בדוק את אבטחת הדפדפן שלך לגבי פגיעויות

עד כמה הדפדפן שלך מאובטח בדיוק?


כמה מידע ניתן לחלץ מפרופיל הגלישה המקוון שלך?

מדוע נראה שאתה רואה מודעות הקשורות לדברים שחיפשת, קנית לאחרונה או קראת עליהם?

מה העלות של חשיפת הפרופיל שלך לחלוטין?

כיצד תוכל להגן טוב יותר על פרטיותך המקוונת?

שאלות אלה ועוד הן מה שמאמר זה יקווה לעזור לכם לענות ולספק דרכים בהן תוכלו להגן טוב יותר על פרטיותכם המקוונת.

חשוב לציין שחברות שמייצרות דפדפנים שאנו משתמשים בהן לרוב, כמו גוגל (כרום), מוזילה (פיירפוקס), אפל (ספארי), מיקרוסופט (אדג ‘), אופרה וכו’ נסו כמה שיותר להגן על משתמשים והמידע האישי שלהם בעת השימוש במוצרים אלה. לפיכך, מאמר זה אינו מיועד לערער את המאמצים הללו, אלא לעזור לך, המשתמש לבצע בחירות משכילות בעת שימוש בדפדפנים אלה ואחרים לפעילויות שונות..

האינטרנט הוא שער הדרך שלנו לעולם, כדי לעזור לנו להגיע לכל מקום כמעט למידע, סחר, עסקים, תקשורת וכל שאר הצרכים והצרכים. מכאן, שהצורך להבטיח את עצמנו כפי שנהוג לעשות בעולם האמיתי, מכיוון שלא לכולם באינטרנט יש כוונות כנות..

למרות שיש לך אנטי-וירוסים במחשב שלך, החוסמים כל מיני תוכנות זדוניות במחשב, הדפדפן שלך עשוי להיות פגיע. בואו נצלול לעומק כמה פגיעויות אפשריות.

XSS (סקריפטים חוצי אתרים)

ניתן לתאר סקריפטים בין אתרים כזריקת קוד (בדרך כלל קוד Javascript). מטרת התקפה מסוג זה היא לסכן את האבטחה של יישום אינטרנט באמצעות הלקוח (לרוב באמצעות דפדפנים). התוקפים שואפים להשתמש בהתקפה מסוג זה כדי לנצל אימותים חלשים וחוסר במדיניות אבטחת תוכן (CSP) ביישומי אינטרנט מסוימים..

ישנם סוגים שונים של XSS; בואו נסקור מקרוב את מה שהם ואיך ניתן להשתמש בהם.

XSS משתקף

זהו סוג נפוץ מאוד של XSS המשמש עמל לצד הלקוח של היישום. הקוד שהוזרק כאן לא נמשך למסד הנתונים, אך הוא צפוי לעורר תגובה מצד הלקוח של היישום. מכאן השם ‘משתקף’. התקפה זו עובדת בהצלחה במקרה בו היישום מקבל קלט משתמש ומחזיר את הקלט לאחר עיבוד כלשהו מבלי לשמור למאגר. דוגמה נפוצה היא פורום צ’אט מיניאטורי, שבו ההודעות לא נמשכות למסד הנתונים. במקרים כאלו, היישום קולט כניסות משתמשים ומוצא אותם כ- HTML. תוקף יכול להזין סקריפט זדוני לאותו פורום צ’אט, כגון שינוי עיצוב האפליקציה או צבעיה על ידי הזנת כמה CSS בתגי סקריפט..

הדבר עלול להחמיר עבור משתמשים אחרים ביישום, מכיוון שהסקריפט יבוצע למעשה בדפדפנים שלהם, מה שעלול להוביל לגניבת מידע, כמו לגנוב את המידע על מילוי אוטומטי שנשמר בדפדפן. הרבה משתמשים מעדיפים לשמור מידע שהוקלד בדרך כלל בטפסים כמו שמות, כתובות ומידע על כרטיסי אשראי, וזה במקרה רעיון רע.

DOM XSS

DOM – Model Object Model, הוא ממשק התכנות המפרש את ה- HTML (או XML) המשמש בדפי אינטרנט ומכאן שמגדיר את המבנה הלוגי של אותו דף אינטרנט מסוים. סוג זה של XSS מנצל יישומי אינטרנט עם קוד javascript שאינו בטוח ב- סימון שמרכיב את דף האינטרנט. ניתן להשתמש ב- XSS המשמש כאן לשינוי ישיר של ה- DOM. ניתן להשתמש בזה כדי לשנות כמעט כל חלק מדף האינטרנט שאיתו המשתמש מתקשר, מה שעלול להוביל לדיוג.

