Ellenőrizze a böngésző biztonságát a biztonsági rések szempontjából

Pontosan mennyire biztonságos a böngésző?


Mennyi információ nyerhető ki az online böngészési profilból?

Miért látszik hirdetéseket olyan dolgokkal kapcsolatban, amelyeket keresett, nemrégiben vásárolt, vagy arról olvasott?

Mennyibe kerül profilod teljes kitettsége?

Hogyan lehet jobban megvédeni az online adatvédelmet?

Ezekre és még több kérdésre ad okot ez a cikk abban, hogy segítséget nyújt Önnek a válaszadáshoz, és lehetőséget kínál arra, hogy miként lehet jobban megvédeni az online adatvédelmet.

Fontos megjegyezni, hogy a leggyakrabban használt böngészőket gyártó cégek, például a Google (Chrome), a Mozilla (Firefox), az Apple (Safari), Microsoft (Edge), Opera, stb., Minél többet próbálnak megvédeni a felhasználókról és személyes adataikat, amikor ezeket a termékeket használja. Ezért a cikk célja nem az, hogy aláássák ezeket az erőfeszítéseket, hanem az, hogy segítsen a felhasználónak oktatott döntéseket hozni, amikor ezeket és más böngészőket különféle tevékenységekhez használja..

Az internet a mi átjárónk a világhoz, hogy segítsen minket virtuálisan bárhol elérni információ, kereskedelem, üzleti, kommunikációs és minden egyéb igény és szükséglet tekintetében. Ezért szükségünk van saját magunk biztonságára, ahogyan azt általában a valós világban tennénk, mivel az interneten nem mindenkinek van őszinte szándéka..

Noha a számítógépen antivírusok találhatók, amelyek mindenféle számítógépes rosszindulatú programot blokkolnak, a böngésző szintén sérülékeny lehet. Vessünk mélyre néhány lehetséges sebezhetőséget.

XSS (helyszíni szkriptek)

A webhelyek közötti szkriptek egyszerűen kódinjekciónak (általában Javascript kódnak) írhatók le. Az ilyen típusú támadás célja, hogy veszélyeztesse a webalkalmazások biztonságát az ügyfélen keresztül (főleg böngészőkön keresztül). A támadók arra törekszenek, hogy ezt a támadást felhasználják a gyenge érvényesítések és a tartalombiztonsági politika (CSP) hiányának kihasználására egyes webes alkalmazásokban..

Különböző típusú XSS létezik; nézzük közelebbről, mi ezek és hogyan lehet használni.

Tükrözött XSS

Ez az XSS nagyon gyakori típusa, amelyet az alkalmazás kliens oldalának kezelésére használnak. Az itt beírt kód nem marad meg az adatbázisban, de várhatóan kiváltja a választ az alkalmazás kliens oldaláról. Ezért a „tükröződik” név. Ez a támadás sikeresen működik abban az esetben, ha az alkalmazás felhasználói bemeneteket vesz fel, és egy feldolgozás után visszatér a bemenethez anélkül, hogy az adatbázisba mentne. Általános példa egy miniatűr csevegőfórum, ahol az üzenetek nem maradnak meg az adatbázisban. Ilyen esetekben az alkalmazás felhasználói bemeneteket vesz fel és HTML formátumban adja ki őket. A támadó rosszindulatú szkriptet írhat be a csevegőfórumba, például megváltoztathatja az alkalmazás tervét vagy színét azáltal, hogy néhány CSS-t beír a szkriptcímkékbe.

Súlyosbodhat az alkalmazás más felhasználói számára, mert a szkript alapvetően böngészőjükön kerül végrehajtásra, ami információlopáshoz vezethet, például a böngészőben elmentett automatikus kitöltési információk ellopásához. Sok felhasználó inkább az általánosan gépelt információk mentését használja az űrlapokon, például neveken, címeken és hitelkártyaadatokon, ami ebben az esetben rossz ötlet.

DOM XSS

DOM – Document Object Model, a programozási felület, amely értelmezi a weboldalakon használt HTML (vagy XML) kódot, és ezáltal meghatározza az adott weboldal logikai szerkezetét. Az ilyen típusú XSS kihasználja a webalkalmazást nem biztonságos, beépített javascript kóddal a weblapot alkotó jelölésben. Az itt használt XSS felhasználható a DOM közvetlen módosítására. Ez felhasználható a weboldal szinte bármilyen részének megváltoztatására, amellyel a felhasználó kapcsolatba lép, ami adathalászathoz vezethet.

