Testează-ți securitatea browserului pentru vulnerabilități

Exact cât de sigur este browserul dvs.?


Câte informații pot fi extrase din profilul dvs. de navigare online?

De ce par să vezi anunțuri legate de lucrurile pe care le-ai căutat, cumpărat recent sau citit?

Care este costul ca profilul dvs. să fie complet expus?

Cum vă puteți proteja mai bine confidențialitatea online?

Aceste întrebări și mai multe sunt ceea ce acest articol sper să vă ajute să răspundeți și să vă oferiți modalități prin care vă puteți proteja mai bine confidențialitatea online.

Este important să rețineți că companiile care fac browsere pe care le folosim cel mai des, precum Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etc. Încercați pe cât posibil să protejați utilizatorii și informațiile lor personale atunci când utilizați aceste produse. Prin urmare, acest articol nu are ca scop să submineze aceste eforturi, ci să vă ajute, utilizatorul să facă alegeri educate atunci când folosește aceste și alte browsere pentru diverse activități.

Internetul este poarta noastră către lume, care ne ajută să ajungem oriunde practic pentru informații, comerț, afaceri, comunicare și toate celelalte nevoi și necesități. Prin urmare, nevoia de a ne asigura astfel cum am face în mod obișnuit în lumea reală, așa cum nu toți cei de pe Internet au intenții oneste.

Deși este posibil să aveți anti-viruși pe computer, care blochează tot felul de programe malware, este posibil ca browserul dvs. să fie vulnerabil. Să facem o scufundare profundă în unele vulnerabilități posibile.

XSS (cross-site Scripting)

Scripturile încrucișate pot fi pur și simplu descrise ca o injecție de cod (de obicei, cod Javascript). Scopul acestui tip de atac este de a compromite securitatea unei aplicații web prin intermediul clientului (în mare parte prin browsere). Atacatorii își propun să utilizeze acest tip de atac pentru a exploata validări slabe și lipsa politicii de securitate a conținutului (CSP) pe unele aplicații web.

Există diferite tipuri de XSS; să aruncăm o privire mai atentă asupra a ceea ce sunt și cum pot fi utilizate.

XSS reflectat

Acesta este un tip foarte comun de XSS folosit pentru a lucra cu clientul unei aplicații. Codul injectat aici nu este persistent în baza de date, dar este de așteptat să obțină un răspuns din partea clientului aplicației. De aici numele „reflectat.” Acest atac funcționează cu succes într-un caz în care aplicația preia introducerea utilizatorului și returnează acea intrare după o anumită procesare, fără a fi salvată în baza de date. Un exemplu obișnuit este un forum de chat în miniatură, unde mesajele nu sunt persistate în baza de date. În astfel de cazuri, aplicația preia intrări ale utilizatorului și le scoate ca HTML. Un atacator ar putea introduce un script rău intenționat în acel forum de chat, cum ar fi schimbarea designului sau culorilor aplicației prin introducerea unor CSS în etichetele scriptului.

S-ar putea să se înrăutățească pentru alți utilizatori ai aplicației, deoarece scriptul va fi în esență executat pe browserele lor, ceea ce ar putea duce la furt de informații, cum ar fi furtul informațiilor dvs. de completare automată salvate în browser. Mulți utilizatori preferă să salveze informații tipizate în mod obișnuit pe formulare precum nume, adrese și informații despre cardul de credit, care în acest caz este o idee proastă.

DOM XSS

DOM – Document Object Model, este interfața de programare care interpretează HTML-ul (sau XML) utilizat pe paginile web și, prin urmare, definește structura logică a acelei pagini web. Acest tip de XSS exploatează aplicația web cu cod javascript nesigur în linie în marcajul care formează pagina web. XSS utilizat aici poate fi utilizat pentru a modifica direct DOM. Aceasta ar putea fi utilizată pentru a modifica aproape orice parte a paginii web cu care interacționează utilizatorul, ceea ce ar putea duce la phishing.

