Preverite varnost brskalnika glede ranljivosti

Natančno, kako varen je vaš brskalnik?


Koliko informacij je mogoče pridobiti iz vašega profila brskanja po spletu?

Zakaj se zdi, da vidite oglase, povezane s stvarmi, ki ste jih iskali, pred kratkim kupili ali prebrali?

Kolikšen je strošek popolne izpostavljenosti vašega profila?

Kako lahko bolje zaščitite spletno zasebnost?

Ta in še več vprašanj je tisto, za kar bo ta članek upal, da vam bo pomagal odgovoriti in zagotoviti načine, kako lahko bolje zaščitite spletno zasebnost.

Pomembno je upoštevati, da podjetja, ki izdelujejo brskalnike, ki jih najpogosteje uporabljamo, kot so Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, itd. Poskušajte čim bolj zaščititi uporabnike in njihove osebne podatke pri uporabi teh izdelkov. Zato ta članek ni namenjen spodkopavanju teh prizadevanj, ampak, da vam pomagajo, da se uporabnik izobražuje pri uporabi teh in drugih brskalnikov za različne dejavnosti.

Internet je naša vrata v svet, s pomočjo katerih lahko praktično dosežemo kjer koli za informacije, trgovino, poslovanje, komunikacijo in vse druge potrebe in potrebe. Zato je treba zavarovati sebe, kot to običajno počnemo v resničnem svetu, saj nimajo vsi na internetu poštenih namenov.

Čeprav imate na svojem računalniku protivirusne programe, ki blokirajo vse vrste računalniške zlonamerne programske opreme, je lahko tudi vaš brskalnik ranljiv. Poglejmo si nekatere možne ranljivosti.

XSS (medvrstno skripta)

Skriptnost na več mestih lahko preprosto opišemo kot vstavljanje kode (ponavadi Javascript koda). Cilj tovrstnega napada je ogrožati varnost spletne aplikacije prek odjemalca (večinoma prek brskalnikov). Napadalci želijo tovrstni napad uporabiti za izkoriščanje šibkih potrditev in pomanjkanja varnostne politike vsebine (CSP) v nekaterih spletnih aplikacijah.

Obstajajo različne vrste XSS; poglejmo podrobneje, kaj so in kako se lahko uporabljajo.

Odseven XSS

To je zelo pogost tip XSS, ki se uporablja za tolažbo s stranko aplikacije. Koda, ki se vbrizga tukaj, ni shranjena v bazi podatkov, vendar se pričakuje, da bo odziv odjemalca na strani stranke. Od tod tudi ime ‘odraženo’. Ta napad uspešno deluje v primeru, ko aplikacija vnese uporabniški vnos in ga po nekaj obdelavi vrne, ne da bi ga shranila v bazo podatkov. Pogost primer je miniaturni forum za klepete, kjer sporočila ne obstajajo v bazi. V takšnih primerih aplikacija prevzame uporabniške vnose in jih prikaže kot HTML. Napadalec lahko v ta forum za klepete vnese zlonamerni skript, na primer spreminjanje dizajna ali barve aplikacije z vnosom nekaterih CSS v oznake skripta.

Za druge uporabnike aplikacije se lahko poslabša, ker se bo skript v bistvu izvajal v njihovih brskalnikih, kar bi lahko privedlo do kraje informacij, kot bi lahko ukradli podatke o samodejnem polnjenju, shranjene v brskalniku. Veliko uporabnikov raje shranjuje običajno vtipkane podatke na obrazcih, kot so imena, naslovi in ​​podatki o kreditnih karticah, kar je v tem primeru slaba ideja.

DOM XSS

DOM – Document Object Model, je programski vmesnik, ki interpretira HTML (ali XML), uporabljen na spletnih straneh, in s tem definira logično strukturo določene spletne strani. Ta vrsta XSS izkorišča spletno aplikacijo z nevarno vdelano kodo javascripta v oznaki, ki sestavlja spletno stran. XSS, uporabljen tukaj, se lahko uporablja za neposredno spreminjanje DOM-a. To bi lahko uporabili za spreminjanje skoraj katerega koli dela spletne strani, s katerim uporabnik sodeluje, kar bi lahko vodilo do lažnega predstavljanja.

