Hlavní navigace

Názor k článku Web of Trust prodával špatně anonymizovaná data uživatelů od Filip Jirsák - Za externí skripty vložené do stránky zodpovídá provozovatel...

  • Článek je starý, nové názory již nelze přidávat.
  • 9. 11. 2016 11:09

    Filip Jirsák

    Za externí skripty vložené do stránky zodpovídá provozovatel stránky, z bezpečnostního hlediska je to pro uživatele úplně stejné, jako interní skripty.

    Informace, které sděluje uživatel prohlížeči, nemají být dostupné všem rozšířením, a rozšíření nemohou s libovolnou stránkou dělat, co je libo – pokud to někde jde aniž by to uživatel pluginu povolil, je to vážná bezpečnostní chyba. Například je to pravděpodobně důvod, proč prohlížeče nezveřejňují API pro správu hesel – aby se minimalizovala možnost nějaké bezpečnostní chyby, která způsobí, že prohlížeč heslo vyzradí pluginu. (Externí správci hesel pak tato omezení obcházejí vkládáním JavaScriptu do všech stránek, takže výsledek je z bezpečnostního hlediska i spolehlivosti ještě horší…)

    Zda rozšíření stahuje skript z webu také není tak nepodstatné. Skript přímo v rozšíření je možné zkontrolovat, skript stahovaný z webu může být pokaždé jiný. A při stahování skriptu z webu vzniká nový vektor útoku – podstrčit rozšíření falešný skript.