מאוחסן XSS

זהו סוג של XSS בו קוד זדוני לא משתקף רק בחזרה למשתמש אלא גם מתמיד (מאוחסן) למסד הנתונים של שרת האינטרנט בו מתארח יישום האינטרנט. סוג זה של XSS מסוכן עוד יותר מכיוון שניתן להשתמש בו מחדש לתקיפת קורבנות מרובים מכיוון שהוא מאוחסן (לשימוש מאוחר יותר). זה יכול להיות המקרה בו הגשות טפסים על ידי משתמשים אינם מאומתים היטב לפני שהם נשלחים למסד הנתונים.

באופן כללי, XSS יכול להיות מכל סוג שהוא בשילוב; התקפה יחידה יכולה להשתקף וגם להתמיד. טכניקות המופעלות בביצוע ההתקפה עשויות להשתנות גם הן אך מכילות שכיחות עם אלה שהוזכרו לעיל.

כמה דפדפנים מרכזיים, כמו Chrome ו- Edge כתכונת אבטחה, פיתחו פרוטוקולי לקוח משל עצמם כדי להימנע מהתקפות XSS המכונות X-XSS-Protection. ל- Chrome היה מבקר ה- XSS, שהוצג בשנת 2010 כדי לאתר התקפות XSS ולהפסיק טעינה של דפי אינטרנט כאלה כאשר זוהה. עם זאת, נמצא כי הדבר מועיל פחות מכפי שקיוו בתחילה, והוסר לאחר מכן לאחר שהחוקרים הבחינו באי-עקביות בתוצאותיו ובמקרים של בחירת חיוביות שגויות..

התקפות XSS הן אתגר קשה להתמודד מצד הלקוח. לדפדפן ה- Edge היה גם מסנן XSS, שפרש מאוחר יותר. עבור Firefox, אתר האינטרנט של MDN (Mozilla Developer Network) מכיל אותו,

פיירפוקס לא עשתה זאת, ולא תיישם את הגנת X-XSS

מעקב של צד שלישי

חלק חשוב נוסף בביסוס הפרטיות שלך באינטרנט הוא להיות בקי בקשר לעוגיות מעקב של צד שלישי. העוגיות נחשבות בדרך כלל טובות ברשת שכן הן משמשות אתרים לאיתור משתמשים באופן ייחודי וכדי להתאים את חוויית הגלישה של המשתמש בהתאם. זה נכון לאתרי מסחר אלקטרוני שבהם הם משתמשים בעוגיות כדי לשמור על הפעלת הקניות שלך וגם לשמור על הפריטים שהוספת לעגלה. עוגיות מסוג זה מכונות עוגיות של צד ראשון. אז כשאתם גולשים באתרים ב- geekflare.com, העוגיות המשמשות את geekflare.com הן עוגיות של צד ראשון (הטובות).

ישנם גם מקרים מעטים של קובצי Cookie של צד שני, כאשר אתרים מציעים (או מוכרים) קובצי Cookie של צד ראשון לאתר אחר כדי להציג מודעות למשתמש. במקרה זה, העוגיות יכולות להיחשב כצד שני. קובצי Cookie של צד שלישי הם העוגיות הגדולות המודעות המשמשות למעקב חוצה אתרים ופרסום ממוקד מחדש.

אלה קובצי Cookie שמונחים בדפדפני המשתמשים ללא ידיעה או הסכמה של המשתמש בכדי לקבל מידע אודות המשתמש וכל מיני פרופילי נתונים, כמו אתרים בהם המשתמש מבקר, מחפש, ספק שירותי האינטרנט (ספק שירותי אינטרנט) שהמשתמש משתמש בו, מפרטי המחשב הנייד , חוזק הסוללה וכו ‘. מידע זה משמש ליצירת פרופיל נתונים באינטרנט סביב המשתמש, כך שניתן להשתמש בו לפרסומות ממוקדות. תוקפים שגונבים מידע מסוג זה בדרך כלל עושים זאת מסוג כריית נתונים ויכולים למכור נתונים אלה לרשתות פרסום גדולות.

פיירפוקס, בספטמבר 2019, הודיעה שהיא תחסום כברירת מחדל קובצי Cookie של מעקב של צד שלישי הן בדפדפן שולחן העבודה והן בנייד. הצוות התייחס לזה להגנת מעקב משופרת, המצוינת בסרגל הכתובות של הדפדפן עם סמל מגן.

