Uji Keamanan Peramban Anda untuk Kerentanan

Seberapa aman browser Anda?


Berapa banyak informasi yang dapat diekstrak dari profil penelusuran online Anda?

Mengapa Anda tampaknya melihat iklan yang terkait dengan hal-hal yang telah Anda cari, baru saja dibeli, atau baca tentang?

Berapa biaya untuk membuat profil Anda sepenuhnya terpapar?

Bagaimana Anda bisa lebih melindungi privasi online Anda?

Ini dan lebih banyak pertanyaan adalah apa yang diharapkan artikel ini untuk membantu Anda menjawab dan menyediakan cara-cara di mana Anda dapat lebih melindungi privasi online Anda.

Penting untuk dicatat bahwa perusahaan yang membuat browser yang paling sering kita gunakan, seperti Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, dll. Cobalah sebisa mungkin untuk melindungi pengguna dan informasi pribadi mereka saat menggunakan produk ini. Oleh karena itu, artikel ini tidak bertujuan merusak upaya-upaya tersebut, tetapi untuk membantu Anda, pengguna membuat pilihan berpendidikan saat menggunakan ini dan browser lain untuk berbagai kegiatan.

Internet adalah pintu gerbang kami ke dunia, untuk membantu kami menjangkau di mana saja secara virtual untuk informasi, perdagangan, bisnis, komunikasi, dan semua kebutuhan dan keperluan lainnya. Oleh karena itu, kebutuhan untuk mengamankan diri kita seperti yang biasa kita lakukan di dunia nyata, karena tidak semua orang di Internet memiliki niat jujur.

Meskipun Anda mungkin memiliki anti-virus di komputer Anda, yang memblokir semua jenis malware komputer, browser Anda mungkin juga rentan. Mari selami beberapa kemungkinan kerentanan.

XSS (Script Lintas Situs)

Script lintas situs dapat dengan mudah digambarkan sebagai injeksi kode (biasanya, kode Javascript). Tujuan dari serangan semacam ini adalah untuk mengkompromikan keamanan aplikasi web melalui klien (kebanyakan melalui browser). Penyerang bertujuan untuk menggunakan serangan semacam ini untuk mengeksploitasi validasi yang lemah dan kurangnya kebijakan keamanan konten (CSP) pada beberapa aplikasi web.

Ada berbagai jenis XSS; mari kita lihat lebih dekat apa mereka dan bagaimana mereka dapat digunakan.

XSS yang direfleksikan

Ini adalah tipe XSS yang sangat umum digunakan untuk bekerja keras dengan sisi klien dari suatu aplikasi. Kode yang disuntikkan di sini tidak bertahan ke basis data tetapi diharapkan untuk mendapatkan respons dari sisi klien aplikasi. Karenanya nama ‘tercermin.’ Serangan ini bekerja dengan sukses dalam kasus di mana aplikasi menerima input pengguna dan mengembalikan input tersebut setelah beberapa pemrosesan tanpa menyimpan ke database. Contoh umum adalah forum obrolan miniatur, di mana pesan tidak disimpan ke database. Dalam kasus seperti itu, aplikasi menerima input pengguna dan mengeluarkannya sebagai HTML. Penyerang bisa memasukkan skrip berbahaya ke dalam forum obrolan itu, seperti mengubah desain atau warna aplikasi dengan memasukkan beberapa CSS di tag skrip.

Ini bisa menjadi lebih buruk bagi pengguna aplikasi lain karena skrip pada dasarnya akan dieksekusi di browser mereka, yang dapat menyebabkan pencurian informasi, seperti mencuri informasi isi-otomatis Anda yang disimpan di browser. Banyak pengguna lebih suka menyimpan informasi yang biasanya diketik pada formulir seperti nama, alamat, dan informasi kartu kredit, yang dalam hal ini, adalah ide yang buruk.

DOM XSS

DOM – Document Object Model, adalah antarmuka pemrograman yang menginterpretasikan HTML (atau XML) yang digunakan pada halaman web dan karenanya mendefinisikan struktur logis dari halaman web tersebut. Jenis XSS ini mengeksploitasi aplikasi web dengan kode javascript inafe yang tidak aman di markup yang membentuk halaman web. XSS yang digunakan di sini dapat digunakan untuk langsung memodifikasi DOM. Ini dapat digunakan untuk mengubah hampir semua bagian halaman web yang berinteraksi dengan pengguna, yang dapat menyebabkan phishing.