XSS stocată

Acesta este un tip de XSS în care codul rău intenționat nu este doar reflectat înapoi la utilizator, ci și persistent (stocat) la baza de date a serverului web pe care este găzduită aplicația web. Acest tip de XSS este și mai periculos, deoarece poate fi reutilizat pentru a ataca multiple victime, deoarece este depozitat (pentru utilizare ulterioară). Acesta poate fi cazul în care trimiterile de formular de către utilizatori nu sunt bine validate înainte de a fi trimise în baza de date.

În general, XSS ar putea fi de orice tip în combinație; un singur atac ar putea fi reflectat și persistent. Tehnicile utilizate în executarea atacului pot varia, de asemenea, dar conțin caracteristici comune cu cele menționate mai sus.

Unele browsere majore, cum ar fi Chrome și Edge ca o caracteristică de securitate, și-au dezvoltat propriile protocoale de securitate pentru clienți pentru a evita atacurile XSS cunoscute sub denumirea de X-XSS-Protection. Chrome avea auditorul XSS, care a fost introdus în 2010 pentru a detecta atacurile XSS și a opri încărcarea acestor pagini web atunci când a fost detectată. Cu toate acestea, s-a găsit că este mai puțin util decât se spera inițial și a fost eliminat ulterior după ce cercetătorii au observat neconcordanțe în rezultatele sale și în cazurile de alegere a falselor pozitive.

Atacurile XSS reprezintă o provocare dificil de abordat din partea clientului. Browserul Edge a avut și filtrul XSS, care a fost ulterior retras. Pentru Firefox, site-ul MDN (Mozilla Developer Network) îl are,

Firefox nu au și nu vor implementa Protecția X-XSS

Urmărirea terță parte

O altă parte importantă a stabilirii confidențialității tale online este să fii priceput în privința cookie-urilor de urmărire de la terți. Cookie-urile sunt, în general, considerate bune pe web, deoarece sunt utilizate de site-uri web pentru a identifica în mod unic utilizatorii și pentru a putea adapta experiența de navigare a utilizatorului în consecință. Acesta este cazul pentru site-urile de comerț electronic unde folosesc cookie-uri pentru a vă păstra sesiunea de cumpărături și pentru a păstra articolele pe care le-ați adăugat în coș. Aceste tipuri de cookie-uri sunt cunoscute sub numele de cookie-uri de primă parte. Deci, atunci când navigați pe site-uri pe geekflare.com, cookie-urile utilizate de geekflare.com sunt cookie-uri de primă parte (cele bune).

Există, de asemenea, puține cazuri de cookie-uri terțe, unde site-urile web oferă (sau vând) cookie-urile sale de primă pagină către un alt site pentru a difuza reclame utilizatorului. În acest caz, cookie-urile pot fi considerate a doua părți. Cookie-urile terțe sunt cookie-urile cu anunțuri mari care sunt utilizate pentru urmărirea încrucișată a site-urilor și publicitatea re-orientată.

Acestea sunt cookie-uri puse pe browserele utilizatorilor fără cunoștință sau consimțământul utilizatorului pentru a obține informații despre utilizator și tot felul de profiluri de date, cum ar fi site-urile web pe care utilizatorul le vizitează, căutările, ISP (furnizor de servicii Internet) pe care îl folosește utilizatorul, specificațiile laptopului , puterea bateriei, etc. Aceste informații sunt utilizate pentru a forma un profil de date pe Internet în jurul utilizatorului, astfel încât pot fi utilizate pentru reclame vizate. Atacatorii care fură acest tip de informații fac de obicei acest tip de extragere a datelor și pot vinde aceste date rețelelor mari de publicitate.

Firefox, în septembrie 2019, a anunțat că va bloca în mod implicit cookie-urile de urmărire terță parte atât pe desktop cât și în browserul mobil. Echipa s-a referit la aceasta drept protecție de urmărire îmbunătățită, care este indicată pe bara de adrese a browserului cu o pictogramă de scut.

Browserul Safari de pe dispozitivele Apple blochează, de asemenea, cookie-urile terților de la urmărirea utilizatorilor lor pe web.

