Otestujte si chyby zabezpečenia prehliadača

Presne tak bezpečný je váš prehliadač?


Koľko informácií možno získať z vášho profilu prehliadania online?

Prečo sa vám zdajú reklamy súvisiace s vecami, ktoré ste hľadali, nedávno kúpili alebo o ktorých ste čítali?

Aké sú náklady na úplné odhalenie vášho profilu?

Ako môžete lepšie chrániť svoje súkromie online?

Tieto a ďalšie otázky sú tým, čo tento článok dúfa, že vám pomôže odpovedať a poskytnúť spôsoby, ako môžete lepšie chrániť svoje súkromie online.

Je dôležité poznamenať, že spoločnosti, ktoré používajú prehliadače, ktoré používame najčastejšie, napríklad Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, atď. Snažte sa čo najviac chrániť používateľov. a ich osobné informácie pri používaní týchto produktov. Tento článok preto nie je zameraný na oslabenie tohto úsilia, ale na pomoc používateľovi, aby si používateľ pri výbere týchto a iných prehliadačov na rôzne aktivity vybral vzdelané rozhodnutia..

Internet je našou bránou do sveta a pomáha nám dosiahnuť prakticky kdekoľvek informácie, obchod, obchod, komunikáciu a všetky ďalšie potreby a potreby. Potreba zabezpečiť sa tak, ako by sme bežne robili v skutočnom svete, pretože nie každý na internete má čestné úmysly.

Aj keď máte v počítači antivírusové programy, ktoré blokujú všetky druhy počítačového škodlivého softvéru, váš prehliadač môže byť tiež zraniteľný. Poďme sa hlboko ponoriť do niektorých možných zraniteľností.

XSS (Cross-Site Scripting)

Skriptovanie na viacerých stránkach sa dá jednoducho opísať ako vkladanie kódu (zvyčajne kód Javascript). Cieľom tohto druhu útoku je narušiť bezpečnosť webovej aplikácie prostredníctvom klienta (väčšinou prostredníctvom prehliadačov). Úlohou útočníkov je využiť tento druh útoku na zneužitie slabých validácií a chýbajúcich zásad zabezpečenia obsahu (CSP) v niektorých webových aplikáciách..

Existujú rôzne druhy XSS; Pozrime sa bližšie na to, čo sú a ako sa dajú použiť.

Odrážané XSS

Toto je veľmi bežný typ XSS, ktorý sa používa na splachovanie aplikácií na strane klienta. Kód, ktorý sa tu vloží, netrvá do databázy, ale očakáva sa, že vyvolá reakciu zo strany klienta aplikácie. Preto sa názov „odráža“. Tento útok funguje úspešne v prípade, keď aplikácia prevezme vstup od používateľa a po určitom spracovaní vráti tento vstup bez uloženia do databázy. Bežným príkladom je miniatúrne chatovacie fórum, kde správy nepretrvávajú v databáze. V takýchto prípadoch aplikácia prevezme používateľské vstupy a vydá ich ako HTML. Útočník by mohol do tohto chatového fóra zadať škodlivý skript, napríklad zmeniť vzhľad alebo farby aplikácie zadaním niektorých skriptov CSS do značiek skriptov.

Pre ostatných používateľov aplikácie by to mohlo byť horšie, pretože skript sa bude v podstate spúšťať v ich prehliadačoch, čo by mohlo viesť k odcudzeniu informácií, napríklad kradnúť informácie o automatickom dopĺňaní uložené v prehliadači. Mnoho používateľov uprednostňuje ukladanie bežne napísaných informácií do formulárov, ako sú mená, adresy a informácie o kreditných kartách, čo je v tomto prípade zlý nápad..

DOM XSS

DOM – Document Object Model je programové rozhranie, ktoré interpretuje HTML (alebo XML) použité na webových stránkach, a teda definuje logickú štruktúru tejto konkrétnej webovej stránky. Tento typ XSS využíva webovú aplikáciu s nebezpečným inline kódom JavaScript, ktorý tvorí webovú stránku. Tu použité XSS možno použiť na priamu úpravu DOM. To by sa mohlo použiť na zmenu takmer akejkoľvek časti webovej stránky, s ktorou používateľ interaguje, čo by mohlo viesť k phishingu.