Disimpan XSS

Ini adalah jenis XSS di mana kode berbahaya tidak hanya tercermin kembali ke pengguna tetapi juga bertahan (disimpan) ke database server web tempat aplikasi web di-host. Jenis XSS ini bahkan lebih berbahaya karena dapat digunakan kembali untuk menyerang banyak korban karena disimpan (untuk digunakan nanti). Ini bisa menjadi kasus di mana pengiriman formulir oleh pengguna tidak divalidasi dengan baik sebelum dikirim ke database.

Secara umum, XSS dapat berupa kombinasi apa pun; satu serangan bisa tercermin dan bertahan. Teknik yang digunakan dalam melakukan serangan juga dapat bervariasi tetapi mengandung kesamaan dengan yang disebutkan di atas.

Beberapa browser utama, seperti Chrome dan Edge sebagai fitur keamanan, mengembangkan protokol keamanan klien mereka sendiri untuk menghindari serangan XSS yang dikenal sebagai X-XSS-Protection. Chrome memiliki Auditor XSS, yang diperkenalkan pada 2010 untuk mendeteksi serangan XSS dan menghentikan pemuatan laman web saat terdeteksi. Namun, ini ditemukan kurang bermanfaat daripada yang semula diharapkan dan kemudian dihapus setelah para peneliti melihat ketidakkonsistenan dalam hasil dan kasus pengambilan positif palsu..

Serangan XSS adalah tantangan yang sulit untuk diatasi dari sisi klien. Browser Edge juga memiliki filter XSS, yang kemudian dihentikan. Untuk Firefox, situs web, seperti yang dimiliki situs web MDN (Mozilla Developer Network),

Firefox belum, dan tidak akan mengimplementasikan X-XSS-Protection

Pelacakan pihak ketiga

Bagian penting lainnya dari membangun privasi online Anda adalah memahami tentang cookie pelacakan pihak ketiga. Cookie pada umumnya dianggap baik di web karena digunakan oleh situs web untuk mengidentifikasi pengguna secara unik dan untuk menyesuaikan pengalaman penelusuran pengguna. Demikian halnya dengan situs web e-commerce di mana mereka menggunakan cookie untuk menjaga sesi belanja Anda dan juga menyimpan item yang telah Anda tambahkan ke troli. Cookie jenis ini dikenal sebagai cookie pihak pertama. Jadi saat Anda menjelajahi situs di geekflare.com, cookie yang digunakan oleh geekflare.com adalah cookie pihak pertama (yang bagus).

Ada juga beberapa kasus cookie pihak kedua, di mana situs web menawarkan (atau menjual) cookie pihak pertama ke situs lain untuk menayangkan iklan kepada pengguna. Dalam hal ini, cookie dapat dianggap sebagai pihak kedua. Cookie pihak ketiga adalah cookie yang digerakkan oleh iklan besar yang digunakan untuk pelacakan lintas-situs dan iklan yang ditargetkan ulang.

Ini adalah cookie yang diletakkan di browser pengguna tanpa sepengetahuan atau persetujuan pengguna untuk mendapatkan informasi tentang pengguna dan semua jenis profil data, seperti situs web yang dikunjungi pengguna, pencarian, ISP (Penyedia Layanan Internet) yang digunakan pengguna, spesifikasi laptop , kekuatan baterai, dll. Informasi ini digunakan untuk membentuk profil data internet di sekitar pengguna, sehingga dapat digunakan untuk iklan yang ditargetkan. Penyerang yang mencuri jenis informasi ini biasanya melakukan ini jenis penambangan data dan dapat menjual data ini ke jaringan iklan besar.

Firefox, pada bulan September 2019, mengumumkan bahwa itu akan memblokir cookie pelacakan pihak ketiga secara default di desktop dan browser seluler. Tim menyebutnya sebagai Perlindungan pelacakan yang disempurnakan, yang ditunjukkan pada bilah alamat browser dengan ikon perisai.

Browser Safari di perangkat Apple juga memblokir cookie pihak ketiga agar tidak melacak pengguna mereka di web.