Tárolt XSS

Ez egy olyan XSS típus, ahol a rosszindulatú kód nemcsak visszajut a felhasználó felé, hanem a webszerver adatbázisában is megmarad (tárolódik), amelyen a webalkalmazás üzemel. Az ilyen típusú XSS még veszélyesebb, mert újra felhasználható több áldozat megtámadására, mert tárolja (későbbi felhasználás céljából). Ez akkor fordulhat elő, amikor a felhasználók által benyújtott űrlap-beadványokat az adatbázisba történő elküldés előtt nem ellenőrzik megfelelően.

Általában az XSS bármilyen típusú kombináció lehet; egyetlen támadás tükröződhet és fennmaradhat is. A támadás végrehajtásában alkalmazott technikák szintén eltérhetnek, de a fentiekkel hasonlók lehetnek.

Néhány nagyobb böngésző, mint például a Chrome és az Edge biztonsági funkcióként, saját kliens biztonsági protokollokat fejlesztett ki, hogy elkerülje az X-XSS-Protection néven ismert XSS támadásokat. A Chrome-nak volt az XSS-ellenőr, amelyet 2010-ben vezettek be az XSS-támadások észlelésére és az ilyen weboldalak betöltésének megakadályozására, amikor észlelik őket. Ezt azonban kevésbé hasznosnak találták, mint az eredetileg remélték, és később eltávolították, miután a kutatók észrevételek közötti következetlenségeket észleltek és hamis pozitív pozitív válogatás eseteit tapasztalták..

Az XSS támadások az ügyfelek oldalán nehéz kihívást jelentenek. Az Edge böngészőben volt az XSS szűrő, amelyet később visszavontak. A Firefox esetében az MDN (Mozilla Developer Network) webhely rendelkezik,

A Firefox még nem fogja megvalósítani és nem fogja megvalósítani az X-XSS-védelmet

Harmadik fél követése

Az online adatvédelem létrehozásának másik fontos része az, hogy hozzáérts a harmadik féltől származó nyomkövető sütikhez. A sütiket általában jónak tekintik az interneten, mivel a weboldalak használják a felhasználók egyedi azonosítására és a felhasználói böngészési tapasztalatok ennek megfelelő testreszabására. Ez az eset áll fenn az e-kereskedelmi webhelyeknél, ahol sütiket használnak a vásárlási munkamenet tartására, valamint a kosárba helyezett termékek tárolására. Az ilyen cookie-kat első fél sütiknek nevezzük. Tehát amikor a geekflare.com webhelyeket böngészi, a geekflare.com által használt sütik első fél által használt sütik (a jók).

Ráadásul ritkán fordul elő másodlagos sütik, amikor a webhelyek az első fél sütiket kínálnak (vagy eladnak) egy másik webhelyre, hogy hirdetéseket szolgáltassanak a felhasználó számára. Ebben az esetben a sütik második félnek tekinthetők. Harmadik féltől származó sütik azok a nagyméretű hirdetések által vezérelt sütik, amelyeket a webhelyek közötti nyomon követéshez és az újracélzott hirdetésekhez használnak.

Ezek olyan cookie-k, amelyeket a felhasználói böngészőkbe tesznek a felhasználó tudása vagy beleegyezése nélkül, hogy információkat szerezzenek a felhasználóról és mindenféle adatprofilról, mint például a weboldalak, amelyeket a felhasználó meglátogat, keresések, a felhasználó által használt internetszolgáltató (Internet Szolgáltató), a laptop specifikációi , az akkumulátor töltöttségi szintje stb. Ezen információk felhasználásával egy internetes adatprofilt alakítanak ki a felhasználó körül, így célzott hirdetésekre felhasználhatók. Azok a támadók, akik ellopják az ilyen típusú információkat, általában egyfajta adatbányászatot végeznek, és ezeket az adatokat eljuttathatják a nagy reklámhálózatokhoz.

A Firefox 2019 szeptemberében bejelentette, hogy alapértelmezés szerint blokkolja a harmadik féltől származó nyomkövető sütiket az asztali és a mobil böngészőben is. A csapat erre a továbbfejlesztett nyomon követési védelemre hivatkozott, amelyet a böngésző címsorában egy pajzs ikon jelöl.

Az Apple eszközök Safari böngészője blokkolja a harmadik féltől származó cookie-kat is, hogy nyomon kövessék felhasználóikat az interneten.

