Išbandykite savo naršyklės saugumą, ar nėra pažeidžiamumų

Kaip tiksliai jūsų naršyklė yra saugi?


Kiek informacijos galima išgauti iš naršymo internete profilio?

Kodėl atrodo, kad matote skelbimus, susijusius su dalykais, kurių ieškojote, neseniai nusipirkote ar skaitote?

Kiek kainuoja visiškai atidaryti jūsų profilį?

Kaip galite geriau apsaugoti savo privatumą internete?

Šie ir kiti klausimai yra tai, ką šis straipsnis tikisi padėti jums atsakyti ir pasiūlyti būdų, kaip geriau apsaugoti internetinį privatumą.

Svarbu atkreipti dėmesį į tai, kad įmonės, kurios dažniausiai naudojasi naršyklėmis, tokios kaip „Google“ („Chrome“), „Mozilla“ („Firefox“), „Apple“ („Safari“), „Microsoft“ („Edge“), „Opera“ ir kt., Kiek įmanoma stenkitės apsaugoti vartotojus. ir jų asmeninę informaciją, kai naudojami šie produktai. Todėl šis straipsnis nėra skirtas pakenkti toms pastangoms, o padėti jums, vartotojui, atsižvelgiant į šias ir kitas naršykles įvairioms veikloms, pasirinkti išsilavinusius sprendimus..

Internetas yra mūsų vartai į pasaulį, kad galėtume praktiškai bet kur pasiekti informacijos, prekybos, verslo, ryšių ir kitus poreikius. Taigi, poreikis apsisaugoti, kaip mes paprastai darytume realiame pasaulyje, nes ne visi internete turi sąžiningų ketinimų.

Nors jūsų kompiuteryje gali būti antivirusinių, kurie blokuoja visų rūšių kompiuterio kenkėjiškas programas, jūsų naršyklė taip pat gali būti pažeidžiama. Leiskite įsigilinti į kai kuriuos galimus pažeidžiamumus.

XSS („Svetainių scenarijus“)

Skirtingų svetainių scenarijus galima tiesiog apibūdinti kaip kodo injekciją (paprastai „Javascript“ kodą). Tokio tipo išpuolių tikslas yra pakenkti žiniatinklio programos saugumui per klientą (dažniausiai per naršykles). Užpuolikai siekia panaudoti tokio tipo išpuolius, kad išnaudotų silpnus patvirtinimus ir turinio saugumo politikos (CSP) trūkumą kai kuriose interneto programose..

Yra įvairių rūšių XSS; pažvelkime atidžiau, kokie jie yra ir kaip jais galima naudotis.

Atspindėtas XSS

Tai yra labai paplitęs XSS tipas, naudojamas norint pakenkti programos klientui. Čia įvestas kodas neišlieka duomenų bazėje, tačiau tikimasi, kad jis sulauks atsakymo iš programos kliento pusės. Taigi vardas „atsispindi“. Ši ataka sėkmingai veikia tuo atveju, kai programa įveda vartotojo įvestį ir po tam tikro apdorojimo grąžina tą įvestį neišsaugodama duomenų bazėje. Dažnas pavyzdys yra miniatiūrinis pokalbių forumas, kuriame pranešimai neišlieka duomenų bazėje. Tokiais atvejais programa priima vartotojo įvestis ir jas išveda kaip HTML. Užpuolikas gali įvesti kenksmingą scenarijų į tą pokalbių forumą, pavyzdžiui, pakeisti programos dizainą ar spalvas įvesdamas CSS scenarijaus žymas..

Kitiems programos vartotojams tai gali pablogėti, nes scenarijus iš esmės bus vykdomas jų naršyklėse, o tai gali sukelti informacijos vagystę, pavyzdžiui, pavogti jūsų naršyklėje išsaugotą automatinio užpildymo informaciją. Daugelis vartotojų renkasi dažniausiai spausdinamos informacijos išsaugojimą tokiose formose kaip vardai, adresai ir kreditinės kortelės informacija, o tai šiuo atveju yra bloga idėja..

DOM XSS

DOM – dokumento objekto modelis, yra programavimo sąsaja, kuri interpretuoja HTML (arba XML), naudojamus tinklalapiuose, ir tokiu būdu apibūdina to konkretaus tinklalapio loginę struktūrą. Šio tipo XSS naudoja internetinę programą su nesaugiais „Java“ scenarijaus kodais žymėjime, kuris sudaro tinklalapį. Čia naudojamas XSS gali būti naudojamas tiesiogiai modifikuoti DOM. Tai gali būti naudojama beveik bet kuriai tinklalapio daliai, su kuria vartotojas sąveikauja, pakeisti, o tai gali sukelti sukčiavimą.

