Google forex загружает файл "f.txt"

После обновления до Chrome 40.0.2214.111, когда я посещаю определенные сайты, связанные с Google (например, http://youtube.com и получаю рекламу перед видео), браузер загружает файл с именем f.txt.

У меня нет плагинов adblock.

f.txt содержит несколько строк JavaScript... начиная с:

if (!window.mraid) {document.write('\x3cdiv class="GoogleActiveViewClass" ' +'id="DfaVisibilityIdentifier_3851468350"\x3e');}document.write('\x3ca target\x3d\x22_blank\x22 href\x3d\x22https://adclick.g.doubleclick.net/pcs/click?xai\x3dAKAOjsvDhmmoi2r124JkMyiBGALWfUlTX-zFA1gEdFeZDgdS3JKiEDPl3iIYGtj9Tv2yTJtASqD6S-yqbuNQH5u6fXm4rThyCZ0plv9SXM-UPKJgH4KSS08c97Eim4i45ewgN9OoG3E_

В поиске проблемы в Google другие испытали то же самое, но я не нашел никакого разрешения или понимания того, почему это происходит. Я предполагаю, что это ошибка, связанная с content-disposition с некоторыми из файлов JS, загружаемых на страницу, и будет устранена в будущем патче.

Удивление, если кто-то еще испытал/понял.

Ответы

Ответ 1

Эта проблема, похоже, вызывает постоянное беспокойство, поэтому я попытаюсь дать более четкий ответ, чем ранее опубликованные ответы, в которых содержатся только частичные подсказки относительно того, что происходит.

  • Некоторое время в летнее время 2014 года инженер по ИТ-безопасности Michele Spagnuolo (по-видимому, работавший в Google Zurich) разработал концепт эксплойта и поддержки под названием Rosetta Flash, который продемонстрировал возможность для хакеров запускать вредоносные SWF файлы Flash из удаленного домена таким образом, что браузеры браузера задумываются о том, что он пришел из того же домена, который просматривал пользователь в настоящий момент. Это позволяет обойти "политику одного и того же происхождения" и может позволить хакерам разного рода эксплойты. Здесь вы можете прочитать подробности: https://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/
    • Известные уязвимые браузеры: Chrome, IE
    • Возможно, незатронутые браузеры: Firefox
  • В течение прошлого года Adobe выпустила по меньшей мере 5 различных исправлений, пытаясь полностью устранить эту уязвимость, но на других крупных веб-сайтах ранее были введены собственные исправления, чтобы предотвратить массовую уязвимость для их пользовательских баз. Среди сайтов для этого: Google, Youtube, Facebook, Github и другие. Один из компонентов ad-hoc-смягчения, реализованный этими владельцами веб-сайтов, заключался в том, чтобы заставить HTTP-заголовок Content-Disposition: attachment; filename=f.txt возвращать конечные точки JSONP. Это вызывает раздражение, что браузер автоматически загружает файл с именем f.txt, который вы не запрашивали &mdash, но он намного лучше, чем ваш браузер автоматически запускает возможно вредоносный файл Flash.
  • В заключение, сайты, которые вы посещали, когда этот файл спонтанно загружался, не являются плохими или злонамеренными, но на некотором домене, обслуживающем контент на своих страницах (обычно объявления), есть контент с этим эксплойтом внутри него. Обратите внимание, что эта проблема будет случайной и прерывистой по своей природе, потому что даже посещение одних и тех же страниц будет часто создавать разные рекламные материалы. Например, рекламный домен ad.doubleclick.net, вероятно, обслуживает сотни тысяч различных объявлений, и только небольшой процент, вероятно, содержит вредоносный контент. Вот почему различные пользователи в сети путаются, думая, что они исправили проблему или каким-то образом повлияли на нее, удалив эту программу или выполнив ее, если на самом деле все это не связано. Загрузка f.txt означает, что вы были защищены от недавней потенциальной атаки с этим эксплойтом, и у вас не должно быть оснований полагать, что вы каким-либо образом скомпрометированы.
  • Единственный способ, которым я знаю, что вы могли бы остановить этот файл f.txt от повторной загрузки в будущем, будет блокировать наиболее распространенные домены, которые, как представляется, служат для этого эксплойта. Ниже приведен короткий список некоторых из них, связанных с различными сообщениями. Если вы хотите заблокировать эти домены от прикосновения к своему компьютеру, вы можете добавить их в свой брандмауэр или, альтернативно, вы можете использовать технику файла HOSTS, описанную во втором разделе этой ссылки: http://www.chromefans.org/chrome-tutorial/how-to-block-a-website-in-google-chrome.htm
  • Краткий список доменов, которые вы могли бы заблокировать (далеко не полный список). Большинство из них очень связаны с рекламным ПО и вредоносным ПО:
    • ad.doubleclick.net
    • adclick.g.doubleclick.net
    • secure-us.imrworldwide.com
    • d.turn.com
    • ad.turn.com
    • secure.insightexpressai.com
    • core.insightexpressai.com