A Chrome-on a harmadik fél nyomkövető sütiket alapértelmezés szerint nem blokkolják. Ennek a funkciónak a bekapcsolásához kattintson a böngészőablak jobb felső sarkában található három függőleges pontra a legördülő menü megjelenítéséhez, majd kattintson a bal oldalon a Beállítások fülön a Beállítások fülre, majd a Adatvédelem és biztonság elemre, majd a webhelybeállítások elemre, majd kattintson a sütikre és a webhely adataira, majd váltson a harmadik fél cookie-k blokkolása opcióra.

Cryptominers

Egyes internetes webhelyek kripto-bányász szkriptet tartalmaznak akár a weboldal tulajdonosa, akár egy harmadik fél által. Ezek a szkriptek lehetővé teszik a támadó számára, hogy az áldozat számítási erőforrásait felhasználja a rejtjelezéshez.

Bár néhány weboldaltulajdonos ezt finanszírozási eszközként használja, általában ingyenes szolgáltatások nyújtásakor, és azt állítják, hogy ez alacsony ár, amelyet fizetnek az általuk kínált szolgáltatásokért. Ezek a webhelyek általában üzeneteket hagynak a felhasználó számára, hogy tisztában legyenek a szolgáltatásuk igénybevételének költségeivel. Számos más webhely is ezt teszi a felhasználó tájékoztatása nélkül. Ez komoly számítógépes erőforrások felhasználásához vezethet. Ezért fontos, hogy ezeket a dolgokat blokkoljuk.

Néhány böngésző beépített segédprogramokkal rendelkezik az ilyen szkriptek blokkolására, például a Firefox, amely beállíthatja a kriptogenezsek blokkolását mind az interneten, mind a mobilon. Hasonlóképpen opera. A Chrome és a Safari esetében kiterjesztéseket kell telepíteni a böngészőbe, hogy ugyanezt elérjék.

Böngésző ujjlenyomata

Ahogyan a Wikipedia,

eszköz ujjlenyomata vagy gépi ujjlenyomat a távoli számítógépes eszköz szoftveréről és hardveréről az azonosítás céljából összegyűjtött információ.

A böngésző ujjlenyomata a felhasználó böngészőjén keresztül gyűjtött ujjlenyomatadatok. A felhasználói böngésző sok információt szolgáltathat az eszköz használatáról. Különböző kihasználásokat használunk itt, sőt, a html5 “ címkéket is használják ujjlenyomatokhoz. Olyan információk, mint az eszköz specifikációi, például az eszköz memória mérete, az akkumulátor élettartama, a processzor specifikációja stb. Egy darab ujjlenyomat-információ feltárhatja a felhasználó valódi IP-címét és földrajzi helyzetét is.

Egyes felhasználók hajlamosak azt hinni, hogy az inkognitómód használata a böngészőkben védi az ujjlenyomatokat, de nem az. A privát vagy inkognitómód nem igazán privát; csak nem menti a sütiket vagy a helyi böngészési előzményeket a böngészőben; ezeket az információkat azonban továbbra is a meglátogatott webhelyen menti el. Ennélfogva az ujjlenyomatok továbbra is lehetséges ilyen eszközökön.

Web RTC szivárgások

Web RTC (valós idejű kommunikáció). A Web RTC áttörésként jelent meg a valós idejű internetes kommunikációban. Szerint a Web RTC webhely.

A WebRTC segítségével valós idejű kommunikációs képességeket adhat hozzá az alkalmazáshoz, amely egy nyílt szabványon felül működik. Támogatja a társaik között küldött video-, hang- és általános adatokat, lehetővé téve a fejlesztőknek, hogy hatékony hang- és video-kommunikációs megoldásokat építsenek ki.

Érdekes, hogy van, 2015-ben egy GitHub felhasználó (‘diafygi’) először közzétett egy sebezhetőséget a Web RTC-ben, amely számos információt derít fel a felhasználón, például a Helyi IP-cím, a nyilvános IP-cím, az eszköz média képességei (például egy mikrofon, kamera stb.).

Ezt meg tudta csinálni azáltal, hogy STUN kéri a böngészőt, hogy tegye közzé ezt az információt. Itt közzétette eredményeit -> https://github.com/diafygi/webrtc-ips.

