Google Chrome: Al final era "Security & Privacy Bug" y no una "Feature" o un "Issue"

El próximo 25 de Mayo hará 6 años que, desde el equipo de Informática 64 reportamos al equipo de seguridad de Chromium que en Google Chrome 4 había un comportamiento anómalo de seguridad por como gestionaba las opciones de protección contra la carga del contenido que se hace en una página web. Básicamente, existía un caso en el que aún habiendo sido bloqueada la carga de contenido JavaScript desde un determinado dominio, si este se metía en un iframe se saltaba esta protección.

Figura 1: Google Chrome: Al final era "Security & Privacy Bug" y no una "Feature" o un "Issue"

Para estudiar aquel caso se abrió un ID en el sistema de reporte de bugs con el número 44985 donde dejamos toda la información. Al principio, algunos de los ingenieros defendieron ese comportamiento y lo llegaron a calificar como un problema en la explicación de la "Feature", por lo que en la clasificación le asignaron un "WordFix" y lo dieron por cerrado en una primera catalogación.

Figura 2: Primera catalogación como Feature y se cierra como un "WordFix"

Por supuesto, al poco, comenzó el debate cuando algunos ingenieros no tenían tan claro que ese debiera ser el comportamiento de Google Chrome ante el contenido cargado desde un iframe si el usuario había expresado claramente que no quería cargar ningún JavaScript desde un determinado dominio - viniera o no ese contenido en un iframe -, por lo que se volvió a abrir y se convirtió en una "Issue" en una segunda catalogación.

Tercera catalogación

Con el paso del tiempo, este "Issue" se unió con otras conversaciones que fueron apareciendo posteriormente durante el año 2014 y se le asignó el ID 444744 para que lo estudiaran. En ese momento, la catalogación de este Issue pasó a ser de Privacy & Security-UX Feature con prioridad 3 para ser arreglada.

Figura 3: Tercera catalogación como Privacy & Security-UX Feature

Con este tratamiento, ya se puso en la cola de tareas a corregir, pero aún no se pusieron manos a la obra a corregirla. Tendríamos que esperar aún un par de años para que esto se tomara de otra forma.

Cuarta catalogación

Como yo abrí el caso, cada vez que hay un cambio en el estado de este "Issue" recibo una alerta, y la última me ha traído como sorpresa que ha sido recatalogado esta vez como Security & Privacy Bug con prioridad 2. 

Figura 4: Cuarta catalogación como Security & Privacy Bug

Es decir, la Feature mal explicada que se catalogó inicialmente como un WordFix, que luego se catalogó como Issue, que luego se puso como Privay & Security-UX Feature, ha terminado como Security & Privacy Bug al cabo de 6 años. Hemos pasado de la versión 4 a la versión 49 de Google Chrome, pero nunca es tarde si al final lo acaban corrigiendo.

Saludos Malignos!

El "issue" de Google Chrome 4 sigue activo en la versión 36

Fue en el año 2010 cuando, desde Informática 64, reportamos a Google que la función de bloqueo de contenido JavasScript en Google Chrome 4 no funcionaba demasiado bien, pero por decisión suya, a día de hoy sigue funcionando tal y como funcionaba en aquel entonces. Con la notificación se abrió un expediente de seguimiento en Chromium, en concreto con el ID 44985.

Esta semana, ha habido un cambio de categoría del mismo y me ha llegado una notificación por correo electrónico. En el expediente se puede ver que el "issue" se considera una característica que afecta a la Privacidad, la Seguridad y la Experiencia de Usuario en Seguridad, tal y como puedes ver aquí.

Figura 1: Expediente del "issue" 4495 en el proyecto Chromium

Por supuesto, después de este mensaje he decidido que había que comprobar que seguía activo, y sí. Sigue estando de la misma forma en la que se dejó en el año 2010, allá por la versión de Google Chrome 4, pero en la versión Google Chrome 36. Si tienes otra versión, puedes probar también.

Figura 2: Versión de Google Chrome probada

Para los que no estén al día, el "fallo en la experiencia de usuario de seguridad" que catalogaron como "issue" se produce con el bloqueo de contenido JavaScript. Supongamos que alguien quiere bloquear el contenido JavaScript de un dominio. Para ello se va a las opciones de configuración, y en la parte de contenido deja JavaScript habilitado para todas las páginas, excepto para la del dominio concreto que quiere bloquear. En mi caso he elegido un web con un emulador JavaScript de NES.

Figura 3: Se permite JavaScript para todos los dominios excepto para jsmess.textfiles.com

Una vez que se ha hecho esto, si alguien accede a cualquier página de ese dominio, lo que se obtiene es que el contenido JavaScript no se ejecuta, por lo que no se puede cargar el emulador, tal y como puedes ver en la imagen siguiente.

Figura 4: Si se accede a la URL ahora está bloqueado JavaScript

Pero basta con invocar el contenido de la URL con un iframe src que cargue el contenido, y listo. Así que cierra el navegador, abre una nueva pestaña con el archivo que carga en el iframe el emulador JavaScript y podrás verlo funcionando. Es decir, la opción de bloquear el contenido JavaScript solo afecta si la web se carga en la barra de direcciones, pero nada más.

Figura 5: Contenido JavaScript ejecutado en el iframe, pese a estar bloqueado el dominio

Al final, el problema es que si alguien piensa que esta opción le puede servir para protegerse, por ejemplo, de sitios que hagan tracking de hábitos - por ejemplo empresas de publicidad agresiva - bloqueando los dominios desde donde las webs afiliadas cargan los ficheros JavaScript, se estará equivocando. Esto solo funciona si la web se carga en el dominio principal, pero nada más.

Figura 6: La respuesta -> "Es un issue"

Aún sigue abierto el "issue", así que tal vez en un futuro, cercano o no, acabarán cambiándolo para que esto tenga realmente una utilidad, o al menos informando de cómo funciona realmente esa característica, que parece que sirve para bloquear el JavaScript de un dominio, ¿verdad?.

Saludos Malignos!