Google Analytics est en effet très largement utilisé par les sites Web, et on peut supposer qu'il y a d'autres cas, en dehors de la technologie de Google, où uBO peut déclencher des rapports CSP en faisant son travail, et donc les bloquer.

    Source : GitHub

    Et vous ?

    Utilisez-vous uBlock Origin ?
    Que pensez-vous de ce problème ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre expérimenté Avatar de Uranne-jimmy
    Homme Profil pro
    Bioinformatique
    Inscrit en
    Décembre 2012
    Messages
    778
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Bioinformatique
    Secteur : Industrie Pharmaceutique

    Informations forums :
    Inscription : Décembre 2012
    Messages : 778
    Points : 1 461
    Points
    1 461
    Par défaut
    Du coup, ça n'aurais pas un rapport avec le fait que beaucoup de site "détectent" les bloqueurs et empêche l'accès si on ne le désactive pas ? Car il existe des scripts qui camouflent les bloqueurs.
    Ce serait pour moi pertinent parce que les sites qui font ça sont souvent ceux qui abusent le plus en terme de publicité, et ça ne les rends que moins sympathiques.
    Expert en recherche google caféinomane

  3. #3
    Expert confirmé

    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Juillet 2009
    Messages
    1 030
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Juillet 2009
    Messages : 1 030
    Points : 4 203
    Points
    4 203
    Par défaut
    Je décide volontairement de bloquer Google Analytics. Il y a le mot "Google" qui me dérange. Mais on peut bien l'autoriser ou ne pas utiliser Ublock Origin non ?

    C'est mon choix je crois. Après tout, si il y a une faille XSS, je ne suis pas le seul à aller sur le site, où tout le monde ne bloque pas les scripts. Il y aura toujours signalement.
    Et si jamais tu ne bloques pas les scripts tiers, c'est toi qui peut être victime d'une attaque faite par l'intermédiaire du site contaminé il me semble.

  4. #4
    Expert confirmé Avatar de Zefling
    Homme Profil pro
    Développeur Web
    Inscrit en
    Avril 2007
    Messages
    1 168
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Avril 2007
    Messages : 1 168
    Points : 4 654
    Points
    4 654
    Par défaut
    En même temps, j'aurais tendance à mettre Google Analytics sur liste noire. C'est plus le problème des dévs de sites qui choisissent leurs outils en sachant pertinemment qu'ils sont une menace pour la vie privée de leurs utilisateurs.

  5. #5
    Membre éprouvé Avatar de AndMax
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Mai 2017
    Messages
    230
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Moselle (Lorraine)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : Mai 2017
    Messages : 230
    Points : 1 002
    Points
    1 002
    Par défaut
    +1

    Comment peut-on mettre en place des traceurs tiers genre Analytics sur son site, et ensuite se plaindre de ne pas recevoir d'alertes CSP de certains utilisateurs ?

  6. #6
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 412
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 412
    Points : 4 729
    Points
    4 729
    Par défaut
    Citation Envoyé par AndMax Voir le message
    +1

    Comment peut-on mettre en place des traceurs tiers genre Analytics sur son site, et ensuite se plaindre de ne pas recevoir d'alertes CSP de certains utilisateurs ?
    Yep. Piwik FTW

  7. #7
    Membre expert

    Profil pro
    activité : oui
    Inscrit en
    Janvier 2014
    Messages
    1 260
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : activité : oui

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 260
    Points : 3 402
    Points
    3 402
    Par défaut
    résumé :
    CSP permet (entre autre) de protéger l'utilisateur d’injection de code, de contenu, de phishing, d'installation... ainsi que de détecter puis relayer une menace à celui qui l'a transmise.
    "peut utiliser une application web" >> coté client ou serveur... les deux ?

    Un script est injecté dans le navigateur de l'attaquant, puis, en contaminant/altérant l'application web, atterrit sur le navigateur d'un surfer insouciant.
    CSP liste une flopée de script étant autorisés à s'exécuter, pour signaler automatiquement les autres script aux administrateurs du site comme étant des tentatives de piratage.

    uBO (uBlock Origin) neutralise le(s) script protégeant ainsi la vie privée du surfer, si ce script est autorisé (white-listé par l'utilisateur uBO), il bloque l'alertes CSP. Après tout s'il est sur liste blanche c'est que le surfer VEUT l'exécuter, qu'il fait confiance.
    Quand uBO neutralise un script, il déclenche parfois de faux rapports CSP, tout les rapports CSP sont alors bloqués.
    Un flou est à éclaircir: seuls les rapports émit après la neutralisation des scripts sont bloqués ? sur une durée/portion indéterminé ?

    Donc pour faire court, uBlock Origin bloque tout, CSP non... CSP remonte des informations de vulnérabilité, uBO non... l'utilisateur d'uBO n'est pas victime de ses vulnérabilités, il ne fait encourir aucun risque de plus à celui qui n'utilise pas uBO. C'est l'application web qui est le vecteur de vulnérabilités (dans le cas exposé), et c'est le compte (en ligne) qui est exposé.
    Il est donc reproché que uBO ralentit l'implémentation de la sécurité des autres personnes qui ne l'utilisent pas.
    heuuu... vous voyez le parallèle avec les bases de virus que chaque marque garde jalousement secrète ?