Azóta a böngésző jobb biztonsági funkciókat valósított meg az ellen; azonban a kizsákmányolás az évek során is javult. Ez a kiaknázás ma is megmarad. Az egyszerű biztonsági ellenőrzések elvégzésével a felhasználó láthatja, mennyi információ nyerhető el a web RTC információszivárgásából.

A Chrome-on egyes kiterjesztések telepíthetők az RTC szivárgás elleni védelem érdekében. Hasonlóan a Firefox-on, kiegészítésekkel. A Safari opcióval letilthatja a Web RTC-t; ez azonban befolyásolhatja néhány valós idejű csevegő webalkalmazás használatát a böngészőn keresztül.

Böngészés proxy segítségével

Az ingyenes internetes proxyk úgy tűnik, hogy elősegítik a jobb adatvédelmet azáltal, hogy webes forgalmát „anonim” szerverek fölé viszi. Néhány biztonsági szakértő aggodalmát fejezi ki amiatt, hogy ez az adatvédelem nagyságát biztosítja. A proxyk megóvhatják a felhasználót a nyílt internettől, de nem a kiszolgálóktól, ahol az internetes forgalom megy keresztül. Ezért a rosszindulatú „ingyenes” webes proxy használata a felhasználói adatok összegyűjtésére szolgálhat a katasztrófa receptjeként. Ehelyett prémium proxyt használjon.

A böngésző biztonságának tesztelése?

A böngészőtesztek betekintést nyújtanak azzal, hogy a támadó mennyi információt szerezhet tőled a böngészőn keresztül, és mit kell tennie a védelem megőrzése érdekében..

Qualys BrowserCheck

A BrowserCheck by Qualys gyorsan ellenőrzi a böngészőben a tracker-sütiket és az ismert sebezhetőségeket.

Cloudflare ESNI Checker

CloudFlare gyorsan ellenőrzi a böngésző DNS- és TLS-veremét a sérülékenység szempontjából.

Adatvédelmi elemző

Adatvédelmi elemző megvizsgálja a böngészőt bármilyen típusú adatvédelmi kiskapu tekintetében, beleértve az ujjlenyomatok elemzését.

Panopticlick

Panopticlick harmadik féltől származó nyomkövető sütik tesztelésére, valamint egy króm kiterjesztést kínál a további nyomon követés blokkolására.

Webkay

Webkay gyors áttekintést nyújt arról, hogy az Ön böngészője milyen információkat ad ki.

SSL / TLS kompatibilitások

Jelölje be ha a böngésző érzékeny a TLS sebezhetőségére.

Hogy van az én SSL??

Mindenhol SSL szint ellenőrzés a böngészőben. Teszteli a TLS tömörítést, Cipher lakosztályokat, munkamenet-jegyek támogatását és egyebeket.

AmIUnique

Te?

AmIUnique ellenőrzi, hogy a böngésző ujjlenyomata megtalálható-e a világon korábban összegyűjtött ujjlenyomatokban.

A böngészők megszilárdítása?

Proaktívabbnak kell lennie a magánélet és a biztonság kérdésében, ezért meg kell bizonyosodnia arról, hogy milyen biztonsági beállítások érhetők el a böngészőben. Minden böngésző rendelkezik adatvédelmi és biztonsági beállításokkal, amelyek lehetővé teszik a felhasználó számára, hogy ellenőrizze, milyen információkat adhat a webhelyeknek. Itt található néhány útmutatás a böngészőben beállítandó adatvédelmi beállításokról.

  • Küldje el a „Ne kövesse nyomon” kéréseket a webhelyeknek
  • Blokkolja az összes külső cookie-t
  • Kapcsolja ki az ActiveX-t és a flash-t
  • Távolítsa el az összes felesleges beépülő modult és kiterjesztést
  • Telepítse az adatvédelmi kiterjesztéseket vagy kiegészítőket.

Használjon adatvédelmi központú böngészőt mobilon vagy asztalon.

Megfontolhatja egy prémium VPN használatát is, amely láthatatlanságot kínál az interneten keresztül a nyomkövetőkből, szkennerekből és mindenféle információgyűjtőből. A VPN-sel valódi magánélet az interneten van. Az „ingyenes” VPN-szolgáltatásoknak azonban hasonló problémái vannak a fentebb ismertetett problémákkal az ingyenes proxykkel kapcsolatban, soha nem lehet biztos abban, hogy melyik webszerveren megy keresztül a forgalom. Ezért szükség van egy megbízható VPN-szolgáltatásra, amely sokkal jobb biztonságot nyújt.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map