Saugomas XSS

Tai yra XSS tipas, kai kenksmingas kodas ne tik atsispindi vartotojui, bet ir išlieka (saugomas) žiniatinklio serverio, kuriame talpinama žiniatinklio programa, duomenų bazėje. Šis XSS tipas yra dar pavojingesnis, nes jis gali būti pakartotinai naudojamas pulti kelias aukas, nes yra saugomas (vėlesniam naudojimui). Tai gali būti atvejis, kai naudotojų pateiktos formos nėra tinkamai patikrintos prieš išsiunčiant jas į duomenų bazę.

Paprastai XSS gali būti bet kokio tipo derinys; viena ataka gali būti atspindėta ir tęsiama. Atakos vykdymo metodai taip pat gali skirtis, tačiau jie turi bendrų bruožų su aukščiau paminėtais.

Kai kurios pagrindinės naršyklės, tokios kaip „Chrome“ ir „Edge“ kaip saugos funkcija, sukūrė savo klientų saugos protokolus, kad išvengtų XSS atakų, žinomų kaip „X-XSS-Protection“. „Chrome“ turėjo XSS auditorių, kuris buvo pristatytas 2010 m. Aptikti XSS atakų ir sustabdyti tokių tinklalapių įkėlimą, kai jie bus aptikti. Tačiau paaiškėjo, kad tai buvo mažiau naudinga nei iš pradžių tikėtasi, o vėliau buvo pašalinta po to, kai tyrėjai pastebėjo rezultatų neatitikimus ir klaidingų teigiamų pavyzdžių rinkimo atvejus.

XSS išpuoliai yra sudėtingas iššūkis, kurį reikia spręsti iš klientų pusės. „Edge“ naršyklėje taip pat buvo XSS filtras, kuris vėliau pasitraukė. „Firefox“ naudoja MDN („Mozilla Developer Network“) svetainė,

„Firefox“ neturi ir neįdiegs „X-XSS-Protection“

Trečiųjų šalių stebėjimas

Kita svarbi jūsų internetinio privatumo nustatymo dalis yra atsargūs trečiųjų šalių stebėjimo slapukai. Slapukai paprastai laikomi gerais žiniatinklyje, nes juos naudoja internetinės svetainės, norėdamos unikaliai identifikuoti vartotojus ir atitinkamai pritaikyti vartotojo naršymo patirtį. Taip yra elektroninės komercijos svetainėse, kuriose jie naudoja slapukus, kad išlaikytų jūsų apsipirkimo sesiją, taip pat saugotų jūsų krepšelio elementus. Šie slapukai yra žinomi kaip pirmosios šalies slapukai. Taigi, kai naršote svetainėse geekflare.com, slapukai, kuriuos naudoja geekflare.com, yra pirmosios šalies slapukai (gerieji).

Taip pat nedaug yra antrosios šalies slapukų, kai svetainės siūlo (arba parduoda) savo pirmosios šalies slapukus kitai svetainei, kad vartotojui būtų pateikiami skelbimai. Tokiu atveju slapukai gali būti laikomi antriniais. Trečiųjų šalių slapukai yra dideli, skelbimų pagrįsti slapukai, kurie naudojami stebint keliose svetainėse ir reklamuojant iš naujo.

Tai slapukai, įdedami į vartotojų naršykles be vartotojo žinios ar sutikimo, kad būtų galima gauti informaciją apie vartotoją ir visų rūšių duomenų profilį, pvz., Svetaines, kurias vartotojas aplanko, paieškas, IPT (interneto paslaugų teikėją), kurią vartotojas naudoja, nešiojamojo kompiuterio specifikacijas. , akumuliatoriaus stiprumas ir kt. Ši informacija yra naudojama interneto duomenų profiliui suformuoti aplink vartotoją, kad jį būtų galima naudoti tikslinėms reklamoms. Užpuolikai, kurie vagia tokio tipo informaciją, paprastai tai daro duomenų gavyba ir gali parduoti šiuos duomenis dideliems reklamos tinklams.

„Firefox“ 2019 m. Rugsėjo mėn. Paskelbė, kad pagal numatytuosius nustatymus ji užblokuos trečiųjų šalių stebėjimo slapukus tiek darbalaukio, tiek mobiliojo telefono naršyklėje. Komanda tai pavadino patobulinta stebėjimo apsauga, kuri nurodoma naršyklės adreso juostoje su skydo piktograma.

„Apple“ prietaisų naršyklė „Safari“ taip pat neleidžia trečiųjų šalių slapukams sekti jų vartotojų žiniatinklyje.

