zui > edb.internet.* > edb.internet.software.browser

Bertel Lund Hansen (04.02.2019, 10:09)
I forbindelse med nogle eksperimenter (med mit bridgeur) har jeg
gemt en lokal kopi af en HTML-side som genereres af PHP. Jeg
bruger en opdateret Firefox.

Som sædvanlig gemmer browseren en mappe med samme navn, og deri
lå fire JS-filer. Det undrede mig for jeg har ikke selv lavet
eksterne JS-filer i mit PHP-script.

Derudover havde Firefox tilføjet nogle linjer i koden: I
head-delen:

<script type="text/javascript" async=""
src="BridgeClock_files/filter-domains"></script>

Og helt i bunden

<script
src="BridgeClock_files/1f5bb3bfd35476ea5a.js"></script><script
type="text/javascript"
src="BridgeClock_files/userid"></script><script
type="text/javascript"
src="BridgeClock_files/strtm"></script><script
type="text/javascript"
src="BridgeClock_files/lat"></script><script
type="text/javascript"
src="BridgeClock_files/lt"></script><script
type="text/javascript"
src="BridgeClock_files/lnkr5.js"></script><script
type="text/javascript"
src="BridgeClock_files/validate-site.html"></script><script
type="text/javascript"
src="BridgeClock_files/lnkr30_nt.js"></script></body></html>

I mappen lå filen "1f5bb3bfd35476ea5a.js". Den fylder ca. 87
Kbyte og er skrevet i to lange linjer. I starten af den ene
forekommer denne sekvens:

if(!!fconf.injectFacebook&&fconf.injectFacebook==" 1")

Via nogle krumspring kan jeg slippe af med filerne og
tilføjelserne. Det sker der ingenting ved.

Hvad i alverden foregår der?

Krydspostet til: dk.edb.internet.software.browser, dk.edb.internet.webdesign
Fut til: dk.edb.internet.software.browser
Svar herpå sendes dertil hvis man ikke ændrer det.
Bertel Lund Hansen (04.02.2019, 15:57)
Jan Hansen skrev:

> Du må være angrebet af en facebook virus.


Det lyder sært. Jeg er ikke på Facebook. Jeg har af og til (meget
sjældent) kikket på nogle sider derfra, men det bestod blot i at
kikke på den side der åbnede sig via linket.

> Jeg har lige prøvet i firefox 65.0, godt nok med adblock plus.
> For at se, om angrebet kommer af at være logget på facebook
> samtidig, loggede jeg ind dér, og fandt bridgeur frem på et
> andet faneblad. Jeg klikke Filer -> gem siden som, og fik en
> BridgeClock.html på 6,9 kb, men ingen undermapper.


Jeg vil prøve at rulle et system-image ud og se om det ændrer
noget.
Kim Ludvigsen (04.02.2019, 16:46)
Den 04/02/2019 kl. 20.57 skrev Bertel Lund Hansen:

> Jeg vil prøve at rulle et system-image ud og se om det ændrer
> noget.


Du kan også prøve at tjekke sidens kildekode i Firefox, for at se om
JavaScriptet er der.
Bertel Lund Hansen (04.02.2019, 16:46)
Bertel Lund Hansen skrev:

> Jeg vil prøve at rulle et system-image ud og se om det ændrer
> noget.


Det gjorde jeg så. Ingen forskel.
Nu har jeg slettet Firefox og geninstalleret fra fil. Nu er der
ikke mere griseri.

Er der nogen der ved hvordan den virus smitter?
Jan Hansen (04.02.2019, 20:13)
4 Feb 2019 15:46:24 +0100 skrev Bertel Lund Hansen <gadekryds>:

> Det gjorde jeg så. Ingen forskel.
> Nu har jeg slettet Firefox og geninstalleret fra fil. Nu er der
> ikke mere griseri.
> Er der nogen der ved hvordan den virus smitter?


Jeg prøvede at søge i google efter
if(!!fconf.injectFacebook&&fconf.injectFacebook==" 1")
det gav et link til
<https://gist.github.com/StudioMaX/62af7d906c7e3ba4df294e4e39026159>
hvor teksten står på linie 2437. Overskriften på siden er:
Malware ad-framework used in different browser extensions
Martin Larsen (04.02.2019, 23:03)
Den 04/02/2019 kl. 09.09 skrev Bertel Lund Hansen:

> Hvad i alverden foregår der?


Kan du linke til html-siden (altså onlineversionen)?

Hvis du åbner sitet i en inkognitofane og gemmer, får du så samme
udfald? Hvis ikke, kan det muligvis skyldes en browserudvidelse
(adblocker etc) som laver om på indholdet. De indlæses normalt ikke i et
inkognitovindue.

Eller måske google analytics eller tilsvarende, hvis du bruger noget sådant.
Martin Larsen (04.02.2019, 23:10)
Den 04/02/2019 kl. 22.03 skrev Martin Larsen:

> Kan du linke til html-siden (altså onlineversionen)?


Ok, det gjorde du i det andet indlæg. Jeg får ikke nogle undermapper. I
lighed med Jan.

Jeg bemærkede ikke FUT'en og har derfor ikke læst svarene i denne gruppe
før nu.
Martin Larsen (04.02.2019, 23:11)
Den 04/02/2019 kl. 19.13 skrev Jan Hansen:

> Malware ad-framework used in different browser extensions


Så var jeg da på sporet da jeg foreslog det kunne skyldes en udvidelse....
Kim Ludvigsen (04.02.2019, 23:39)
Den 05/02/2019 kl. 04.03 skrev Martin Larsen:

> Hvis du åbner sitet i en inkognitofane og gemmer, får du så samme
> udfald? Hvis ikke, kan det muligvis skyldes en browserudvidelse
> (adblocker etc) som laver om på indholdet. De indlæses normalt ikke i et
> inkognitovindue.