Shranjeno XSS

To je vrsta XSS, pri kateri se zlonamerna koda ne le odraža na uporabniku, ampak tudi ostane (shranjena) v bazi podatkov spletnega strežnika, na katerem gostuje spletna aplikacija. Ta vrsta XSS je še nevarnejša, saj jo je mogoče znova uporabiti za napad na več žrtev, ker je shranjena (za kasnejšo uporabo). To je lahko primer, kadar predložitve obrazcev s strani uporabnikov pred potrditvijo v bazo podatkov niso dobro potrjene.

Na splošno je lahko XSS kakršne koli vrste v kombinaciji; en napad bi se lahko odražal in vztrajal. Tehnike, uporabljene pri izvedbi napada, so prav tako lahko različne, vendar vsebujejo skupno z zgoraj omenjenimi.

Nekateri večji brskalniki, kot sta Chrome in Edge kot varnostna funkcija, so razvili lastne varnostne protokole za odjemalce, da bi se izognili napadom XSS, znanim kot X-XSS-Protection. Chrome je imel revizor XSS, ki je bil uveden leta 2010 za odkrivanje napadov XSS in zaustavitev takšnih spletnih strani pri nalaganju. Vendar pa je bilo ugotovljeno, da je manj koristno, kot se je sprva upalo, in je bilo kasneje odstranjeno, potem ko so raziskovalci opazili neskladnosti v njegovih rezultatih in primerih izbire lažnih pozitivnih rezultatov.

Napadi XSS so težaven izziv za reševanje s strani stranke. Brskalnik Edge je imel tudi filter XSS, ki je bil kasneje upokojen. Za Firefox je spletno mesto MDN (Mozilla Developer Network), kot ga ima,

Firefox ni in ne bo uporabil zaščite X-XSS

Sledenje tretjih oseb

Drug pomemben del vzpostavitve vaše zasebnosti v spletu je skrbnost pri piškotkih za sledenje tretjim osebam. Piškotki se na splošno štejejo za dobre v spletu, saj jih spletna mesta uporabljajo za enolično identifikacijo uporabnikov in za ustrezno prilagoditev izkušenj brskanja uporabnikov. Tako velja za spletna mesta za e-trgovino, kjer s piškotki hranijo svojo nakupovalno sejo in hranijo tudi predmete, ki ste jih dodali v košarico. Te vrste piškotkov so znane kot prvotni piškotki. Ko torej brskate po spletnih mestih na geekflare.com, so piškotki, ki jih uporablja geekflare.com, prvotni piškotki (dobri).

Manj je tudi primerov piškotkov drugih proizvajalcev, kjer spletna mesta ponujajo (ali prodajo) svoje prve piškotke na drugem spletnem mestu, da uporabniku prikazujejo oglase. V tem primeru bi lahko piškotke obravnavali kot druge ponudnike. Piškotki tretjih oseb so veliki piškotki, ki jih poganjajo oglasi, ki se uporabljajo za medsebojno sledenje in ponovno ciljno oglaševanje.

To so piškotki, nameščeni v brskalnike uporabnikov brez vednosti ali soglasja uporabnika, da dobijo informacije o uporabniku in vseh vrstah podatkovnih profilov, kot so spletna mesta, ki jih uporabnik obišče, išče, ponudnik internetnih storitev (Internet Service Provider), ki jih uporabnik uporablja, specifikacije prenosnika , moč baterije itd. Te informacije se uporabljajo za oblikovanje internetnih podatkovnih profilov okoli uporabnika, tako da jih je mogoče uporabiti za ciljno oglaševanje. Napadalci, ki ukradejo tovrstno informacijo, ponavadi to storijo s kopanjem podatkov in lahko te podatke prodajo velikim oglaševalskim omrežjem.

Firefox je septembra 2019 napovedal, da bo privzeto blokiral piškotke za sledenje tako na namizju kot mobilnem brskalniku. Ekipa je to označila kot Izboljšana zaščita za sledenje, ki je v naslovni vrstici brskalnika označena z ikono ščita.

Brskalnik Safari v Apple napravah tudi piškotkom drugih proizvajalcev preprečuje sledenje njihovim uporabnikom po spletu.

