La Free Software Foundation presentó el proyecto JShelter, que se desarrolla un complemento de navegador para proteger contra las amenazas planteadas por JavaScript en los sitios web, incluida la identificación oculta, el seguimiento de movimientos y la recopilación de datos del usuario.
El código del proyecto se distribuye bajo la licencia GPLv3. El complemento está preparado para Firefox, Google Chrome, Opera, Brave, Microsoft Edge y otros navegadores basados en el motor Chromium.
El proyecto se está desarrollando como una iniciativa conjunta financiada por la Fundación NLnet. JShelter también se ha unido a Giorgio Maone, el creador del complemento NoScript, así como a los fundadores del proyecto J++ y los autores de los complementos JS-Shield y JavaScript Restricto. El complemento JavaScript Restrictor se utiliza como base para el nuevo proyecto.
La mayoría de los sitios web modernos contienen un número creciente de programas que el navegador web del usuario descarga y ejecuta automáticamente a medida que se cargan las páginas. Si bien estos programas de JavaScript pueden proporcionar funcionalidad a un sitio junto con las características nativas del navegador, también son una responsabilidad importante tanto desde la perspectiva de la seguridad como de la privacidad. Además, el software generalmente tiene licencia bajo términos poco éticos según los estándares de la FSF, lo que quita poder a los usuarios y obstaculiza el aprendizaje y la seguridad.
JShelter se puede considerar como un firewall para las API de JavaScript disponibles para sitios y aplicaciones web. El complemento proporciona cuatro niveles de protección, así como un modo de configuración flexible para el acceso a la API. El nivel cero permite completamente el acceso a todas las API, el primero incluye bloqueos mínimos que no interrumpen el trabajo de las páginas, el segundo nivel equilibra entre bloqueos y compatibilidad, y el cuarto nivel incluye bloqueo estricto de todo lo innecesario.
La configuración de bloqueo de API se puede vincular a sitios individuales, por ejemplo, para un sitio determinado, puede fortalecer la protección y para otro, deshabilitarla.
Acceder a las cookies, realizar huellas digitales para rastrear a los usuarios en varios sitios, revelar la dirección de la red local o capturar la entrada del usuario antes de enviar un formulario son algunos ejemplos de las capacidades de JavaScript que pueden usarse de manera dañina. JShelter agrega una capa de seguridad que permite al usuario elegir si una determinada acción debe prohibirse en un sitio o si debe permitirse con restricciones, como reducir la precisión de la geolocalización en el área de la ciudad. Esta capa también puede ayudar como contramedida contra ataques dirigidos al navegador, sistema operativo o niveles de hardware.
El proyecto JShelter es una extensión de navegador anti-malware con licencia gratuita para mitigar las amenazas potenciales de JavaScript. El sitio web del proyecto está en https://jshelter.org/ . Preguntará, globalmente o por sitio, si el usuario permite funciones nativas específicas proporcionadas por el motor de JavaScript y el Modelo de objetos de documento (DOM).
También se puede bloquear de forma selectiva determinados métodos, objetos, propiedades y funciones de JavaScript, o falsificar valores devueltos (por ejemplo, proporcionar información falsa sobre el sistema). Por separado, se resalta el modo NBS (escudo de límites de red), que no permite que las páginas utilicen el navegador como proxy entre las redes externas y locales (todas las solicitudes salientes se interceptan y analizan).
«JShelter ayudará a proteger a los usuarios de amenazas críticas ahora y contribuirá significativamente al progreso en el necesario cambio cultural a largo plazo de alejarse de JavaScript que no es libre. Este es un proyecto que he estado esperando durante años, cansado de lidiar con todos tipos de posibles antifeatures en los navegadores que uso y distribuyo, y tener que encontrar alguna contramedida para ellos con cambios de configuración, parches o extensiones «, compartió Rubén Rodríguez, ex director de tecnología de la FSF. «Ser capaz de envolver el motor JavaScript en una capa de protección es un cambio de juego».
FUENTE: https://blog.desdelinux.net/jshelter-el-complemento-de-la-fsf-para-restringir-la-api-de-javascript/
Interesante noticia.
Guao que pasara con Javascrpit y este movimiento.