Политика безопасности контента: конец расширениям для защиты конфиденциальности

23 АВГУСТА 2019 | БРАУЗЕРНЫЕ ОТПЕЧАТКИ

Некоторые технологии становятся стандартом, потому что они повышают уровень безопасности сайтов и пользователей. Политика безопасности контента — это дополнительный уровень защиты, который помогает браузеру предотвратить кибератаки.

Популярность этой технологии объясняется тем, что она помогает предотвратить межсайтовый скриптинг и другие угрозы, связанные с внедрением данных.

Вы, наверное, задаётесь вопросом: как же работает эта политика? Какие угрозы она представляет для конфиденциальности? И как можно избежать этих угроз?

Для начала давайте разберёмся, почему эта политика важна и определим связанные с ней риски. Кроме того, вы узнаете, как обеспечить свою конфиденциальность и предотвратить кибератаки.

Правило ограничения домена

Давайте рассмотрим несколько терминов. Наиболее важный из них — это правило ограничения домена (SOP), созданное для защиты конфиденциальных данных от несанкционированного доступа.

SOP разделяет множество элементов на отдельные среды, включая куки и JS-скрипты. Например, если сайт www.firstsite.org содержит HTML-элемент, который загружает www.secondsite.org, то первый сайт не сможет получить доступ к куки второго сайта или внедрить в него JS-скрипты и наоборот.

Благодаря SOP такие сайты не смогут извлечь информацию или запустить JS-скрипты, даже работая в одном окне браузера и имея одинаковый URL.

Этот механизм также запрещает доступ к контенту на других источниках: например, даже после входа в свой Twitter или PayPal аккаунт, ваши данные будут недоступным другим сайтам.

Правило ограничения домена — один из главных принципов безопасности всех современных браузеров. Он стал основой для других стандартов в этой области, которые гарантируют доступ только для авторизованных источников.

В теории, SOP — это идеальный механизм. Однако злоумышленники быстро нашли способы обойти его, что привело к серьёзным угрозам для сайтов и пользователей. 

Что такое атаки межсайтового скриптинга (XSS)?

XSS — это метод, позволяющий обойти SOP и представляющий серьёзную угрозу безопасности. Атаки XSS заключаются во внедрении вредоносных скриптов на доверенные сайты. Не подозревая об этом, пользователи могут нажать на определённую ссылку и запустить такой скрипт.

Злоумышленники могут использовать множество уязвимостей на веб-страницах: например, динамический HTML и отсутствие фильтрации ввода пользователя.

Когда через эти каналы внедряется вредоносный код, браузеры считают его частью сайта, на котором он запущен, и мгновенно выполняют задачу, не выявляя каких-либо угроз.

После этого вредоносный код может получить доступ к файлам cookie, конфиденциальной информации и даже перезаписать содержимое HTML-страницы. Если злоумышленники получат доступ к этой информации, то смогут просмотреть конфиденциальные данные и делать запросы от имени пользователей.

Многочисленные известные атаки на агентства разведки, соцсети, почтовые платформы и другие сайты привели к тому, что XSS стал серьёзной проблемой безопасности. Например, в середине 2000-х годов вирус XSS Samy быстро распространился, поражая более миллиона пользователей Myspace всего за несколько часов.

Современные браузеры не могут надёжно определить, каким доменам можно доверять, а каким — нет. В результате, когда пользователь делает запрос через браузер, он выполняет все полученные скрипты, включая те, которые могут содержать вредоносный код. Чтобы повысить стандарты безопасности и предотвратить атаки XSS была разработана политика безопасности контента (CSP).

Политика безопасности контента

Пришло время поговорить о политике безопасности контента (CSP). Это дополнительный уровень безопасности, который позволяет сайтам создавать список доверенных ресурсов. Так браузеры игнорируют запросы к источникам не из списка.

Без CSP браузеры становятся уязвимыми к различным формам атак XSS, поскольку они не могут отличить скрипты, которые являются частью сайта, от тех, которые внедрены третьей стороной.

Посещая сайт с CSP, ваш браузер получает тот самый белый список и выполняет любой запрос к упомянутым в нём ресурсам.

А если на посещаемом вами сайте внедрены вредоносные скрипты, CSP позволяет вашему браузеру их идентифицировать и игнорировать. Это происходит благодаря тому, что браузер проверяет код источника скрипта на соответствие белому списку.

Похоже, CSP — отличный инструмент безопасности. Но может ли он негативно повлиять на онлайн-приватность?

Как политика безопасности контента влияет на конфиденциальность

CSP — отличная защита от кибератак. Но, к сожалению, её использование может привести к нарушению онлайн-приватности. Для начала давайте рассмотрим, как именно работает эта технология.

Версия CSP 1.1 используется в качестве стандарта, но она основана на своём предшественнике — первой политике. CSP 1.0 была разработана для защиты от атак XSS. Кроме того, в ней говорилось о том, что сайт не должен вмешиваться в работу браузерных расширений.