Pe Chrome, cookie-urile de urmărire ale terților nu sunt blocate în mod implicit. Pentru a activa această caracteristică, faceți clic pe cele trei puncte verticale din colțul din dreapta sus al ferestrei browserului pentru a dezvălui un dropdown, apoi faceți clic pe setări, în fila setări, la stânga, faceți clic pe confidențialitate și securitate, apoi faceți clic pe setări site, apoi faceți clic pe cookie-uri și pe datele site-ului, apoi comutați opțiunea care citește Blocarea cookie-urilor terță parte.

Cryptominers

Unele site-uri de pe Internet conțin script-ul de criptografiere fie de către proprietarul site-ului, fie de către un terț. Aceste scripturi permit atacatorului să utilizeze resursele de calcul ale victimei pentru criptomonedele mine.

Cu toate că, unii proprietari de site-uri web fac acest lucru ca un mijloc de finanțare, de obicei atunci când oferă servicii gratuite și susțin că este un preț mic pentru a plăti serviciile pe care le oferă. Aceste seturi de site-uri web lasă de obicei mesaje pentru ca utilizatorul să fie la curent cu costurile de utilizare a serviciului său. Cu toate acestea, multe alte site-uri web fac acest lucru fără a informa utilizatorul. Ceea ce ar putea duce la utilizarea serioasă a resurselor de PC. Prin urmare, este important să aveți aceste lucruri blocate.

Unele browsere au utilități încorporate pentru a bloca astfel de scripturi, cum ar fi Firefox, care are o setare pentru a bloca criptominere atât pe web cât și pe mobil. La fel opera. Pentru Chrome și Safari, extensiile sunt necesare pentru a instala pe browser pentru a obține aceleași.

Amprentarea digitală a browserului

După cum este definit pe Wikipedia,

amprenta dispozitivului sau amprenta mașinii este informație colectată despre software și hardware-ul unui dispozitiv de calcul de la distanță în scopul identificării.

O amprentare a browserului este informația de amprentă colectată prin intermediul browserului utilizatorului. Browserul unui utilizator poate furniza de fapt o mulțime de informații despre dispozitiv. Diferite exploatări sunt utilizate aici chiar și etichetele html5 “ au fost cunoscute ca fiind utilizate pentru amprentă. Informații precum specificațiile dispozitivului, cum ar fi dimensiunea memoriei dispozitivului, durata de viață a bateriei dispozitivului, specificațiile procesorului etc..

Unii utilizatori tind să creadă că utilizarea modului incognito pe browsere protejează împotriva amprentelor, dar nu este posibil. Modul privat sau incognito nu este cu adevărat privat; nu salvează doar cookie-urile sau istoricul de navigare local pe browser; cu toate acestea, aceste informații ar fi în continuare salvate pe site-ul vizitat. Prin urmare, amprenta este încă posibilă pe un astfel de dispozitiv.

Scurgeri web RTC

RTC Web (Comunicare în timp real). RTC-ul Web a venit ca o etapă de comunicare în timp real pe web. In conformitate cu Site web RTC.

Cu WebRTC, puteți adăuga funcții de comunicare în timp real la aplicația dvs. care funcționează pe baza unui standard deschis. Acceptă date video, voce și generice care trebuie trimise între colegi, permițând dezvoltatorilor să construiască soluții puternice de comunicații vocale și video.

Interesant cum este, în 2015, un utilizator GitHub („diafygi”) a publicat pentru prima dată o vulnerabilitate în Web RTC care dezvăluie mai multe informații despre un utilizator, cum ar fi adresa IP locală, adresa IP publică, capacitățile media ale dispozitivului (cum ar fi un microfon, cameră etc.).

El a fost capabil să facă acest lucru făcând ceea ce este cunoscut sub numele de cereri STUN către browser pentru a divulga aceste informații. Și-a publicat descoperirile aici -> https://github.com/diafygi/webrtc-ips.

