par Martin Brinkmann le 23 Mai 2019 dans Firefox – 4 commentaires
Mozilla Firefox est un enjeu qui est à l’origine de conflits si plusieurs extensions sont installées à modifier les CSP-têtes sur les sites visités.
CSP, qui se tient pour la Sécurité du Contenu de la Politique, de la sécurité, plus que les sites peuvent utiliser pour détecter et atténuer certains types d’attaques telles que le Cross-Site Scripting ou de données injections.
Les extensions de navigateur peut utiliser CSP injection de modifier les en-têtes. Le contenu populaire bloqueur uBlock Origine peut l’utiliser pour bloquer à distance les polices de chargement sur les pages visitées dans le navigateur, et la Toile Bloquant utilise pour le bloc de données d’URL des pages.
L’équipe derrière le Ghacks Utilisateur JS tient à jour une liste des extensions connues pour utiliser CSP injection pour certaines fonctionnalités. L’équipe a fait un excellent travail d’analyse de la question et la collecte de toutes les pièces et de morceaux. Vous pouvez aussi lire la description du problème sur GitHub pour plus d’informations.
Vous trouverez extensions populaires comme uBlock Origine, uMatrix, ou HTTPS Partout sur la liste ainsi que d’autres tels que la Politique de l’Entreprise Générateur, Cookie commande autodelete, ou de Sauter de Redirection.
La question
Si il n’y a plus d’une extension active sur une page qui utilise CPS injection, un seul est utilisé. Imaginez le scénario suivant: vous avez un bloqueur de contenu et une autre extension est installée, qui utilisent tous deux CSP injection.
Un seul de ceux qui vont être réellement en mesure de le faire, les autres ne le seront pas. En d’autres termes, il peut arriver que certaines extensions ne fonctionnent pas à 100% à cause du conflit.
poule de deux ou plusieurs extensions utiliser CSP injection de modifier les en-têtes sur la même page, un seul gagne. Il n’est pas n’importe qui: tout d’abord chargé, premier modifiée n’avez pas de soins: le fait est qu’une extension permettra d’atteindre ce qu’il est censé, l’autre(s) échouera
Exemple de base? Bloqueurs de contenu pas le blocage de certains contenus, car une autre extension a obtenu la priorité.
Le problème semble être Firefox spécifique à l’époque. Le bug a été signalé à Mozilla il y a quelques temps (plus d’un an) et Mozilla attribué une priorité de 2. P2 questions ne sont pas exactement de haut placé dans le développement de la file d’attente et il est difficile de savoir si ou lorsque le problème sera résolu.
Firefox ne semble pas révéler le conflit à l’utilisateur du navigateur, et il n’est pas trivial de savoir si une extension ne CSP injections (recherche de contenu de la politique de sécurité dans tous les fichiers d’une extension, mais d’abord l’extraire dans le système local ou de l’Extension d’utilisation de la Source de la Visionneuse pour l’afficher). Vous pouvez utiliser Notepad++ pour rechercher du texte dans tous les fichiers, l’excellent outil de recherche de Tout, ou l’outil de ligne de commande findstr.
Vous pouvez peut-être résoudre le problème en soit un) désactivation de la fonctionnalité dans les extensions, si possible, ou b) désinstallation des add-ons.
Maintenant, Vous: Quelle est votre opinion sur la question? Trop petit pour résoudre ce problème? Correctif d’urgence nécessaire?