Тествайте защитата на браузъра си за уязвимости

Колко точно е защитен вашият браузър?


Колко информация може да бъде извлечена от вашия потребителски профил за сърфиране?

Защо изглежда виждате реклами, свързани с неща, които сте търсили, наскоро закупени или прочетени?

Каква е цената за пълно излагане на вашия профил?

Как можете по-добре да защитите вашата поверителност онлайн?

Тези и още въпроси са това, което тази статия ще се надява да ви помогне да отговорите и да предоставите начини, по които можете по-добре да защитите вашата поверителност онлайн.

Важно е да се отбележи, че компаниите, които правят браузъри, които използваме най-често, харесват Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera и др. Опитайте колкото е възможно повече, за да защитите потребителите и тяхната лична информация при използване на тези продукти. Следователно тази статия не е насочена към подкопаване на тези усилия, а за да ви помогне, потребителят да направи образован избор, когато използва тези и други браузъри за различни дейности.

Интернет е нашата порта към света, за да ни помогне да достигнем практически до всяка точка за информация, търговия, бизнес, комуникация и всички други нужди и потребности. Следователно, необходимостта да се осигурим така, както обикновено бихме правили в реалния свят, тъй като не всеки в Интернет има честни намерения.

Въпреки че на вашия компютър може да имате антивируси, които блокират всички видове компютърни зловредни програми, вашият браузър може също да бъде уязвим. Нека да се потопим дълбоко в някои възможни уязвимости.

XSS (кръстосано скриптиране)

Скриптовете на различни сайтове могат просто да се опишат като инжектиране на код (обикновено Javascript код). Целта на този вид атака е да се компрометира сигурността на уеб приложение чрез клиента (най-вече чрез браузъри). Нападателите имат за цел да използват този вид атака, за да използват слабите проверки и липсата на политика за сигурност на съдържанието (CSP) в някои уеб приложения.

Има различни видове XSS; нека разгледаме по-подробно какво представляват и как могат да бъдат използвани.

Отразена XSS

Това е много често срещан тип XSS, използван за работа с клиентска страна на приложение. Кодът, инжектиран тук, не се запазва в базата данни, но се очаква да предизвика отговор от страна на клиента от приложението. Оттук и името „отразено.“ Тази атака работи успешно в случай, че приложението въвежда потребителски вход и връща този вход след някаква обработка, без да записва в базата данни. Често срещан пример е миниатюрен чат форум, където съобщенията не се поддържат до базата данни. В такива случаи приложението приема потребителски входове и ги извежда като HTML. Нападателят може да въведе злонамерен скрипт в този форум за чат, като например промяна на дизайна или цветовете на приложението, като въведе някои CSS в маркери на скриптове.

Това може да се влоши за другите потребители на приложението, тъй като по същество скриптът ще се изпълнява в техните браузъри, което може да доведе до кражба на информация, като кражба на вашата информация за автоматично попълване, запазена в браузъра. Много потребители предпочитат да запазват често въведена информация във формуляри като имена, адреси и информация за кредитни карти, което в този случай е лоша идея.

DOM XSS

DOM – Document Object Model, е интерфейс за програмиране, който интерпретира HTML (или XML), използван на уеб страници, и по този начин определя логическата структура на тази конкретна уеб страница. Този тип XSS използва уеб приложение с опасен вграден JavaScript код в маркирането, което съставя уеб страницата. XSS, използван тук, може да се използва за директна промяна на DOM. Това може да се използва за промяна на почти всяка част от уеб страницата, с която потребителят взаимодейства, което може да доведе до фишинг.

Съхранено XSS

Това е тип XSS, при който злонамереният код не само се отразява обратно на потребителя, но и се запазва (съхранява) в базата данни на уеб сървъра, на който се хоства уеб приложението. Този тип XSS е още по-опасен, тъй като може да се използва повторно за атака на множество жертви, защото се съхранява (за по-късна употреба). Това може да е случаят, когато изпращанията на формуляри от потребителите не са добре потвърдени, преди да бъдат изпратени в базата данни.

Като цяло XSS може да бъде от всякакъв тип в комбинация; една атака може да бъде отразена и продължена. Техниките, използвани при извършването на атаката, също могат да варират, но да съдържат общи неща с посочените по-горе.

Някои основни браузъри, като Chrome и Edge като функция за защита, разработиха свои собствени клиентски протоколи за защита, за да избегнат XSS атаки, известни като X-XSS-защита. Chrome имаше XSS одитор, който беше представен през 2010 г., за да открие XSS атаки и да спре тези уеб страници да се зареждат, когато бъдат открити. Това обаче се оказа по-малко полезно, отколкото първоначално се надяваше, а по-късно беше отстранено, след като изследователите забелязаха несъответствия в неговите резултати и случаи на избор на фалшиви позитиви.