„Chrome“ trečiųjų šalių stebėjimo slapukai nėra užblokuoti pagal numatytuosius nustatymus. Norėdami įjungti šią funkciją, spustelėkite tris vertikalius taškus viršutiniame dešiniajame naršyklės lango kampe, kad būtų parodytas išskleidžiamasis meniu, tada nustatymų skirtuko lape kairėje spustelėkite parametrus, spustelėkite privatumas ir saugumas, tada spustelėkite svetainės parametrus, tada spustelėkite slapukus ir svetainės duomenis, tada perjunkite parinktį Blokuoti trečiųjų šalių slapukus.

Kriptomineriai

Kai kuriose interneto svetainėse yra šifravimo scenarijus, kurį pateikia svetainės savininkas arba trečioji šalis. Šie scenarijai leidžia užpuolikui panaudoti aukos kompiuterinius išteklius šifravimo valiutoms išgauti.

Nors kai kurie svetainių savininkai tai daro kaip finansavimo būdą, dažniausiai teikdami nemokamas paslaugas ir tvirtindami, kad tai yra maža kaina už jų siūlomas paslaugas. Šie svetainių rinkiniai paprastai palieka žinutes vartotojui, kad jis žinotų apie naudojimąsi savo paslauga. Tačiau daugelis kitų svetainių tai daro neinformavusios vartotojo. Tai gali sukelti rimtą kompiuterio išteklių naudojimą. Taigi svarbu blokuoti šiuos dalykus.

Kai kurios naršyklės turi įmontuotas komunalines paslaugas, skirtas blokuoti tokius scenarijus, pvz., „Firefox“, kuri turi nuostatą blokuoti kriptovaliutų tiek žiniatinklyje, tiek mobiliajame įrenginyje funkciją. Lygiai taip pat opera. Kad pasiektumėte tą patį, „Chrome“ ir „Safari“ reikia įdiegti naršyklėje plėtinius.

Naršyklės pirštų atspaudai

Kaip apibrėžta Vikipedija,

prietaiso pirštų atspaudas arba mašinų pirštų atspaudai yra informacija, surinkta apie nuotolinio skaičiavimo įrenginio programinę ir aparatinę įrangą identifikavimo tikslais.

Naršyklės pirštų atspaudai yra pirštų atspaudų informacija, surinkta per vartotojo naršyklę. Vartotojo naršyklė iš tikrųjų gali pateikti daug informacijos apie naudojamą įrenginį. Čia naudojami įvairūs išnaudojimai. Buvo žinoma, kad netgi html5 “ etiketės yra naudojamos pirštų atspaudams. Informacija, tokia kaip įrenginio specifikacijos, pvz., Įrenginio atminties dydis, įrenginio akumuliatoriaus veikimo laikas, procesoriaus specifikacijos ir kt. Piršto atspaudo informacija taip pat galėtų atskleisti tikrąjį vartotojo IP adresą ir geografinę vietą..

Kai kurie vartotojai linkę manyti, kad inkognito režimo naudojimas naršyklėse apsaugo nuo pirštų atspaudų, tačiau taip nėra. Privatus arba inkognito režimas nėra iš tikrųjų privatus; tai tik neišsaugo slapukų ar naršymo istorijos vietoje naršyklėje; tačiau ši informacija vis tiek bus išsaugota apsilankytoje svetainėje. Taigi tokiame įrenginyje vis dar įmanoma paimti pirštų atspaudus.

Žiniatinklio RTC nutekėjimai

Žiniatinklio RTC (realaus laiko komunikacija). Žiniatinklio RTC buvo pertrauka per realiojo laiko ryšį internete. Pagal Internetinė RTC svetainė.

Naudodami „WebRTC“ galite pridėti realiojo laiko komunikacijos galimybes savo programai, veikiančiai virš atvirojo standarto. Tai palaiko vaizdo, balso ir bendruosius duomenis, kuriuos reikia siųsti tarp kolegų, leidžiančius kūrėjams sukurti galingus balso ir vaizdo ryšio sprendimus.

Įdomu tai, kad 2015 m. „GitHub“ vartotojas („diafygi“) pirmą kartą paskelbė „Web RTC“ pažeidžiamumą, kuris atskleidžia keletą informacijos apie vartotoją, pvz., Vietinį IP adresą, viešą IP adresą, įrenginio žiniasklaidos galimybes (pvz. mikrofonas, fotoaparatas ir kt.).

Jis sugebėjo tai padaryti pateikdamas tai, kas vadinama „STUN“, užklausas naršyklei atskleisti tą informaciją. Čia jis paskelbė savo išvadas -> https://github.com/diafygi/webrtc-ips.