Di Chrome, cookie pelacakan pihak ketiga tidak diblokir secara default. Untuk mengaktifkan fitur ini, klik pada tiga titik vertikal di sudut kanan atas jendela browser untuk mengungkapkan dropdown, lalu klik pengaturan, pada tab pengaturan, ke kiri, klik privasi dan keamanan, lalu klik pengaturan situs, lalu klik cookie dan data situs, lalu beralih opsi yang bertuliskan Blokir cookie pihak ketiga.

Cryptominers

Beberapa situs web di Internet mengandung skrip crypto-mining baik oleh pemilik situs web atau oleh pihak ketiga. Skrip ini memungkinkan penyerang memanfaatkan sumber daya komputasi korban untuk menambang cryptocurrency.

Meskipun, beberapa pemilik situs web melakukan ini sebagai sarana pendanaan biasanya ketika mereka memberikan layanan gratis dan berpendapat bahwa itu adalah harga yang kecil untuk membayar layanan yang mereka tawarkan. Set situs web ini biasanya meninggalkan pesan untuk pengguna agar mengetahui biaya penggunaan layanan mereka. Namun, banyak situs web lain melakukan ini tanpa memberi tahu pengguna. Yang bisa mengarah pada penggunaan sumber daya PC yang serius. Karenanya, penting untuk memblokir hal-hal ini.

Beberapa browser memiliki utilitas bawaan untuk memblokir skrip seperti Firefox, yang memiliki pengaturan untuk memblokir cryptominers di web dan seluler. Begitu juga opera. Untuk Chrome dan Safari, ekstensi diperlukan untuk memasang di browser Anda untuk mencapai hal yang sama.

Sidik Jari Peramban

Sebagaimana didefinisikan pada Wikipedia,

SEBUAH sidik jari perangkat atau sidik jari mesin adalah informasi yang dikumpulkan tentang perangkat lunak dan perangkat keras dari perangkat komputasi jarak jauh untuk tujuan identifikasi.

Sidik jari browser adalah informasi sidik jari yang dikumpulkan melalui browser pengguna. Browser pengguna sebenarnya dapat memberikan banyak informasi tentang perangkat yang digunakan. Berbagai eksploitasi digunakan di sini bahkan tag html5 telah diketahui digunakan untuk sidik jari. Informasi seperti spesifikasi perangkat seperti ukuran memori perangkat, masa pakai baterai perangkat, spesifikasi CPU, dll. Sepotong informasi sidik jari juga dapat mengungkapkan alamat IP asli dan geolokasi pengguna.

Beberapa pengguna cenderung percaya bahwa menggunakan mode penyamaran di peramban melindungi dari sidik jari, tetapi itu tidak. Mode pribadi atau penyamaran tidak benar-benar pribadi; itu hanya tidak menyimpan cookie atau menelusuri riwayat secara lokal di browser; namun, informasi ini tetap disimpan di situs web yang dikunjungi. Karenanya sidik jari masih dimungkinkan pada perangkat semacam itu.

Kebocoran RTC Web

Web RTC (Komunikasi Real-Time). Web RTC datang sebagai terobosan untuk komunikasi real-time melalui web. Menurut Situs web RTC Web.

Dengan WebRTC, Anda dapat menambahkan kemampuan komunikasi real-time ke aplikasi Anda yang bekerja di atas standar terbuka. Ini mendukung video, suara, dan data generik untuk dikirim di antara rekan-rekan, memungkinkan pengembang untuk membangun solusi komunikasi suara dan video yang kuat.

Menarik seperti itu, Pada 2015, pengguna GitHub (‘diafygi’) pertama kali menerbitkan kerentanan ke dalam Web RTC yang mengungkapkan beberapa informasi tentang pengguna, seperti alamat IP Lokal, alamat IP publik, kemampuan media perangkat (seperti mikrofon, kamera, dll.).

Dia dapat melakukan ini dengan membuat apa yang dikenal sebagai permintaan STUN ke browser untuk membocorkan informasi itu. Dia menerbitkan temuannya di sini -> https://github.com/diafygi/webrtc-ips.

