Uno degli errori più frequenti che DOM Snitch trova nei siti è Untrusted code . Lo trova in google.com per esempio. Ecco un risultato di questo strumento :
È una vulnerabilità?
Modifica: questo rapporto di DOM Snitch è stato causato dall'estensione Skype click-to-call abilitata che invia richieste mentre la pagina è caricata
L'euristica "Codice non attendibile" è intesa a segnalare l'inclusione di eventuali risorse che sono ospitate al di fuori dell'origine immediata o un elenco predefinito di origini sicure ( link ). La base di questa euristica è fornire un segnale se si includono risorse da un'origine che non si suppone. Non valuta se una risorsa inclusa non è sicura o meno.
Come per l'esempio sopra, lo script incluso non è di DOM Snitch poiché l'estensione stessa usa JavaScript inline quando deve passare il codice JavaScript nella pagina stessa. Consulta link .
La documentazione su DOM Snitch è un po 'scarsa, quindi posso solo supporre che con "Untrusted Code" significano Javascript da una fonte diversa dalla pagina corrente in cui ti trovi.
Lo screenshot che hai fornito mostra che il "codice non attendibile" è un'estensione di Chrome che verrà caricata dal browser Chrome tramite un tag <script> iniettato nella pagina corrente.
Le estensioni usano questo cosiddetto "script di contenuto" per analizzare la pagina corrente e fare qualcosa se intende fare qualcosa con esso. Non tutte le estensioni verranno aggiunte a ogni pagina. Questo viene controllato tramite le autorizzazioni richieste durante l'installazione di un'estensione. Alcune estensioni richiedono l'accesso a ogni pagina ( ad esempio Stylish chiede il permesso a "I tuoi dati su tutti i siti web" ), alcuni solo per alcune pagine ( Google Mail Checker accede a "I tuoi dati su google.com" ), e alcuni per nessuno ( l'applicazione GMail ufficiale ).
Quindi, in conclusione, dovresti essere sicuro, purché ti fidi dell'autore dell'estensione.
Il "codice non attendibile" è definito dall'origine di una risorsa relativa alla risorsa corrente tramite la configurazione di SafeOrigins ". Il modo in cui DOM Snitch implementa ciò è a mio avviso di scarso valore, poiché se la risorsa corrente è stata modificata con un intento ostile, non sarebbe importante se l'elemento ostile fosse locale o non locale.
Informazioni sulla configurazione di safeOrigins:
Used by the untrustedCode heuristic, this field specifies the origins that are considered trusted for hosting scripts, CSS, and Flash movies.
"safeOrigins" : [".example.com", "foo.example.com/example/"]
Leggi altre domande sui tag web-browser vulnerability-scanners