Nuo to laiko naršyklė įdiegė geresnes apsaugos funkcijas, apsaugančias nuo to; tačiau bėgant metams taip pat buvo patobulinta eksploatacija. Šis išnaudojimas išlieka iki šiol. Vykdydamas paprastus saugos auditus, vartotojas galės pamatyti, kiek informacijos galima gauti iš žiniatinklio RTC informacijos nutekėjimo.

„Chrome“ kai kuriuos plėtinius galima įdiegti, kad būtų užtikrinta apsauga nuo RTC nuotėkio. Taip pat „Firefox“ su priedais. „Safari“ turi galimybę išjungti žiniatinklio RTC; tačiau tai gali paveikti kai kurių interneto pokalbių programų realiuoju laiku naudojimą naršyklėje.

Naršymas per tarpinį serverį

Atrodo, kad nemokami interneto tarpiniai serveriai padeda pasiekti geresnį privatumą, nukreipdami žiniatinklio srautą per „anoniminius“ serverius. Kai kurie saugumo ekspertai nerimauja, kiek tai suteikia privatumo. Įgaliotieji serveriai gali apsaugoti vartotoją nuo atviro interneto, bet ne nuo serverių, kuriuose vyksta interneto srautas. Taigi, naudojant kenksmingą „nemokamą“ žiniatinklio tarpinį serverį, sukurtą norint surinkti vartotojo duomenis, gali būti nelaimės receptas. Vietoj to naudokite aukščiausios kokybės tarpinį serverį.

Kaip patikrinti naršyklės saugumą?

Naršyklės testai suteikia jums informacijos apie tai, kiek informacijos iš jūsų gali gauti užpuolikas naudodamiesi naršykle ir ką turite padaryti, kad būtumėte apsaugoti.

„Qualys“ naršyklės tikrinimas

„Qualys“ naršyklės tikrinimas greitai patikrina, ar jūsų naršyklėje nėra stebėjimo slapukų ir žinomų pažeidžiamumų.

„Cloudflare ESNI“ tikrintuvas

Debesuota greitai patikrina, ar jūsų naršyklės DNS ir TLS rinkinyje nėra pažeidžiamumų.

Privatumo analizatorius

Privatumo analizatorius nuskaito jūsų naršyklę bet kokio tipo privatumo spragoms, įskaitant pirštų atspaudų analizę.

„Panopticlick“

„Panopticlick“ siūlo išbandyti trečiųjų šalių stebėjimo slapukus, taip pat siūlo chromo plėtinį, kad būtų užblokuotas tolesnis stebėjimas.

Webkay

Webkay suteikia greitą vaizdą, kurią lengvai pateikia jūsų naršyklė.

SSL / TLS suderinamumas

Patikrinti jei jūsų naršyklėje yra pažeidžiamų TLS pažeidžiamumų.

Kaip mano SSL?

Aplink SSL lygio patikrinimai naršyklėje. Tai išbando TLS suspaudimą, „Cipher“ rinkinius, sesijos bilietų palaikymą ir dar daugiau.

„AmIUnique“

Ar tu?

„AmIUnique“ patikrina, ar jūsų naršyklės pirštų atspaudai nebuvo anksčiau surinktų pirštų atspaudų pasaulyje.

Kaip sukietinti naršykles?

Turite būti iniciatyvesni dėl jų privatumo ir saugumo, taigi turite būti tikri, kokie saugos parametrai galimi naršyklėje. Kiekviena naršyklė turi privatumo ir saugos parametrus, kurie suteikia vartotojui galimybę valdyti, kokią informaciją jie gali pateikti tinklalapiams. Čia yra keletas patarimų, kokius privatumo nustatymus nustatyti naršyklėje.

  • Siųskite užklausas „Nesekite“ į svetaines
  • Blokuokite visus trečiųjų šalių slapukus
  • Išjunkite „ActiveX“ ir „Flash“
  • Pašalinkite visus nereikalingus papildinius ir plėtinius
  • Įdiekite privatumo plėtinius ar priedus.

Naudokite mobiliesiems ar staliniams kompiuteriams skirtą naršyklę.

Taip pat galite apsvarstyti galimybę naudoti „premium VPN“, kuris internete suteikia nematomumą iš stebėjimo priemonių, skaitytuvų ir visų rūšių informacijos kaupiklių. Būti tikrai privačiam internete naudojant VPN. Tačiau „nemokamos“ VPN paslaugos turi panašių aukščiau aptartų problemų, susijusių su nemokamais tarpiniais serveriais. Niekada nežinote, kurį interneto serverį naudojate. Taigi reikia patikimos VPN paslaugos, kuri užtikrins daug geresnį saugumą.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map