XSS атаките са трудно предизвикателство за справяне от страна на клиента. Браузърът Edge също имаше XSS филтър, който по-късно беше пенсиониран. За Firefox уебсайтът MDN (Mozilla Developer Network) разполага с него,

Firefox нямат и няма да внедрят X-XSS-защита

Проследяване на трети страни

Друга важна част от създаването на вашата онлайн поверителност е да се разбирате относно бисквитките за проследяване на трети страни. Бисквитките обикновено се считат за добри в мрежата, тъй като те се използват от уебсайтове, за да идентифицират по уникален начин потребителите и съответно да могат да адаптират опита на сърфиране на потребителя. Такъв е случаят с уебсайтовете за електронна търговия, където те използват бисквитки, за да поддържат вашата сесия за пазаруване, а също така съхраняват артикулите, които сте добавили в количката. Тези видове бисквитки са известни като бисквитки за първи път. Така че, когато разглеждате сайтове в geekflare.com, бисквитките, използвани от geekflare.com, са бисквитки от първа страна (добрите).

Не са малко и случаите на бисквитки на трети страни, при които уебсайтовете предлагат (или продават) своите бисквитки от трети страни на друг сайт, за да показват реклами на потребителя. В този случай бисквитките могат да се считат за втора страна. Бисквитките на трети страни са големите бисквитки, задвижвани от реклами, които се използват за проследяване на различни сайтове и пренасочена реклама.

Това са бисквитки, поставени в браузърите на потребителите без знание или съгласие на потребителя, за да получат информация за потребителя и всички видове профил на данни, като уебсайтове, които потребителят посещава, търси, ISP (Интернет доставчик), който потребителят използва, спецификациите на лаптопа , силата на батерията и т.н. Тази информация се използва за формиране на интернет профил на данни около потребителя, така че да може да се използва за насочени реклами. Нападателите, които откраднат този тип информация, обикновено правят този вид извличане на данни и могат да продават тези данни в големи рекламни мрежи.

Firefox през септември 2019 г. обяви, че по подразбиране блокира бисквитките за проследяване на трети страни както на настолния, така и на мобилния браузър. Екипът посочи това като подобрена защита от проследяване, която е посочена в адресната лента на браузъра с икона на щит.

Браузърът Safari в устройствата на Apple също блокира бисквитките на трети страни да следят своите потребители в мрежата.

В Chrome, бисквитките за проследяване на трети страни не са блокирани по подразбиране. За да активирате тази функция, щракнете върху трите вертикални точки в горния десен ъгъл на прозореца на браузъра, за да се покаже падащо меню, след това щракнете върху настройки, в раздела с настройки отляво, щракнете върху поверителност и сигурност, след това щракнете върху настройките на сайта, след това щракнете върху бисквитки и данни за сайтове, след което превключете опцията, която гласи Блокиране на бисквитки на трети страни.

Cryptominers

Някои уебсайтове в Интернет съдържат криптовалутен скрипт или от собственика на уебсайта, или от трета страна. Тези скриптове дават възможност на нападателя да използва компютърните ресурси на жертвата, за да добива криптовалути.

Въпреки че, някои собственици на уебсайтове правят това като средство за финансиране обикновено, когато предоставят безплатни услуги и твърдят, че това е малка цена за заплащане на услугите, които предлагат. Тези набори от уебсайтове обикновено оставят съобщения за потребителя, за да бъдат запознати с цената на използването на тяхната услуга. Много други уебсайтове обаче правят това, без да информират потребителя. Което може да доведе до сериозно използване на компютърни ресурси. Следователно е важно тези неща да бъдат блокирани.

Някои браузъри имат вградени помощни програми за блокиране на такива скриптове като Firefox, който има настройка за блокиране на криптомини в уеб и мобилни устройства. По същия начин опера. За Chrome и Safari са необходими разширения, които да се инсталират във вашия браузър, за да се постигне същото.

Отпечатване на браузъра

Както е определено на Wikipedia,

А отпечатък на устройството или машинен отпечатък е информация, събрана за софтуера и хардуера на отдалечено изчислително устройство с цел идентификация.

Отпечатъкът на браузъра е информация за пръстови отпечатъци, събрана чрез браузъра на потребителя. Потребителският браузър всъщност може да предостави много информация за използваното устройство. Тук се използват различни подвизи, дори html5 “ таговете са били известни като пръстови отпечатъци. Информация като спецификации на устройства като размер на паметта на устройството, живот на батерията на устройството, спецификации на процесора и др. Част от информация за пръстови отпечатъци може също да разкрие истински IP адрес и геолокация на потребителя.

Някои потребители са склонни да вярват, че използването на режим „инкогнито“ в браузърите предпазва от пръстови отпечатъци, но това не е така. Частният или анонимният режим не е наистина личен; той не запазва бисквитките или историята на сърфиране локално в браузъра; тази информация обаче ще бъде запазена на посетения уебсайт. Следователно отпечатъкът на пръсти все още е възможен на такова устройство.