Uložené XSS

Toto je typ XSS, kde sa škodlivý kód odráža nielen späť od používateľa, ale tiež pretrváva (ukladá sa) do databázy webového servera, na ktorom je webová aplikácia hostená. Tento typ XSS je ešte nebezpečnejší, pretože môže byť znovu použitý na útok na viac obetí, pretože je uložený (na neskoršie použitie). To môže nastať v prípade, keď pred odoslaním do databázy nie sú predložené správne formuláre používateľov.

Všeobecne môže byť XSS ľubovoľného typu v kombinácii; jeden útok by sa mohol odraziť a pretrvávať. Techniky použité pri vykonávaní útoku sa môžu tiež líšiť, ale môžu obsahovať spoločné rysy s technikami uvedenými vyššie.

Niektoré hlavné prehliadače, ako napríklad Chrome a Edge ako funkcia zabezpečenia, vyvinuli svoje vlastné protokoly zabezpečenia klientov, aby sa predišlo útokom XSS známym ako X-XSS-Protection. V prehliadači Chrome bol zavedený audítor XSS, ktorý bol predstavený v roku 2010 s cieľom zistiť útoky XSS a zastaviť načítavanie takýchto webových stránok. Zistilo sa však, že je to menej užitočné, ako sa pôvodne dúfalo, a neskôr sa odstránilo po tom, čo vedci zistili nezrovnalosti v jeho výsledkoch a prípadoch výberu nepravdivých pozitív.

Útoky XSS sú náročnou výzvou na strane klienta. Prehliadač Edge mal tiež filter XSS, ktorý bol neskôr v dôchodku. V prípade prehliadača Firefox má webová stránka MDN (Mozilla Developer Network),

Firefox nemá a nebude implementovať ochranu X-XSS

Sledovanie treťou stranou

Ďalšou dôležitou súčasťou zabezpečenia vášho súkromia online je dôvtipné sledovanie sledovacích súborov cookie tretích strán. Súbory cookie sa všeobecne považujú za dobré na webe, pretože ich používajú webové stránky na jedinečnú identifikáciu používateľov a na to, aby mohli primerane prispôsobiť používateľské prostredie prehliadania. To je prípad webových stránok elektronického obchodu, kde používajú súbory cookie na udržanie svojej nákupnej relácie a tiež na uchovávanie položiek, ktoré ste pridali do košíka. Tieto druhy cookies sú známe ako cookies prvej strany. Takže pri prehliadaní webových stránok na geekflare.com sú súbory cookie používané serverom geekflare.com súbory cookie prvej strany (tie dobré).

Existuje tiež niekoľko prípadov súborov cookie druhej strany, kde webové stránky ponúkajú (alebo predávajú) svoje súbory cookie prvej strany na inú webovú stránku na zobrazovanie reklám používateľovi. V takom prípade by sa cookies mohli považovať za súbory druhej strany. Súbory cookie tretích strán sú veľké súbory cookie riadené reklamami, ktoré sa používajú na sledovanie viacerých stránok a presmerovanú reklamu.

Sú to súbory cookie umiestnené v prehliadačoch používateľov bez vedomia alebo súhlasu používateľa s cieľom získať informácie o používateľovi a všetkých druhoch dátového profilu, napríklad webové stránky, ktoré používateľ navštevuje, vyhľadáva, poskytovateľa internetových služieb, ktorý používateľ používa, špecifikácie prenosného počítača , sila batérie atď. Tieto informácie sa používajú na vytvorenie internetového údajového profilu okolo používateľa, takže ho možno použiť na cielené reklamy. Útočníci, ktorí kradnú tento typ informácií, spravidla robia tento druh získavania údajov a môžu ich predávať do veľkých reklamných sietí.

Firefox v septembri 2019 oznámil, že v predvolenom nastavení blokuje sledovacie súbory cookie tretích strán v stolnom aj mobilnom prehliadači. Tím to označil ako vylepšená ochrana sledovania, ktorá je na paneli s adresou prehliadača označená ikonou štítu.

Prehliadač Safari v zariadeniach Apple tiež blokuje súbory cookie tretích strán v sledovaní ich používateľov na webe.

