Xakep #305. Многошаговые SQL-инъекции
Разработчики популярных браузеров приняли решение разрешить автоматическую блокировку всплывающих уведомлений в целях борьбы со спамом и для улучшения безопасности.
В Firefox нововведение появится с релизом версии 72, запланированной на январь 2020 года. В свою очередь, в более "близком" релизе Firefox 70 для всплывающих уведомлений изменится значение по умолчанию: с «Not Now» («Не сейчас») на «Never»( «Никогда»). К такому решению инженеров Mozilla подтолкнул апрельский эксперимент, в ходе которого они выясняли, как пользователи взаимодействуют с уведомлениями, а также рассматривали различные способы блокировки в зависимости от степени навязчивости уведомлений.
Как показала собранная весной статистика, подавляющее большинство (97%) пользователей Firefox отклоняли уведомления или предпочитали полностью запретить сайтам их показывать. Из-за этого разработчики добавят в Firefox 72 опцию, которая позволит по умолчанию скрывать всплывающие уведомления, а вместо заблокированных в адресной строке появится соответствующий анимированный значок. Кликнув по нему, пользователи смогут увидеть уведомление и, при желании, взаимодействовать с ним.
Корень проблемы заключается не только в том, что уведомления раздражают большинство пользователей, но и в том, что их очень любят использовать злоумышленники. Дело в том, что API-интерфейс уведомлений – это почти идеальный способ для рассылки спама, даже после того, как пользователи покидают вредоносный сайт. Так, хак-группы заманивают жертв на случайные сайты и показывают всплывающие уведомления. Если пользователь случайно нажмет не ту кнопку и подпишется на один из таких сайтов, он столкнется со множеством уведомлений всех мастей (от рекламы сомнительной фармы, до ссылок на различную малварь).
Судя по всему, на такой шаг решили пойти не только инженеры Mozilla. По информации Techdows.com, аналогичные изменения ждут и браузер Google: с релизом Chrome 79 разработчики тоже начнут экспериментировать с блокировкой уведомлений через chrome://flags и опцию «Quieter notification permission prompts». Если данная опция активна, уведомления будут скрыты, и об этом можно будет узнать из соответствующего сообщения в адресной строке.