Come segnalato a Mozilla nel 2018 l'esecuzione automatica di script JavaScript sul browser, espone il computer e la rete interna dell'utente ad una vasta classe di attacchi informatici da parte dei siti o delle CDN cui si appoggiano.
il fix più semplice sarebbe disabilitare l'esecuzione automatica di JavaScript, rendendola opt-in per sito web con un semplice pulsante nella barra del browser. ciò renderebbe la superficie di attacco infinitamente più piccola.
tale fix metterebbe però in crisi il principale finanziatore di Mozilla, Google LLC, e in generale il capitalismo di sorveglianza.
Tuttavia potrebbe essere interessante introdurre un test che individui ad esempio l'attacco sfruttato dal governo russo.
In browsing.py sarebbe sufficiente, durante l'analisi dei log delle richieste, individuare eventuali richieste verso ip interni, sia direttamente (ip nel host name), che indirettamente (host risolti verso ip interni) nonché la presenza di chiamate verso porte non standard.
Come segnalato a Mozilla nel 2018 l'esecuzione automatica di script JavaScript sul browser, espone il computer e la rete interna dell'utente ad una vasta classe di attacchi informatici da parte dei siti o delle CDN cui si appoggiano.
Uno di questi attacchi, specificato nella issue, è stato ad esempio effettuato su larga scala dal governo russo.
Va notato a riguardo che:
Per questo Mozilla non ritiene di dover risolvere questa vulnerabilità
Tuttavia potrebbe essere interessante introdurre un test che individui ad esempio l'attacco sfruttato dal governo russo.
In browsing.py sarebbe sufficiente, durante l'analisi dei log delle richieste, individuare eventuali richieste verso ip interni, sia direttamente (ip nel host name), che indirettamente (host risolti verso ip interni) nonché la presenza di chiamate verso porte non standard.