Ответ 2

У меня возникла одна и та же проблема, такая же версия Chrome, хотя она не связана с проблемой. С помощью консоли разработчика я захватил экземпляр запроса, который породил это, и это вызов API, обслуживаемый ad.doubleclick.net. В частности, этот ресурс возвращает ответ с помощью Content-Disposition: attachment; filename="f.txt".

URL-адрес, который я случайно захватил, был https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz= 300x60...

За виток:

$ curl -I 'https://ad.doubleclick.net/adj/N7412.226578.VEVO/B8463950.115078190;sz=300x60;click=https://2975c.v.fwmrm.net/ad/l/1?s=b035&n=10613%3B40185%3B375600%3B383270&t=1424475157058697012&f=&r=40185&adid=9201685&reid=3674011&arid=0&auid=&cn=defaultClick&et=c&_cc=&tpos=&sr=0&cr=;ord=435266097?'
HTTP/1.1 200 OK
P3P: policyref="https://googleads.g.doubleclick.net/pagead/gcn_p3p_.xml", CP="CURa ADMa DEVa TAIo PSAo PSDo OUR IND UNI PUR INT DEM STA PRE COM NAV OTC NOI DSP COR"
Date: Fri, 20 Feb 2015 23:35:38 GMT
Pragma: no-cache
Expires: Fri, 01 Jan 1990 00:00:00 GMT
Cache-Control: no-cache, must-revalidate
Content-Type: text/javascript; charset=ISO-8859-1
X-Content-Type-Options: nosniff
Content-Disposition: attachment; filename="f.txt"
Server: cafe
X-XSS-Protection: 1; mode=block
Set-Cookie: test_cookie=CheckForPermission; expires=Fri, 20-Feb-2015 23:50:38 GMT; path=/; domain=.doubleclick.net
Alternate-Protocol: 443:quic,p=0.08
Transfer-Encoding: chunked
Accept-Ranges: none
Vary: Accept-Encoding

Ответ 3

FYI, прочитав этот поток, я взглянул на мои установленные программы и обнаружил, что как-то вскоре после обновления до Windows 10 (возможно, возможно, не связанного) было установлено приложение поиска ASK, а также расширение Chrome ( Окна были достаточно любезны, чтобы напомнить, чтобы проверить это). Поскольку удаление, у меня нет проблемы с f.txt.

Ответ 4

Похоже на https://groups.google.com/forum/#!msg/google-caja-discuss/ite6K5c8mqs/Ayqw72XJ9G8J.

Так называемая уязвимость "Rosetta Flash" заключается в том, что разрешение произвольных но идентификатор-подобный текст в начале ответа JSONP достаточно для его интерпретации как файла Flash, выполняемого в этом происхождение. См. Дополнительную информацию: http://miki.it/blog/2014/7/8/abusing-jsonp-with-rosetta-flash/

Ответы JSONP от сервлета-прокси теперь: * имеют префикс "/**/", который по-прежнему позволяет выполнять их как JSONP  но удаляет управление запросом на первые байты ответа. * иметь заголовок ответа Content-Disposition: attachment.