Утечки в уеб RTC

Web RTC (комуникация в реално време). Web RTC дойде като пробив за комуникация в реално време по мрежата. Според Уеб сайт на RTC.

С WebRTC можете да добавите комуникационни възможности в реално време към приложението си, което работи над отворен стандарт. Той поддържа видео, глас и общи данни да се изпращат между връстници, което позволява на разработчиците да изграждат мощни решения за гласова и видео комуникация.

Интересно е, че през 2015 г. потребител на GitHub („diafygi“) за първи път публикува уязвимост в Web RTC, която разкрива няколко информация за потребител, като локален IP адрес, публичен IP адрес, медийните възможности на устройството (като например микрофон, камера и т.н.).

Той успя да направи това, като направи това, което е известно като STUN заявки към браузъра, за да разкрие тази информация. Той публикува своите открития тук -> https://github.com/diafygi/webrtc-ips.

Оттогава браузърът е въвел по-добри функции за защита, за да се предпази от това; обаче експлоатацията също се подобрява през годините. Този подвиг остава и до днес. Чрез извършване на прости одити за сигурност, потребителят ще може да види колко информация може да бъде получена от изтичане на информация в Web RTC.

В Chrome могат да се инсталират някои разширения, които да предлагат защита от течове RTC. По същия начин и на Firefox с добавки. Safari има опция да деактивира Web RTC; това обаче може да повлияе на използването на някои уеб приложения за чат в браузър в реално време.

Преглеждане чрез прокси

Изглежда безплатните уеб прокси сървъри ви помагат да получите по-добра поверителност чрез прескачане на уеб трафика си върху „анонимни“ сървъри. Някои експерти по сигурността имат притеснения доколко това предоставя поверителност. Пълномощниците могат да защитават потребител от отворения Интернет, но не и от сървърите, през които преминава интернет трафикът. Следователно използването на злонамерен „безплатен“ уеб прокси, създаден за събиране на потребителски данни, може да бъде рецепта за бедствие. Вместо това използвайте премиум прокси.

Как да тестваме сигурността на браузъра?

Тестовете на браузъра ви дават представа колко информация може да получи един нападател от вас чрез браузъра и какво трябва да направите, за да останете защитени.

Qualys BrowserCheck

BrowserCheck от Qualys прави бърза проверка на вашия браузър за проследяващи бисквитки и известни уязвимости.

Cloudflare ESNI Checker

Cloudflare прави бърза проверка на DNS и TLS стека на браузъра ви за уязвимости.

Анализатор на поверителността

Анализатор на поверителността сканира вашия браузър за всякакъв вид вратички за поверителност, включително анализ на пръстови отпечатъци.

Panopticlick

Panopticlick предлага да тествате бисквитки за проследяване на трети страни, а също така предлага и хромно разширение, за да блокира по-нататъшното проследяване.

Webkay

Webkay осигурява бърз преглед на информацията, която браузърът ви издава лесно.

SSL / TLS съвместимост

Проверка ако вашият браузър е уязвим към TLS уязвимости.

Как е моят SSL?

Навсякъде Проверки на ниво SSL на вашия браузър. Той тества за компресия на TLS, Cipher пакети, поддръжка на билети за сесия и други.

AmIUnique

Вие ли сте?

AmIUnique проверява дали отпечатъкът на вашия браузър е бил в който и да е събран преди това пръстов отпечатък.

Как да втвърдявате браузърите?

Трябва да бъдете по-активни с тяхната поверителност и сигурност, следователно трябва да сте сигурни какви настройки за сигурност са налични в браузъра. Всеки браузър има настройки за поверителност и сигурност, което предоставя на потребителя контрол върху каква информация може да даде на уебсайтовете. Ето няколко насоки за това какви настройки за поверителност да зададете във вашия браузър.

  • Изпращайте заявки „Не проследявайте“ до уебсайтове
  • Блокирайте всички бисквитки на трети страни
  • Деактивирайте ActiveX и флаш
  • Премахнете всички ненужни приставки и разширения
  • Инсталирайте разширения или добавки за поверителност.

Използвайте браузър, насочен към поверителност на мобилни устройства или на работния плот.

Можете също така да помислите за използване на премиум VPN, който предлага невидимост в Интернет от тракери, скенери и всякакъв вид регистратори на информация. Да бъдеш наистина личен в Интернет е с VPN. „Безплатните“ VPN услуги обаче имат подобни проблеми, обсъдени по-горе при безплатните прокси сървъри, никога не сте сигурни за кой уеб сървър преминавате трафика. Оттук и необходимостта от надеждна VPN услуга, която ще осигури много по-добра сигурност.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map