uBlock Herkunft kritisiert für die Sperrung CSP

0
768

Das beliebte content-blocking-Erweiterung uBlock Herkunft Blöcke CSP-Berichterstattung auf websites, die machen Gebrauch davon, wenn es injiziert kastriert scripts.

CSP, Content-Security-Policy, die verwendet werden können, die von web-Entwicklern, auf die whitelist code, der ausgeführt werden dürfen, die auf web-Eigenschaften. Die Idee hinter dem feature ist, um zu verhindern, dass Angreifer injizieren von JavaScript auf Webseiten geschützt durch CSP.

CSP-Berichte jeglicher Versuch, sich mit der Website s Richtlinien in Bezug auf Scripte für den webmaster. Dies geschieht, wenn Benutzer eine Verbindung zu der Website, und wird von Webmastern genutzt, um zu analysieren und zu beheben die erkannten Probleme.

Tipps:

  • uBlock Herkunft: offizielle repository und downloads
  • uBlock Herkunft: so entfernen Sie ein element aus einer Seite dauerhaft

Scott Helme öffnete ein support-ticket auf der offiziellen uBlock Herkunft GitHub-Seite vor ein paar Tagen, in denen er erklärte, dass die content-blocker blockiert wurde das “versenden von rechtmäßigen CSP-Berichte”.

ublock blocking csp

Es ist wahr, dass Berichte, die blockiert sind. Sie können besuchen Sie seine website https://scotthelme.co.uk/, und überprüfen Sie die Netzwerk-Protokoll in Ihrem browser der Wahl, um zu sehen, die ausgefallene Berichterstattung versucht, wenn Sie uBlock Herkunft im browser installiert.

Raymond Hill, der Entwickler von uBlock Ursprung, antwortete die besagt, dass dies nicht ein bug, sondern by design. Die Erweiterung blockiert das senden der CSP-Berichte, wenn es injiziert eine kastrierte Google Analytics Skript.

Die browser-Erweiterung, uBlock Herkunft blockiert Google Analytics, um zu verhindern, dass user-tracking. Da einige Websites nicht mehr korrekt funktioniert, wenn Google Analytics nicht richtig geladen, eine kastrierte Skript injiziert wird, anstatt zu reduzieren die Wahrscheinlichkeit von Seiten zu brechen.

CSP-Meldungen können ausgelöst werden, weil die Injektion des kastrierten Skripte, und uBlock Herkunft Blöcke als auch diejenigen, zu verhindern, dass Informationen Durchsickern.

uBO nicht die Ursache der Benutzer Informationen durchgesickert. Die Folge uBO Ihren job macht (die Injektion kastriert-Skripte), können zu CSP-Berichte, die entlassen werden, damit uBO Blöcke CSP-Berichte.

Jedes Netzwerk Anforderung die Blätter ein user-agent muss zum Wohle des Benutzers, einschließlich der CSP-Berichte. Der user-agent ist nicht im Besitz der remote-server, so dass es nur geht, zu entscheiden, was sollten niemals blockiert werden oder nicht.

Daher, wenn eine Netz-Anfrage an einen remote-server ist potenziell schädlich für den Benutzer, es wird blockiert, vor allem, wenn dass Netzwerk-request ausgelöst wird, ausschließlich als Folge von uBO Ihren job macht. Dies ist ein solcher Fall hier.

Im Grunde, worauf es ankommt, ist die folgende: uBlock Ursprung wirkt in Erster Linie im Auftrag seiner Benutzer. Dies bedeutet, dass es blockiert das senden der CSP-Berichte, könnte eine Folge der Erweiterung Injektion kastriert Skripte zu blockieren Informationen, wie die Nutzer-IP-Adresse, user agent und Zeit und Datum der Anfragen gemacht wurden.

Lesen Sie auch: uBlock Herkunft: so entfernen Sie ein element aus einer Seite dauerhaft

Dritte missbrauchen könnte das system für user-tracking, und das ist ein weiterer Grund, warum diese Berichte sind gesperrt uBlock Herkunft.

Die Erweiterung blockiert nicht alle CSP-Berichte. Es funktioniert nur so, nur wenn eine kastrierte Skript injiziert wird von der extension auf einer Seite. Dies geschieht nur dann offensichtlich, wenn eine Ressource auf der Seite blockiert wurde, sagen, Google Analytics blockiert wurde, und wenn eine kastrierte version des Skripts vorhanden ist. Keine CSP-Bericht ist blockiert, wenn das nicht der Fall ist.

Raymond Hill release ein update für das WebExtensions Versionen von uBlock Ursprung in der nahen Zukunft, die unterscheidet zwischen CSP Berichte, verursacht durch das Einspritzen von kastriert Skripte und regelmäßige CSP-Berichte. CSP-Berichte angenommen werden unecht, wenn, aus welchem Grund auch immer, uBlock Herkunft nicht analysieren kann den Bericht jedoch.

Schlusswort

Benutzer kommen zuerst, wenn es um uBlock Herkunft, und das ist einer der Gründe, warum die Erweiterung und seine Entwickler sind ebenso beliebt, wie Sie sind.