דפדפן הספארי במכשירי אפל גם חוסם מעקב אחר המשתמשים שלהם דרך קובצי cookie של צד שלישי.

ב- Chrome, קובצי ה- cookie למעקב אחר צד שלישי אינם חסומים כברירת מחדל. כדי לאפשר תכונה זו, לחץ על שלוש הנקודות האנכיות בפינה השמאלית העליונה של חלון הדפדפן כדי לחשוף נפתח, ואז לחץ על הגדרות, בכרטיסיית ההגדרות, משמאל, לחץ על פרטיות ואבטחה, ואז לחץ על הגדרות אתר, לחץ על קובצי Cookie ונתוני אתרים ואז החלף את האפשרות שקוראת חסימת קובצי Cookie של צד שלישי.

קריפטומינרים

חלק מהאתרים באינטרנט מכילים סקריפט לכריית crypto או על ידי בעל האתר או על ידי צד שלישי. סקריפטים אלה מאפשרים לתוקף להשתמש במשאבי המחשוב של הקורבן בכריית cryptocurrencies.

אם כי, חלק מבעלי אתרים עושים זאת כאמצעי מימון בדרך כלל כאשר הם מספקים שירותים בחינם וטוענים כי מחיר זה קטן לשלם עבור השירותים שהם מציעים. קבוצות אתרים אלה משאירות בדרך כלל הודעות למשתמש כדי להיות מודע לעלות השימוש בשירות שלו. עם זאת, אתרים רבים אחרים עושים זאת מבלי להודיע ​​למשתמש. מה שעלול להוביל לשימוש רציני במשאבי מחשב. מכאן שחשוב שהדברים האלה ייחסמו.

לחלק מהדפדפנים כלי עזר מובנים לחסימת סקריפטים כגון Firefox, עם הגדרה לחסימת קריפטומינרים ברשת ובנייד כאחד. כמו כן אופרה. עבור Chrome וספארי, תוספים נדרשים להתקנה בדפדפן שלך בכדי להשיג זאת.

טביעות אצבע בדפדפן

כהגדרתו ב- ויקיפדיה,

א טביעת אצבע של המכשיר או טביעת אצבע מכונה הוא מידע שנאסף על התוכנה והחומרה של מכשיר מחשוב מרוחק לצורך זיהוי.

טביעת אצבע בדפדפן היא מידע על טביעות אצבע שנאסף באמצעות הדפדפן של המשתמש. דפדפן המשתמש יכול לספק למעשה מידע רב על השימוש במכשיר. שימושים שונים משמשים כאן ואפילו ידוע כי תגיות html5 משמשות לטביעת אצבע. מידע כמו מפרט התקנים כגון גודל זיכרון התקן, חיי סוללה של המכשיר, מפרט מעבד וכו ‘. מידע על טביעות אצבע יכול לחשוף גם את כתובת ה- IP האמיתית של המשתמש ומיקום גיאוגרפי..

חלק מהמשתמשים נוטים להאמין כי השימוש במצב גלישה בסתר בדפדפנים מגן מפני טביעות אצבעות, אך זה לא קורה. מצב פרטי או גלישה בסתר איננו פרטי באמת; זה רק לא שומר קובצי cookie או היסטוריית גלישה באופן מקומי בדפדפן; עם זאת, מידע זה יישמר באתר שביקר בו. מכאן שטביעת אצבעות אפשרית עדיין במכשיר כזה.

דליפות RTC באינטרנט

אינטרנט RTC (תקשורת בזמן אמת). האינטרנט RTC הגיע כפריצת דרך לתקשורת בזמן אמת באינטרנט. על פי אתר RTC באינטרנט.

באמצעות WebRTC אתה יכול להוסיף יכולות תקשורת בזמן אמת ליישום שלך שעובד על גבי תקן פתוח. זה תומך בנתונים של וידאו, קול וגנרי שנשלחים בין עמיתים, ומאפשר למפתחים לבנות פתרונות חזקים וקולי וידאו..

מעניין ככל שיהיה, בשנת 2015, משתמש GitHub (‘diafygi’) פירסם לראשונה פגיעות ב- Web RTC החושף מספר מידע על משתמש, כגון כתובת ה- IP המקומית, כתובת IP ציבורית, יכולות המדיה של המכשיר (כגון מיקרופון, מצלמה וכו ‘).

הוא הצליח לעשות זאת על ידי הצגת מה שמכונה בקשות STUN לדפדפן למסור מידע זה. הוא פרסם כאן את ממצאיו -> https://github.com/diafygi/webrtc-ips.

