da Martin Brinkmann, il 23 Maggio, 2019 in Firefox – 4 commenti
Mozilla Firefox è un problema adesso che è causa di conflitti se più sono installate le estensioni che modificare CSP intestazioni dei siti visitati.
CSP, che si distingue per la Politica di Sicurezza dei Contenuti, per la sicurezza, oltre che i siti possono utilizzare per rilevare e mitigare certi tipi di attacco come il Cross Site Scripting o di dati iniezioni.
Le estensioni del Browser può utilizzare CSP iniezione di modificare le intestazioni. Popolare il blocco dei contenuti uBlock Origine può utilizzare per bloccare remoto font da carico sulle pagine visitate nel browser, e Tela Blocker per bloccare i dati di URL di pagine.
Il team dietro il Ghacks Utente JS mantiene un elenco di estensioni noti per l’uso di CSP iniezione per alcune funzionalità. Il team ha fatto un grande lavoro di analisi del problema e la raccolta di tutti i bit e pezzi. Si potrebbe anche voler leggere la descrizione del problema su GitHub per ulteriori informazioni.
Si trova estensioni popolari come uBlock Origine, uMatrix, o HTTPS Everywhere alla lista, come anche altri, come la Politica delle imprese Generatore, Cookie AutoDelete, o Saltare da un Redirect.
Il problema
Se c’è più di una estensione attiva su una pagina che utilizza il CPS di iniezione, solo uno è utilizzato. Immaginate il seguente scenario: si dispone di un blocco dei contenuti e un’altra estensione installata che utilizzano CSP iniezione.
Solo uno di quelli che saranno effettivamente in grado di farlo, gli altri non. In altre parole, può accadere che alcune estensioni non funzionano al 100% a causa del conflitto.
gallina due o più estensioni di utilizzare CSP iniezione di modificare le intestazioni sulla stessa pagina, uno solo vince. Non importa chi: caricato per la prima volta, modificato per la prima volta – non importa: il fatto è solo un estensione per ottenere quello che vuole, l’altro(s) fail
Esempio di base? Contenuto bloccanti non il blocco di determinati contenuti, perché un’altra estensione è diventata prioritaria.
Il problema sembra essere il Firefox specifici. Il bug è stato segnalato per Mozilla qualche tempo fa (più di un anno fa) e Mozilla assegnata una priorità di 2. P2 problemi non sono esattamente collocate in alto nello sviluppo di coda e non è chiaro se e quando il problema sarà risolto.
Firefox non sembra rivelare il conflitto per l’utente del browser, e non è banale per capire se un’estensione non CSP iniezioni (di ricerca per i contenuti della politica di sicurezza in tutti i file di estensione, ma prima di estrarre il sistema locale o utilizzare l’Estensione del Visualizzatore del codice Sorgente per visualizzare). Si può utilizzare Notepad++ per la ricerca di testo in tutti i file, l’eccellente strumento di ricerca di Tutto ciò, o lo strumento da riga di comando findstr.
Si può essere in grado di risolvere il problema a) disabilitare le funzionalità di estensioni, se possibile, o b) la disinstallazione di add-ons.
Ora: Qual è la tua opinione sulla questione? Troppo piccolo per risolvere? Urgente correzione necessaria?