door Martin Brinkmann op 23 Mei 2019 in het Firefox – Geen reacties
Mozilla Firefox is een probleem dat de oorzaak is van conflicten als er meerdere extensies zijn geïnstalleerd wijzigen CSP kop op de bezochte sites.
CSP, die staat voor Content Security-Beleid, is een beveiliging die websites kunnen gebruiken om te detecteren en beperken van bepaalde soorten aanvallen, zoals Cross Site Scripting of gegevens injecties.
Browser-extensies kunnen gebruiken CSP injectie wijzigen van headers. De populaire content blocker uBlock Oorsprong kunnen gebruiken voor het blokkeren van extern lettertypen laden op pagina ‘s bezocht in de browser en Canvas Blocker gebruikt op het blokkeren van gegevens van URL’ s.
Het team achter de Ghacks Gebruiker JS onderhoudt een lijst van extensies bekend te gebruiken CSP injectie voor sommige functionaliteit. Het team heeft een geweldige job het analyseren van het probleem en het verzamelen van alle stukjes en beetjes. Wil je misschien ook lezen door middel van de uitgifte beschrijving op GitHub voor meer informatie.
Vind je populaire extensies zoals uBlock Oorsprong, uMatrix of HTTPS Overal op de lijst evenals anderen, zoals Enterprise Policy Generator, Cookie AutoDelete, of Overslaan Redirect.
Het probleem
Als er meer dan een uitbreiding actief is, op een pagina die gebruik maakt van CPS injectie, maar één wordt gebruikt. Stel je het volgende scenario: u heeft een inhoud blokker en een andere extensie geïnstalleerd die beide gebruik maken van CSP-injectie.
Slechts één van hen daadwerkelijk in staat zal zijn om dat te doen, de andere niet. In andere woorden, het kan gebeuren dat sommige extensies werken niet 100% vanwege het conflict.
kip twee of meer extensies gebruiken CSP injectie wijzigen van headers op dezelfde pagina, maar een wint. Het maakt niet uit wie: voor het eerst worden geladen, eerst gewijzigd – niet schelen: het feit is alleen een verlenging zal bereiken wat het bedoeld is, de andere(n) niet
Voorbeeld? Inhoud blokkers niet het blokkeren van bepaalde content omdat een andere extensie kreeg prioriteit.
Het probleem lijkt te worden Firefox specifiek in de tijd. De bug is gemeld aan Mozilla enige tijd geleden (meer dan een jaar geleden) en Mozilla toegewezen aan een prioriteit van 2. P2 problemen zijn niet precies hoog geplaatst in de ontwikkeling van de wachtrij en het is onduidelijk of en wanneer het probleem opgelost zal worden.
Firefox lijkt niet te onthullen van het conflict aan de gebruiker van de browser, en het is niet triviaal om uit te vinden als een extensie niet CSP injecties (search voor content-security-beleid in alle bestanden van een uitbreiding, maar eerst ophalen op het lokale systeem of gebruik Extension Source Viewer te bekijken). U kunt gebruik Notepad++ om naar tekst te zoeken in alle bestanden, de uitstekende zoekfunctie Alles, of de command-line tool findstr.
U mag in staat zijn om het probleem te verhelpen door ofwel a) het uitschakelen van de functionaliteit in extensions als mogelijk is, of b) het verwijderen van invoegtoepassingen.
Nu U: Wat is uw mening over het probleem? Te klein op te lossen? Dringend correctie nodig?