Однако этот подход устарел после выпуска CSP 1.1, которую сейчас внедряют все основные платформы. CSP 1.1, иногда называемая строгой политикой, может мешать работе расширений и препятствовать внедрению скриптов. Это означает, что популярные расширения для защиты конфиденциальности, такие как User Agent Switcher и Random Agent Spoofer, не будут работать на сайтах со строгой политикой.

Это создает проблемы для пользователей, которые хотят сохранить высокий уровень конфиденциальности и избежать навязчивого отслеживания. Важно помнить, что расширения не могут изменять состояние браузера, поэтому они используют JavaScript, чтобы изменить параметры сайта и скрыть следы вашей онлайн-активности.

Но сайты с CSP 1.1 могут помешать расширениям изменять содержимое страницы, включая JS-скрипты. Из-за этого такие решения просто перестают работать.

Как узнать, использует ли сайт политику безопасности контента (CSP)?

Следуйте инструкциям ниже, чтобы проверить, активна ли на сайте политика безопасности контента.

  • Откройте сайт в любом браузере на основе Chromium, например, Chrome.

  • Щёлкните правой кнопкой мыши на сайте и выберите «Проверить элемент».

  • Перейдите на вкладку «Сеть».

  • Теперь нажмите F5, чтобы обновить страницу.

  • Во время загрузки страницы все запросы должны появиться в инспекторе.

  • Нажмите на самую первую строку в списке запросов (список запросов находится во вкладке «Заголовок»).

  • Если вы видите «content-security-policy» в разделе «Заголовки ответа», то CSP активирована на этом сайте.

Политика безопасности контента и браузерные отпечатки

Хотя CSP может быть полезным инструментом для предотвращения атак на внедрение данных, он также создаёт серьёзную проблему в отношении онлайн-приватности и браузерного отпечатка. Расширения для защиты конфиденциальности, которые ранее позволяли пользователям безопасно сёрфить в интернете, могут столкнуться с проблемами из-за CSP 1.1.

К примеру, User Agent Switcher и Random Agent Spoofer изменяют отпечатки благодаря внедрению скрипта на сайт. Как ни прискорбно, такие решения скоро могут стать отголоском прошлого.

Без расширений для онлайн-приватности вы становитесь более уязвимыми к раскрытию браузерных отпечатков.

Защита от XSS-атак и считывания браузерных отпечатков

CSP стала критически важным компонентом большинства браузеров, а сама технология имеет ряд преимуществ. Некоторые её методы могут помочь уменьшить риски, связанные с онлайн-конфиденциальностью.

Но не забывайте: отключение CSP не только подвергнет ваше устройство риску кибератаки, но также повлияет на ваш браузерный отпечаток, поскольку большинство обычных пользователей не отключают эту функцию.

Multilogin же предоставляет реальное решение этой проблемы. Пользователи часто спрашивают нас, как Multilogin реагирует при обращении к сайту с CSP 1.1. Наш ответ зависит от типа вашего браузера.

Если вы используете Multilogin в сочетании с Chromium, Firefox или любым другим «обычным» браузером, по умолчанию они будут игнорировать CSP. Однако это не идеальный вариант, ведь так ваш браузер становится уязвимым для XSS-атак. Важно помнить: CSP 1.1 может отключить все расширения конфиденциальности и раскрыть браузерный отпечаток пользователя. Используя этот метод, вы ставите на первое место онлайн-конфиденциальность в ущерб возможным XSS-атакам.

Лучшим решением для сохранения высокого уровня онлайн-приватности и предотвращения атак XSS может стать метод управления отпечатком, который не зависит от внедрения JavaScript на сайты.

Stealthfox — это браузер на основе Firefox, который может помочь вам сохранить высокий уровень онлайн-приватности при посещении сайтов с CSP 1.1. Он позволяет эффективно бороться с раскрытием вашего реального отпечатка, сохраняя при этом защиту от атак XSS.

Вместо управления параметрами во время загрузки страниц с помощью JavaScript, как это делают большинство расширений, Stealthfox настраивает параметры браузера при запуске. Так вы можете использовать совместимый с CSP браузер, который обезопасит вас от атак XSS, сохраняя при этом вашу настоящую информацию скрытой.

Подведём итоги

Политика безопасности контента (CSP) предоставляет отличную защиту от атак на внедрение данных. В то же время CSP 1.1 открывает лазейку, которая может сделать расширения для обеспечения конфиденциальности полностью бесполезными.

Честно говоря, CSP далеко не идеальна, но в скором времени она станет ключевым компонентом всех сайтов, независимо от их размера. Более того, значительная часть самых популярных платформ переходит на CSP 1.1, потому что она может отключать расширения для конфиденциальности и обеспечивать эффективное сканирование отпечатков.

Лучший способ предотвратить атаки XSS и сохранить высокий уровень конфиденциальности — использовать Stealthfox — браузер с возможностью управления отпечатком. Он настроит параметры идентификации вашего отпечатка сразу после запуска, а CSP обеспечит защиту от внедрения данных.