De atunci, browserul a implementat mai multe caracteristici de securitate pentru a fi protejate împotriva acestui lucru; cu toate acestea, exploatarea a fost îmbunătățită și de-a lungul anilor. Această exploatare rămâne până astăzi. Prin rularea unor audituri simple de securitate, un utilizator ar putea vedea cât de multe informații pot fi obținute dintr-o scurgere de informații RTC Web.

Pe Chrome, unele extensii pot fi instalate pentru a oferi protecție împotriva scurgerilor RTC. La fel și pe Firefox cu suplimente. Safari are o opțiune de dezactivare Web RTC; cu toate acestea, acest lucru poate afecta utilizarea anumitor aplicații web de chat în timp real pe browser.

Navigarea printr-un proxy

Proxy-urile web gratuite par să vă ajute să obțineți o mai bună confidențialitate prin sărirea traficului web pe serverele „anonime” Unii experți în securitate au îngrijorare cu privire la cât de multă confidențialitate oferă acest lucru. Proxy-urile pot proteja un utilizator de Internetul deschis, dar nu de serverele prin care trece traficul de internet. Prin urmare, utilizarea unui proxy web „gratuit” rău intenționat, construit pentru recoltarea datelor utilizatorilor, ar putea fi o rețetă pentru dezastru. În schimb, utilizați un proxy premium.

Cum se testează securitatea browserului?

Testele browser-ului vă oferă o informație despre cât de multe informații ar putea primi un atacator prin intermediul browserului și ce trebuie să faceți pentru a rămâne protejat.

BrowserCheck

BrowserCheck de Qualys efectuează o verificare rapidă pe browserul dvs. pentru urmărirea cookie-urilor și vulnerabilitățile cunoscute.

Cloudflare ESNI Checker

Cloudflare verifică rapid vulnerabilitățile DNS și stiva TLS ale browserului.

Analizor de confidențialitate

Analizor de confidențialitate scanează browserul dvs. pentru orice tip de lacune de confidențialitate, inclusiv analiza amprentelor digitale.

Panopticlick

Panopticlick oferă teste pentru cookie-urile de urmărire ale terților și oferă, de asemenea, o extensie cromă pentru a bloca urmărirea ulterioară.

Webkay

Webkay oferă o vizualizare rapidă a informațiilor pe care le oferă cu ușurință browserul tău.

Compatibilități SSL / TLS

Verifica dacă browserul dvs. este vulnerabil la vulnerabilitățile TLS.

Cum e SSL-ul meu??

Peste tot Verificări la nivel SSL pe browser. Testează compresia TLS, apartamentele Cipher, suportul biletelor de sesiune și multe altele.

AmIUnique

Tu esti?

AmIUnique verifică dacă amprenta browserului dvs. a fost în orice amprentă colectată anterior în lume.

Cum se întăresc browserele?

Trebuie să fii mai proactiv în ceea ce privește confidențialitatea și securitatea lor, de aceea trebuie să fii sigur de ce setare de securitate este disponibilă în browser. Fiecare browser are setări de confidențialitate și securitate, care oferă utilizatorului controlul asupra informațiilor pe care le poate oferi site-urilor web. Iată câteva sfaturi despre ce setări de confidențialitate să setați în browserul dvs..

  • Trimiteți cererile „Nu urmăriți” site-urilor web
  • Blocați toate cookie-urile terță parte
  • Dezactivează ActiveX și flash
  • Eliminați toate extensiile și extensiile inutile
  • Instalați extensii de confidențialitate sau suplimente.

Utilizați un browser axat pe confidențialitate pe mobil sau pe desktop.

Puteți, de asemenea, să luați în considerare utilizarea unei VPN premium, care oferă invizibilitate pe internet de la trackere, scanere și tot felul de înregistrători de informații. Să fii cu adevărat privat pe Internet înseamnă cu un VPN. Serviciile VPN „gratuite”, cu toate acestea, au probleme similare discutate mai sus despre proxy-uri gratuite, nu sunteți niciodată sigur de ce server web prin care trece traficul. De aici este nevoie de un serviciu VPN fiabil, care să ofere o securitate mult mai bună.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map