מאז, הדפדפן הטמיע תכונות אבטחה טובות יותר להגנה מפני זה; עם זאת, הניצול שופר גם במהלך השנים. ניצול זה נותר עד היום. על ידי ביצוע בדיקות אבטחה פשוטות, המשתמש יוכל לראות כמה ניתן להשיג מידע מדליפת מידע של RTC באינטרנט.

ב- Chrome ניתן להתקין תוספים מסוימים שמציעים הגנה מפני דליפות RTC. כך גם בפיירפוקס עם תוספות. לספארי אפשרות להשבית את ה- RTC של האינטרנט; עם זאת, הדבר עשוי להשפיע על השימוש בכמה מאפליקציות אינטרנט בצ’אט בזמן אמת באמצעות הדפדפן.

דפדוף באמצעות פרוקסי

נראה כי פרוקסי אינטרנט בחינם עוזרים לך לקבל פרטיות טובה יותר על ידי הקפצת התעבורה באינטרנט דרך שרתים ‘אנונימיים’. חלק ממומחי האבטחה חוששים מכמה פרטיות זה מספק. הנמלים עשויים להגן על משתמש מפני האינטרנט הפתוח אך לא מהשרתים בהם עוברת תנועת האינטרנט. מכאן ששימוש בפרוקסי אינטרנט ‘חינמיים’ זדוני שנבנה לקצירת נתוני משתמשים עשוי להיות מתכון לאסון. במקום זאת, השתמש בפרוקסי פרמיום.

כיצד לבדוק את אבטחת הדפדפן?

בדיקות דפדפן נותנות לך תובנה על כמה מידע יכול תוקף להפיק ממך באמצעות הדפדפן ומה אתה צריך לעשות כדי להישאר מוגן..

בדיקת דפדפני Qualys

בדיקת דפדפנים מאת Qualys עושה בדיקה מהירה בדפדפן שלך אחר קובצי cookie-tracker ופגיעויות ידועות.

בודק ESNI בענן

פרח ענן מבצע בדיקה מהירה על פגיעויות של DNS ו- TLS של הדפדפן.

מנתח פרטיות

מנתח פרטיות סורק את הדפדפן שלך אחר פרצות פרטיות, כולל ניתוח טביעות אצבע.

Panopticlick

Panopticlick מציע לבדוק עוגיות מעקב של צד שלישי, ומציע גם סיומת כרום כדי לחסום מעקב נוסף.

ווב קיי

ווב קיי מספק תצוגה מהירה של המידע שהדפדפן שלך מוציא בקלות.

תאימות SSL / TLS

חשבון אם הדפדפן שלך פגיע לפגיעויות TLS.

איך ה- SSL שלי?

סיבוב בדיקות ברמת SSL בדפדפן שלך. הוא בוחן עבור דחיסת TLS, סוויטות צופן, תמיכה בכרטיסי הפעלה, ועוד.

AmIUnique

האם אתה?

AmIUnique בודק אם טביעת האצבע של הדפדפן שלך הייתה בטביעת אצבע שנאספה בעבר בעולם.

כיצד להקשיח את הדפדפנים?

עליכם להיות פרואקטיביים יותר עם פרטיותם ואבטחתם, ומכאן הצורך להיות בטוח באילו הגדרות אבטחה קיימות בדפדפן. לכל דפדפן יש הגדרות פרטיות ואבטחה, המעניקות למשתמש שליטה על המידע שהוא יכול למסור לאתרים. להלן קצת הנחיות לגבי הגדרות הפרטיות שיש להגדיר בדפדפן שלך.

  • שלח בקשות ‘אל תעקוב’ לאתרים
  • חסום את כל קובצי ה- cookie של צד שלישי
  • השבת את ActiveX והבזק
  • הסר את כל התוספים והתוספים המיותרים
  • התקן תוספים או תוספות פרטיות.

השתמש בדפדפן ממוקד פרטיות בנייד או בשולחן העבודה.

תוכל גם לשקול להשתמש ב- VPN פרמיום, המציע נראות באינטרנט מגששים, סורקים וכל מיני יומני מידע. להיות אמיתי באמת באינטרנט זה עם VPN. עם זאת, שירותי VPN ‘בחינם’ סובלים מבעיות דומות שנדונו לעיל על פרוקסי חינם, אתה אף פעם לא בטוח באיזה שרת אינטרנט אתה עובר. מכאן הצורך בשירות VPN אמין, שיספק אבטחה טובה בהרבה.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map