V Chromu piškotki za sledenje drugih proizvajalcev privzeto niso blokirani. Če želite omogočiti to funkcijo, kliknite tri navpične pike v zgornjem desnem kotu okna brskalnika, da se prikaže spustni meni, nato na levi strani kliknite Nastavitve, kliknite zasebnost in varnost, nato kliknite Nastavitve spletnega mesta, nato kliknite piškotke in podatke spletnega mesta ter nato preklopite možnost, ki glasi Blokiraj piškotke drugih.

Kriptominerji

Nekatera spletna mesta na internetu vsebujejo skripto za rudarjenje kriptovalut bodisi s strani lastnika spletnega mesta bodisi s strani tretje osebe. Ti skripti omogočajo napadalcu, da uporabi računalnikove vire žrtve, da pridobiva kripto valute.

Čeprav nekateri lastniki spletnih strani to počnejo kot sredstva za financiranje, običajno, ko opravljajo brezplačne storitve in trdijo, da je za storitve, ki jih ponujajo, majhna cena. Ti sklopi spletnih strani običajno puščajo sporočila, da se uporabnik zaveda stroškov uporabe njihove storitve. Vendar mnoga druga spletna mesta to storijo, ne da bi o tem obvestila uporabnika. Kar lahko privede do resne porabe virov PC-ja. Zato je pomembno, da se te stvari blokirajo.

Nekateri brskalniki imajo vgrajene pripomočke za blokiranje takšnih skript, kot je Firefox, ki ima nastavitev za blokiranje kriptominerjev tako v spletu kot na mobilnih napravah. Prav tako opera. Za Chrome in Safari je treba v brskalnik namestiti razširitve, da bi dosegli isto.

Fingerprint brskalnika

Kot je opredeljeno v Wikipedija,

prstni odtis naprave ali prstni odtis stroja so informacije, zbrane o programski in strojni opremi oddaljene računalniške naprave z namenom identifikacije.

Prstni odtis brskalnika so informacije o prstnih odtisih, zbrane prek uporabnikovega brskalnika. Uporabnikov brskalnik lahko dejansko zagotovi veliko informacij o uporabljeni napravi. Tukaj se uporabljajo različni podvigi, celo html5 “ oznake so znane za uporabo prstnega odtisa. Podatki, kot so podatki o napravi, kot so velikost pomnilnika naprave, življenjska doba baterije, specifikacije CPU itd. Del podatkov o prstnih odtisih lahko razkrije tudi uporabnikov dejanski naslov IP in geolokacijo.

Nekateri uporabniki ponavadi verjamejo, da uporaba načina beleženja zgodovine v brskalnikih ščiti pred prstnimi odtisi, vendar ne. Zasebni ali beležen način ni res zaseben; samo ne shrani piškotkov ali zgodovine brskanja lokalno v brskalnik; vendar bodo te informacije še vedno shranjene na obiskanem spletnem mestu. Zato je na takšni napravi še vedno mogoče prstno odtis.

Spletne puščanje RTC

Spletna RTC (komunikacija v realnem času). Spletna RTC je postala preboj za sprotno komunikacijo po spletu. Po navedbah Spletna stran RTC.

S programom WebRTC lahko svoji aplikaciji dodate zmožnosti komunikacije v realnem času, ki deluje nad odprtim standardom. Podpira video, glasovne in splošne podatke, ki se pošiljajo med vrstniki, kar omogoča razvijalcem, da ustvarijo močne rešitve za govorno in video komunikacijo..

Zanimivo je, da je leta 2015 uporabnik GitHub-a („diafygi“) prvič objavil ranljivost v spletnem RTC-ju, ki razkriva več informacij o uporabniku, kot so lokalni IP naslov, javni IP-naslov, medijske zmogljivosti naprave (npr. mikrofon, kamera itd.).

To mu je uspelo storiti tako, da je brskalniku poslal tako imenovane STUN zahteve, da bi te informacije razkril. Svoje ugotovitve je objavil tukaj -> https://github.com/diafygi/webrtc-ips.