Sejak itu, browser telah menerapkan fitur keamanan yang lebih baik untuk melindungi dari ini; Namun, eksploitasi juga menjadi lebih baik selama bertahun-tahun. Eksploitasi ini masih ada sampai sekarang. Dengan menjalankan audit keamanan sederhana, pengguna akan dapat melihat berapa banyak informasi yang dapat diperoleh dari kebocoran informasi RTC Web.

Di Chrome, beberapa ekstensi dapat dipasang untuk menawarkan perlindungan kebocoran RTC. Begitu juga di Firefox dengan addons. Safari memiliki opsi untuk menonaktifkan Web RTC; namun, ini dapat memengaruhi penggunaan beberapa aplikasi web obrolan real-time melalui browser.

Menjelajah melalui proxy

Proksi web gratis tampaknya membantu Anda mendapatkan privasi yang lebih baik dengan memantulkan lalu lintas web Anda di server ‘anonim’. Beberapa pakar keamanan mengkhawatirkan berapa banyak privasi yang disediakan. Proxy dapat melindungi pengguna dari Internet terbuka tetapi tidak dari server tempat lalu lintas internet dilalui. Karenanya, menggunakan proxy web ‘gratis’ berbahaya yang dibuat untuk memanen data pengguna bisa menjadi resep bencana. Sebagai gantinya, gunakan proxy premium.

Cara menguji keamanan browser?

Tes peramban memberi Anda wawasan tentang seberapa banyak informasi yang dapat diperoleh penyerang dari Anda melalui peramban dan apa yang perlu Anda lakukan untuk tetap terlindungi.

Qualys BrowserCheck

Browser Periksa oleh Qualys melakukan pemeriksaan cepat pada browser Anda untuk cookie pelacak dan kerentanan yang diketahui.

Cloudflare ESNI Checker

Cloudflare melakukan pemeriksaan cepat pada DNS dan TLS stack browser Anda untuk kerentanan.

Penganalisa Privasi

Penganalisa Privasi memindai browser Anda untuk semua jenis celah privasi, termasuk analisis sidik jari.

Panopticlick

Panopticlick menawarkan untuk menguji cookie pelacakan pihak ketiga, dan juga menawarkan ekstensi chrome untuk memblokir pelacakan lebih lanjut.

Webkay

Webkay memberikan pandangan cepat tentang informasi apa yang peramban Anda siap berikan.

Kompatibilitas SSL / TLS

Memeriksa jika browser Anda rentan terhadap kerentanan TLS.

Bagaimana SSL Saya?

Serba Pemeriksaan tingkat SSL di browser Anda. Ini menguji kompresi TLS, Suite sandi, dukungan tiket sesi, dan banyak lagi.

AmIUnique

Apakah kamu?

AmIUnique memeriksa apakah sidik jari peramban Anda telah ada dalam sidik jari yang sebelumnya dikumpulkan di dunia.

Cara mengeraskan browser?

Anda harus lebih proaktif dengan privasi dan keamanan mereka, karenanya perlu memastikan pengaturan keamanan apa yang tersedia di browser. Setiap browser memiliki pengaturan privasi dan keamanan, yang memberikan kontrol kepada pengguna atas informasi apa yang dapat mereka berikan kepada situs web. Berikut adalah sedikit panduan tentang pengaturan privasi apa yang harus diatur di browser Anda.

  • Kirim permintaan ‘Jangan lacak’ ke situs web
  • Blokir semua cookie pihak ketiga
  • Nonaktifkan ActiveX dan flash
  • Hapus semua plugin dan ekstensi yang tidak perlu
  • Pasang ekstensi atau addon privasi.

Gunakan browser yang berfokus pada privasi di ponsel atau desktop.

Anda juga dapat mempertimbangkan untuk menggunakan VPN premium, yang menawarkan tembus pandang melalui Internet dari pelacak, pemindai, dan semua jenis pencatat informasi. Menjadi benar-benar pribadi di Internet adalah dengan VPN. Namun, layanan VPN ‘gratis’ memiliki masalah yang sama yang dibahas di atas pada proxy gratis, Anda tidak pernah yakin tentang server web mana yang Anda lalui lalu lintas. Karenanya kebutuhan akan layanan VPN yang andal, yang akan memberikan keamanan yang jauh lebih baik.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map