V prehliadači Chrome nie sú sledovacie súbory cookie tretej strany v predvolenom nastavení blokované. Ak chcete túto funkciu povoliť, kliknite na tri zvislé bodky v pravom hornom rohu okna prehliadača, aby ste odkryli rozbaľovaciu ponuku, potom kliknite na položku Nastavenia na karte nastavení vľavo, kliknite na položku Ochrana osobných údajov a zabezpečenie a potom na položku Nastavenia webu, potom kliknite na súbory cookie a údaje stránok a potom prepnite možnosť Čítať blokovať súbory cookie tretích strán.

Cryptominers

Niektoré webové stránky na internete obsahujú skript na ťažbu kryptografov buď od vlastníka webových stránok, alebo od tretej strany. Tieto skripty umožňujú útočníkovi využívať počítačové prostriedky obete na ťažbu kryptomien.

Niektorí vlastníci webových stránok to však robia ako prostriedok financovania zvyčajne, keď poskytujú bezplatné služby, a tvrdia, že je to nízka cena za služby, ktoré ponúkajú. Tieto súbory webových stránok spravidla nechávajú správy pre používateľa, aby si bol vedomý nákladov za používanie svojej služby. Mnoho iných webových stránok to však robí bez informovania používateľa. Čo by mohlo viesť k vážnemu využitiu prostriedkov z PC. Preto je dôležité tieto veci zablokovať.

Niektoré prehliadače majú zabudované pomocné programy na blokovanie takýchto skriptov, ako je napríklad Firefox, ktorý má nastavenie na blokovanie kryptominérov na webe aj v mobile. Podobne aj opera. V prehliadačoch Chrome a Safari sú na dosiahnutie tohto cieľa potrebné nainštalovať do prehliadača rozšírenia.

Odtlačok prsta prehliadača

Podľa definície na Wikipedia,

 odtlačok prsta zariadenia alebo strojový odtlačok prsta sú informácie získané o softvéri a hardvéri vzdialeného počítačového zariadenia na účely identifikácie.

Snímanie odtlačkov prstov v prehliadači sú informácie o odtlačkoch prstov zhromaždené prostredníctvom prehliadača používateľa. Prehliadač používateľa môže v skutočnosti poskytnúť množstvo informácií o použitom zariadení. Používajú sa tu rôzne spôsoby využitia, o ktorých je známe, že sa používajú aj pre odtlačky prstov html5. Informácie, ako sú špecifikácie zariadenia, ako napríklad veľkosť pamäte zariadenia, výdrž batérie zariadenia, špecifikácie CPU atď. Časť informácií o odtlačkoch prstov by tiež mohla odhaliť skutočnú IP adresu a geolokáciu používateľa..

Niektorí používatelia majú sklon veriť, že používanie režimu inkognito v prehliadačoch chráni pred odtlačkami prstov, ale nie je tomu tak. Súkromný režim alebo režim inkognito nie sú skutočne súkromné; neukladá iba cookies ani históriu prehliadania lokálne v prehliadači; tieto informácie by sa však stále ukladali na navštívenej webovej stránke. Odtlačky prstov sú preto na takomto zariadení stále možné.

Úniky webu RTC

Web RTC (komunikácia v reálnom čase). Web RTC sa stal prielomom pre komunikáciu v reálnom čase cez web. Podľa Webová stránka RTC.

S WebRTC môžete do svojej aplikácie pridať komunikačné možnosti v reálnom čase, ktoré pracujú nad otvoreným štandardom. Podporuje prenos videa, hlasu a generických dát medzi rovesníkmi, čo vývojárom umožňuje vytvárať výkonné riešenia hlasovej a obrazovej komunikácie..

Je zaujímavé, že v roku 2015 užívateľ GitHub („diafygi“) prvýkrát publikoval zraniteľnosť do Web RTC, ktorá odhaľuje niekoľko informácií o užívateľovi, ako je napríklad lokálna adresa IP, verejná adresa IP, mediálne schopnosti zariadenia (napríklad mikrofón, fotoaparát atď.).

Dokázal to urobiť tak, že prehliadaču prezradil, čo sa nazýva STUN žiadosti, aby prezradil tieto informácie. Svoje zistenia zverejnil tu -> https://github.com/diafygi/webrtc-ips.

Od tej doby má prehliadač implementované lepšie bezpečnostné funkcie, ktoré ich chránia; Využívanie sa však v priebehu rokov zlepšilo. Toto vykorisťovanie zostáva dodnes. Spustením jednoduchých bezpečnostných auditov by užívateľ mohol vidieť, koľko informácií možno získať z úniku informácií Web RTC.