Od takrat je brskalnik uvedel boljše varnostne funkcije za zaščito pred tem; vendar se je izkoriščanje z leti tudi izboljšalo. Ta podvig ostaja še danes. Uporabnik bi s preprostimi varnostnimi pregledi lahko videl, koliko informacij lahko dobimo zaradi uhajanja informacij v spletnem RTC-ju..

V Chromu je mogoče namestiti nekatere razširitve, ki ponujajo zaščito pred uhajanjem RTC. Podobno velja za Firefox z dodatki. Safari ima možnost onemogočanja spletnega RTC-ja; lahko pa to vpliva na uporabo nekaterih spletnih aplikacij za klepet v realnem času prek brskalnika.

Brskanje po proxyju

Zdi se, da brezplačni spletni posredniki pomagajo do boljše zasebnosti s premeščanjem spletnega prometa prek “anonimnih” strežnikov. Nekateri varnostni strokovnjaki so zaskrbljeni, koliko zasebnosti to zagotavlja. Proxy pooblaščenci lahko zaščitijo uporabnika pred odprtim internetom, ne pa tudi pred strežniki, prek katerih poteka internetni promet. Zato bi lahko uporaba zlonamernega “brezplačnega” spletnega proxyja, ki je bil izdelan za pridobivanje uporabniških podatkov, recept za katastrofo. Namesto tega uporabite premium proxy.

Kako preveriti varnost brskalnika?

Preizkusi brskalnika vam omogočajo vpogled v to, koliko informacij lahko napadalec pridobi od vas prek brskalnika in kaj morate storiti, da ostanete zaščiteni.

Qualys BrowserCheck

BrowserCheck by Qualys v vašem brskalniku hitro preveri piškotke sledilcev in znane ranljivosti.

Cloudflare ESNI Checker

Cloudflare hitro preveri ranljivost DNS in TLS v vašem brskalniku glede ranljivosti.

Analizator zasebnosti

Analizator zasebnosti pregleda vaš brskalnik za kakršne koli vrzeli zasebnosti, vključno z analizo prstnih odtisov.

Panopticlick

Panopticlick ponuja preizkušanje piškotkov za sledenje drugih proizvajalcev, poleg tega pa ponuja tudi kromirano razširitev, da prepreči nadaljnje sledenje.

Spletna

Spletna omogoča hiter vpogled v podatke, ki jih vaš brskalnik zlahka odda.

Združljivosti SSL / TLS

Preverite če je vaš brskalnik ranljiv za ranljivosti TLS.

Kako je moja SSL?

Vse okrog Pregledi ravni SSL v brskalniku. Testira kompresijo TLS, šifrantov, podporo vozovnic za seje in še več.

AmIUnique

Ali si?

AmIUnique preveri, ali je bil vaš brskalnik odtis prstnega odtisa na katerem koli prej na svetu.

Kako strjevati brskalnike?

Svojo zasebnost in varnost morate biti bolj proaktivni, zato morate biti prepričani, katere varnostne nastavitve so na voljo v brskalniku. Vsak brskalnik ima nastavitve zasebnosti in varnosti, kar uporabniku omogoča nadzor nad tem, katere informacije lahko dajo spletnim mestom. Tu je nekaj napotkov o tem, katere nastavitve zasebnosti nastavite v svojem brskalniku.

  • Na spletna mesta pošljite zahteve »Ne sledi«
  • Blokirajte vse piškotke drugih proizvajalcev
  • Onemogoči ActiveX in bliskavico
  • Odstranite vse nepotrebne vtičnike in razširitve
  • Namestite razširitve zasebnosti ali dodatke.

Uporabite brskalnik, usmerjen v zasebnost, na mobilni ali namizni računalnik.

Razmislite tudi o uporabi vrhunskega VPN, ki ponuja nevidnost prek interneta sledilcev, optičnih bralnikov in vseh vrst zapisovalcev informacij. Če želite biti resnično zasebni v internetu, je to VPN. “Brezplačne” storitve VPN pa imajo podobne težave, o katerih smo razpravljali zgoraj, o brezplačnih posrednikih, nikoli niste prepričani, prek katerega spletnega strežnika gre promet. Zato je potrebna zanesljiva storitev VPN, ki bo zagotovila veliko boljšo varnost.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map