Et inkognitovindue gør ingen forskel på udvidelser. Det er fejlsikret
tilstand, man skal bruge, hvis man vil deaktivere udvidelser:
Bertel Lund Hansen (05.02.2019, 10:07)
Jan Hansen skrev:

> Malware ad-framework used in different browser extensions


Okay, aå kan det være kommet fra en extension som jeg har
afprøvet. Jeg sikrede mig lige igen ved at gemme siden og se om
mappen dukkede op, men det gør den ikke, så mine faste extensions
er sikre nok.

Til oplysning kan jeg sige at det drejer sig om:

Adblock Plus - free ad blocker
Auto-Sort Bokmarks
I don't care about cookies
Web Developer
google-no-tracking-url

Den sidte er røvirriterende for den hedder noget helt andet når
man skal installere den, og det kan let føre til at man får fat i
en forkert. Den hedder:

Google Redirects Fixer & Tracking Remover
Martin Larsen (06.02.2019, 11:08)
Den 04/02/2019 kl. 22.39 skrev Kim Ludvigsen:

> Et inkognitovindue gør ingen forskel på udvidelser.


Måske ikke i FF (bruger den ikke så tit) men i Chrome/Chromium/Opera gør
det. Her indlæses udvidelser netop ikke pga sikkerheden med mindre du
specifikt tillader for den enkelte udvidelse. Således har jeg tilladt
Lastpass i inkognitotilstand og ingen andre.

Det er faktisk dumt af FF at den ikke automatisk blokerer udvidelser i
inkognito.
Kim Ludvigsen (06.02.2019, 11:21)
Den 06/02/2019 kl. 16.08 skrev Martin Larsen:
> Den 04/02/2019 kl. 22.39 skrev Kim Ludvigsen:
>> Et inkognitovindue gør ingen forskel på udvidelser.

> Det er faktisk dumt af FF at den ikke automatisk blokerer udvidelser i
> inkognito.


Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet.
Hvis brugeren har valgt at installere noget, der fortæller websteder,
hvem brugeren er, så er det forhåbentligt noget brugeren er klar over,
og som brugeren så selv kan slå fra om ønsket.

Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser holder
op med at virke, bare fordi jeg vil surfe anonymt. Det bliver ikke
mindre dumt af, at inkognito-udvidelser så også slås fra.
Martin Larsen (06.02.2019, 17:45)
Den 06/02/2019 kl. 10.21 skrev Kim Ludvigsen:

> Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet.


Ja normalt. Det interessante er som regel når noget ikke kører efter
normen. Det er ikke normalt at hacker stjæler dit kodeord. Men derfor er
det nu en god ide at sikre sig mod den slags.

> Hvis brugeren har valgt at installere noget, der fortæller websteder,
> hvem brugeren er, så er det forhåbentligt noget brugeren er klar over,
> og som brugeren så selv kan slå fra om ønsket.


Det er meget nemmere lige at starte en anonym fane end at huske på hvad
der evt. logger din færden og derpå slå det fra.

> Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser holder
> op med at virke, bare fordi jeg vil surfe anonymt.


I Chrome har du i det mindste valgmuligheden.
Kim Ludvigsen (06.02.2019, 18:16)
Den 06/02/2019 kl. 22.45 skrev Martin Larsen:
> Den 06/02/2019 kl. 10.21 skrev Kim Ludvigsen:
>> Hvorfor? Udvidelser kompromitterer normalt ikke brugerens identitet.

> Ja normalt. Det interessante er som regel når noget ikke kører efter
> normen. Det er ikke normalt at hacker stjæler dit kodeord. Men derfor er
> det nu en god ide at sikre sig mod den slags.

Det har man sikkerhedsprogrammer til. Nogle af den slags installerer
vist også udvidelser, men de slås jo så åbenbart fra i Chrome, hvis man
prøver at skjule gaveindkøb for kæresten. Jeg finder den opførsel meget
betænkelig.

>> Jeg vil omvendt synes, det er dumt, at mine nødvendige udvidelser
>> holder op med at virke, bare fordi jeg vil surfe anonymt.

> I Chrome har du i det mindste valgmuligheden.


Det har man da også i Firefox. Her kan du nemt starte et privat vindue,
som vel svarer til inkognito i Chrome. Men i Firefox virker udvidelser,
medmindre du selv slår dem fra.

Jeg har fx en VPN-udvidelse installeret, da jeg sidder et sted, hvor der
er censur på nogle websider. Jeg ville da føle det som et stort
sikkerhedsproblem, hvis min browser slog den udvidelse fra, fordi jeg
forsøgte at surfe inkognito. Det er den slags malware kunne finde på,
det skal en browser ikke gøre.
Martin Larsen (07.02.2019, 00:00)
Den 06/02/2019 kl. 17.16 skrev Kim Ludvigsen:

> Jeg ville da føle det som et stort sikkerhedsproblem, hvis min browser
> slog den udvidelse fra,


Det er kun et spørgsmål om at vælge fra eller til. I Chrome vælger du
udvidelser til som skal virke i inkognito. I Firefox vælger du dem fra.

Hvis altså det er det du mener: Kan man fortælle FF at en bestemt
udvidelse ikke skal indlæses i inkognito?

Jeg synes absolut det er bedst at så lidt som muligt indlæses i en
anonym fane. Du må gerne mene noget andet. Det er vel derfor der er
forskellige browsere, noget for enhver smag.

Lignende emner