V prehliadači Chrome je možné nainštalovať niektoré rozšírenia, ktoré poskytujú ochranu pred únikom RTC. Podobne aj vo Firefoxe s doplnkami. Safari má možnosť deaktivovať Web RTC; to však môže mať vplyv na používanie niektorých webových chatových aplikácií v reálnom čase cez prehliadač.

Prehliadanie cez proxy

Zdá sa, že bezplatné webové servery proxy vám pomôžu získať lepšie súkromie tým, že umiestnia váš webový prenos na „anonymné“ servery. Niektorí odborníci na bezpečnosť majú obavy z toho, do akej miery to poskytuje súkromie. Server proxy môže chrániť používateľa pred otvoreným internetom, ale nie pred servermi, cez ktoré prechádza internetová prevádzka. Použitie škodlivého „bezplatného“ webového servera proxy vytvoreného na zber údajov o používateľoch by preto mohlo byť receptom na katastrofu. Namiesto toho použite prémiový proxy.

Ako otestovať bezpečnosť prehliadača?

Testy prehliadača vám poskytujú prehľad o tom, koľko informácií by mohol útočník získať od vás pomocou prehľadávača, a čo musíte urobiť, aby ste boli chránení.

Prehliadač Qualys BrowserCheck

Prehľadávač prehliadača od Qualys vykoná v prehliadači rýchlu kontrolu súborov cookie sledovača a známych zraniteľností.

Cloudflare ESNI Checker

CloudFlare vykoná rýchlu kontrolu zraniteľností v zásobníku DNS a TLS vo vašom prehliadači.

Analyzátor ochrany osobných údajov

Analyzátor ochrany osobných údajov prehľadá váš prehliadač, či neobsahuje akýkoľvek typ medzier v súkromí vrátane analýzy odtlačkov prstov.

Panopticlick

Panopticlick ponúka na testovanie súbory cookie sledovania tretích strán a tiež ponúka rozšírenie Chrome na zablokovanie ďalšieho sledovania.

Webkay

Webkay poskytuje rýchly prehľad o tom, aké informácie váš prehliadač ľahko poskytuje.

Kompatibilita SSL / TLS

check ak je váš prehliadač citlivý na zraniteľné miesta TLS.

Aký je môj SSL?

Dookola Kontroly na úrovni SSL vo vašom prehliadači. Testuje kompresiu TLS, sady Cipher, podporu vstupeniek na relácie a ďalšie.

AmIUnique

Si ty??

AmIUnique skontroluje, či sa váš odtlačok prsta v prehliadači nenašiel na svete predtým zhromaždeným odtlačkami prstov.

Ako spevniť prehliadače?

S ich súkromím a zabezpečením musíte byť aktívnejší, preto si musíte byť istí, aké nastavenie zabezpečenia je k dispozícii v prehliadači. Každý prehľadávač má nastavenia ochrany osobných údajov a zabezpečenia, ktoré používateľovi dávajú kontrolu nad tým, aké informácie môžu webovým stránkam poskytnúť. Tu je niekoľko pokynov, aké nastavenia ochrany osobných údajov sa majú nastaviť v prehliadači.

  • Odosielajte žiadosti „Nesledujte“ na webové stránky
  • Zablokujte všetky súbory cookie tretích strán
  • Vypnite ActiveX a blesk
  • Odstráňte všetky nepotrebné doplnky a rozšírenia
  • Nainštalujte rozšírenia alebo doplnky na ochranu osobných údajov.

Používajte prehliadač zameraný na ochranu súkromia v mobilných zariadeniach alebo stolných počítačoch.

Môžete tiež zvážiť použitie prémiovej siete VPN, ktorá ponúka neviditeľnosť cez internet prostredníctvom sledovačov, skenerov a všetkých druhov záznamníkov informácií. Byť skutočne súkromným na internete je s VPN. „Bezplatné“ služby VPN však majú podobné problémy diskutované vyššie o bezplatných serveroch proxy, nikdy si nie ste istí, ktorým webovým serverom prechádzate. Preto je potrebná spoľahlivá služba VPN, ktorá poskytne omnoho lepšie zabezpečenie.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map