Как стать автором
Обновить

Facebook пытается блокировать консоль разработчика в браузере Chrome

Информационная безопасностьGoogle Chrome
Некоторые пользователи после запуска Developer Tools в браузере Chrome на сайте Facebook получают предупреждение большими буквами: «Будьте осторожны! Эта функция браузера предназначена только для разработчиков».



С помощью такого сообщения Facebook хочет предотвратить выполнение кода в консоли неграмотными пользователями.

Автодополнение тоже заблокировано.



Раньше считалось, что консоль браузера невозможно заблокировать со стороны сервера, но Facebook пытается это сделать. Один из разработчиков Facebook объясняет: это эксперимент, который действует для части аудитории Facebook. Дело в том, что в последнее время на Facebook участились случаи атаки типа self-XSS, когда злоумышленник методом социальной инженерии убеждают пользователей Chrome запустить вредоносный код в консоли. Для этого нужно, чтобы пользователь нажал буквально пару хоткеев (Ctrl+Shift+J) и Enter.



Как показано на видео, жертва своими руками осуществляет XSS. Чтобы защитить малограмотных пользователей, Facebook и пытается перехватить запуск консоли с помощью обращения к console._commandLineAPI.

Object.defineProperty(console, '_commandLineAPI',
   { get : function() { throw 'Nooo!' } })
Теги:Developer ToolsChromeконсольself-XSS
Хабы: Информационная безопасность Google Chrome
Всего голосов 86: ↑68 и ↓18 +50
Просмотры41.3K

Похожие публикации

Cyber Security Engineer[Security team]
от 4 000 до 5 500 $Coins.phМожно удаленно
Product-manager
от 200 000 ₽ПризываНетМосква
Digital Data Analyst (BI)
до 4 000 €ExnessМожно удаленно
Web-analyst/Веб-аналитик
от 120 000 ₽Prime PartnerМосква

Лучшие публикации за сутки