    Cela signifie également que les développeurs de sites et les administrateurs pourront ne pas être au courant des tentatives d'exploitation des faiblesses de leur code, les vulnérabilités peuvent ne pas être corrigées et les utilisateurs risquent de perdre le contrôle de leurs comptes s'ils sont attaqués.
    il y a donc un vrai problème sur l'application, non ?... avant de répondre : c'est pas parce que tout le monde le fait qu'il faut le faire ! x)
    c'est bizarre qu'un plugin visant à assurer la sécurité et la vie privée des internautes casse des fonctionnalités importantes des agents utilisateurs
    quelqu'un aurait-il un exemple ?
    Pensez à utiliser les pouces d’appréciation, pour participer à la visibilité de l'apport d'un propos, ou l'intérêt que vous y prêtez... qu'il soit positif ou négatif.

  8. #8
    Invité
    Invité(e)
    Par défaut
    Le problème, comme l'explique Troy Hunt, directeur régional de Microsoft et professionnel de la sécurité
    Bah, en gros bloquer le flicage et la pub est dangereux quoi.. me demandais quand ça allait arriver

    Bientôt un parallèle avec la vaccination obligatoire ?

  9. #9
    Membre expérimenté

    Homme Profil pro
    retraité
    Inscrit en
    Novembre 2004
    Messages
    389
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Belgique

    Informations professionnelles :
    Activité : retraité
    Secteur : Service public

    Informations forums :
    Inscription : Novembre 2004
    Messages : 389
    Points : 1 595
    Points
    1 595
    Par défaut
    Je crois surtout qu'il y en a qui se servent du Content-Security-Policy-Report-Only pour monitorer l'effet des directives CSP et peut être bien disposer ainsi d'un autre moyen de tracking.
    Dès lors, c'est certain que le blocage des alertes CSP par µBO les gênent.

  10. #10
    Expert éminent sénior

    Homme Profil pro
    Développeur Web
    Inscrit en
    Septembre 2010
    Messages
    5 380
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Puy de Dôme (Auvergne)

    Informations professionnelles :
    Activité : Développeur Web
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Septembre 2010
    Messages : 5 380
    Points : 10 410
    Points
    10 410
    Par défaut
    Oui donc apparemment tout le monde s'en fou, et c'est tant mieux, la ficelle est trop grosse.

  11. #11
    Membre chevronné

    Homme Profil pro
    Retraité
    Inscrit en
    Juin 2012
    Messages
    1 035
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Retraité
    Secteur : Biens de consommation

    Informations forums :
    Inscription : Juin 2012
    Messages : 1 035
    Points : 2 053
    Points
    2 053
    Par défaut
    L'extension noscript gère les XSS si on l'a correctement paramétrée, je ne crois pas qu'ublock origin gène son fonctionnement ?

  12. #12
    Expert éminent
    Avatar de Matthieu Vergne
    Homme Profil pro
    Consultant IT, chercheur IA indépendant
    Inscrit en
    Novembre 2011
    Messages
    2 261
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Consultant IT, chercheur IA indépendant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Novembre 2011
    Messages : 2 261
    Points : 7 748
    Points
    7 748
    Billets dans le blog
    3
    Par défaut
    Que quelqu'un me corrige si je me trompe :
    - on a d'un côté 1 serveur, et de l'autre N clients
    - le rapport CSP est envoyé par le client
    - le rapport est donc envoyé dès lors qu'un seul client n'a pas uBO
    - l'intérêt de l'attaquant XSS grimpe avec la notoriété du site, et donc avec un nombre de clients important
    - plus le site est intéressant à attaquer, plus il y a donc de chance d'avoir des clients sans uBO, et donc des rapports CSP envoyés
    - ça n'a donc pas de sens de mettre la pression sur uBO, vu que plus l'attaque est intéressante, moins l'impact de uBO est pertinent
    Site perso
    Recommandations pour débattre sainement

    Références récurrentes :
    The Cambridge Handbook of Expertise and Expert Performance
    L’Art d’avoir toujours raison (ou ce qu'il faut éviter pour pas que je vous saute à la gorge {^_^})

  13. #13
    Membre chevronné

    Homme Profil pro
    Ingénieur Hospitalier
    Inscrit en
    Juillet 2004
    Messages
    993
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur Hospitalier
    Secteur : Santé

    Informations forums :
    Inscription : Juillet 2004
    Messages : 993
    Points : 1 768
    Points
    1 768
    Billets dans le blog
    1
    Par défaut
    Je dirais la série américaine, Facebook, Google, Twitter ... liste noir ... attention c'est pas de l'anti-américanisme primaire ... Juste du bon sens, a force d'API en tout genre ils sont partout, après une recherche sur Google, tu as son analytics, mais aussi ses api's CDN mais aussi ses fonts réputé XSS, voir son canvas ses pixels tags... et ses proxy en tout genre. Sacré série noir , ils ont leur nez partout, rien a cacher, juste besoin de se préserver.

Discussions similaires

  1. Réponses: 1
    Dernier message: 30/08/2012, 14h43
  2. Les navigateurs postent tous les cookies ?
    Par Jcpan dans le forum Langage
    Réponses: 1
    Dernier message: 06/01/2010, 15h25
  3. [Joomla!] les dérnières étapes d'un site web
    Par badi3a82 dans le forum EDI, CMS, Outils, Scripts et API
    Réponses: 2
    Dernier message: 21/06/2009, 23h29
  4. Récupérer les @IP publics visitant un site web
    Par killer69 dans le forum C#
    Réponses: 5
    Dernier message: 08/02/2008, 10h22
  5. API pour connaître les fonctionnalités existants dans un site web
    Par imedad dans le forum API standards et tierces
    Réponses: 1
    Dernier message: 22/03/2007, 20h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo