Google оставит адекватную блокировку рекламы только корпоративным юзерам

Google оставит адекватную блокировку рекламы только корпоративным юзерам

Пользователи браузера Google Chrome смогу продолжать пользоваться API webRequest для блокировки рекламного контента. Однако это касается только корпоративных клиентов, которые платят. Для остальных пользователей все выглядит не так радужно.

API webRequest используется в расширениях для браузера Chrome, предназначенных для блокировки контента на страницах веб-сайтов. С недавнего времени Google приняла решение изменить принцип работы расширений.

Теперь все пользователи, не входящие в группу корпоративных клиентов, которые исправно платят, будут довольствоваться API declarativeNetRequest — гораздо более ограниченной версией.

Благодаря такому подходу велики шансы, что количество доступных расширений для Chrome значительно сократиться, так как разработчики просто не смогут перестроиться под новый режим (либо не захотят это делать). Но пострадают в результате пользователи, которым не из чего будет выбрать.

Таким образом, подытоживаем: если вы корпоративный клиент, вы сможете использовать расширения для блокировки контента с мощным API webRequest. Если вы обычный пользователь, придется довольствоваться блокировщиками, которые задействуют declarativeNetRequest с довольно ограниченными возможностями.

Стоит помнить, что declarativeNetRequest будет фильтровать контент крайне выборочно.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Программная ошибка позволила баг-хантеру удалить живое видео на Facebook

ИБ-исследователь Ахмад Талахмех (Ahmad Talahmeh) опубликовал подробности уязвимости в службе видеотрансляции на Facebook, а также созданный им PoC-эксплойт. Разработчики платформы исправили ошибку, позволявшую удалить контент без согласия владельца, а баг-хантеру выплатили суммарно $14,5 тыс. за находку.

Сервис Facebook Live позволяет создавать видеоконтент в реальном времени, публиковать его, а также общаться с аудиторией в прямом эфире. По завершении трансляции пользователь может вырезать лишние кадры онлайн, руководствуясь временными метками начала и конца записи.

Как оказалось, при подаче через API запроса на сокращение видео до пяти миллисекунд система воспримет длительность видеозаписи как 0 секунд, и развернуть ее вновь не удастся. Заполучив ID документа и его автора, злоумышленник сможет скопировать его POST-запрос на загрузку, изменить конечное значение времени, чтобы вызвать сброс до нуля, и подать его снова. Система вернет ошибку, но команду выполнит.

За обнаружение этой проблемы Талахмеху выплатили $11 тыс. в ходе конференции BountyCon 2020. Еще две премии он получил позднее от Facebook — $1150 и $2300.

Выступая на BountyCon, исследователь также продемонстрировал способ восстановления обрезанной видеозаписи на Facebook от имени ее владельца. Эта находка принесла Талахмеху дополнительно $2875.

Баг-хантер также обнаружил возможность подмены информационных сообщений в бизнес-лентах Facebook — она появилась в связи с необходимостью мониторинга ситуации с COVID-19. Обновление страниц умышленно тормозится в ожидании новостей с этого фронта, и такие сообщения, как оказалось, можно вставлять в ленту вместе со ссылкой на сторонний ресурс. Для обновления нужны лишь ID страницы и полномочия аналитика (обычно таким пользователям разрешен доступ только на чтение). Эту находку Facebook оценила в $750.

Все проблемы, обнаруженные исследователем в соцсети, уже решены.

Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru