Проверьте безопасность браузера на уязвимости

Насколько безопасен ваш браузер??


Сколько информации можно извлечь из вашего онлайн-профиля?

Почему вы видите рекламу, связанную с вещами, которые вы искали, недавно купили или читали о?

Какова стоимость полного раскрытия вашего профиля??

Как вы можете лучше защитить свою конфиденциальность в Интернете?

Эти и другие вопросы помогут вам ответить на эту статью и предложат способы, с помощью которых вы сможете лучше защитить свою конфиденциальность в Интернете..

Важно отметить, что компании, которые делают браузеры, которые мы используем чаще всего, такие как Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera и т. Д., Стараются максимально защитить пользователей и их личную информацию при использовании этих продуктов. Поэтому данная статья не направлена ​​на подрыв этих усилий, а на то, чтобы помочь вам, пользователю сделать осознанный выбор при использовании этих и других браузеров для различных действий..

Интернет – это наши ворота в мир, которые помогают нам практически везде получать информацию, торговлю, бизнес, связь и все другие потребности и потребности. Следовательно, необходимость обезопасить себя, как мы обычно делаем в реальном мире, так как не все в Интернете имеют честные намерения.

Хотя на вашем компьютере могут быть антивирусы, которые блокируют все виды компьютерных вредоносных программ, ваш браузер также может быть уязвим. Давайте углубимся в некоторые возможные уязвимости.

XSS (межсайтовый скриптинг)

Межсайтовый скриптинг можно просто описать как внедрение кода (обычно это код Javascript). Цель такого рода атак состоит в том, чтобы поставить под угрозу безопасность веб-приложения через клиента (в основном через браузеры). Злоумышленники стремятся использовать этот вид атаки для использования слабых проверок и отсутствия политики безопасности контента (CSP) в некоторых веб-приложениях..

Существуют разные виды XSS; давайте подробнее рассмотрим, что они из себя представляют и как их можно использовать.

Отраженный XSS

Это очень распространенный тип XSS, используемый для работы с клиентской стороной приложения. Введенный здесь код не сохраняется в базе данных, но, как ожидается, вызовет ответ со стороны приложения. Отсюда и название «отражено». Эта атака успешно работает в случае, когда приложение принимает пользовательский ввод и возвращает этот ввод после некоторой обработки без сохранения в базе данных. Типичным примером является миниатюрный чат-форум, где сообщения не сохраняются в базе данных. В таких случаях приложение принимает пользовательские данные и выводит их в виде HTML. Злоумышленник может ввести в этот чат-скрипт вредоносный скрипт, например, изменить дизайн или цвет приложения, введя CSS в теги скрипта..

Это может ухудшиться для других пользователей приложения, потому что сценарий будет по существу выполняться в их браузерах, что может привести к краже информации, например краже информации, автоматически заполняемой в браузере. Многие пользователи предпочитают сохранять часто вводимую информацию в такие формы, как имена, адреса и данные кредитных карт, что в данном случае является плохой идеей..

ДОМ XSS

DOM – объектная модель документа, это программный интерфейс, который интерпретирует HTML (или XML), используемый на веб-страницах, и, следовательно, определяет логическую структуру этой конкретной веб-страницы. Этот тип XSS использует веб-приложение с небезопасным встроенным кодом JavaScript в разметке, составляющей веб-страницу. Используемый здесь XSS может использоваться для прямой модификации DOM. Это может быть использовано для изменения практически любой части веб-страницы, с которой взаимодействует пользователь, что может привести к фишингу.

Хранится XSS

Это тип XSS, в котором вредоносный код не только возвращается пользователю, но и сохраняется (сохраняется) в базе данных веб-сервера, на котором размещено веб-приложение. Этот тип XSS еще более опасен, поскольку его можно использовать повторно для атаки нескольких жертв, поскольку он сохраняется (для последующего использования). Это может быть в том случае, если отправленные пользователями формы плохо проверяются перед отправкой в ​​базу данных..

Как правило, XSS может быть любого типа в комбинации; одна атака может быть отражена и сохранена. Методы, используемые при выполнении атаки, также могут отличаться, но содержат общие черты с упомянутыми выше..

Некоторые крупные браузеры, такие как Chrome и Edge в качестве функции безопасности, разработали свои собственные протоколы безопасности клиента, чтобы избежать атак XSS, известных как X-XSS-Protection. Chrome имел XSS Auditor, который был представлен в 2010 году для обнаружения XSS-атак и предотвращения загрузки таких веб-страниц при обнаружении. Это, однако, оказалось менее полезным, чем первоначально предполагалось, и было позже устранено после того, как исследователи заметили несоответствия в его результатах и ​​случаях выбора ложноположительных результатов..

XSS-атаки – это сложная задача, которую нужно решать на стороне клиента. Браузер Edge также имел фильтр XSS, который позже был удален. Для Firefox, как есть на сайте MDN (Mozilla Developer Network),,

Firefox не имеет и не будет реализовывать X-XSS-Protection

Стороннее отслеживание

Еще одна важная часть обеспечения вашей конфиденциальности в Интернете заключается в том, чтобы разбираться со сторонними файлами cookie. Как правило, файлы cookie считаются хорошими в Интернете, поскольку они используются веб-сайтами для уникальной идентификации пользователей и, соответственно, для того, чтобы соответствующим образом адаптировать работу пользователя. Так обстоит дело с веб-сайтами электронной коммерции, где они используют файлы cookie для хранения ваших покупок, а также для хранения товаров, добавленных вами в корзину. Эти виды файлов cookie называются основными файлами cookie. Поэтому, когда вы просматриваете сайты на geekflare.com, cookie-файлы, используемые geekflare.com, являются первыми (хорошими)..

Также есть несколько случаев использования сторонних файлов cookie, когда веб-сайты предлагают (или продают) свои собственные файлы cookie другому сайту для показа рекламы пользователю. В этом случае куки могут рассматриваться как сторонние. Сторонние файлы cookie – это файлы cookie, ориентированные на большие объявления, которые используются для отслеживания на нескольких сайтах и ​​перенаправления рекламы..

Это файлы cookie, которые помещаются в браузеры пользователей без ведома или согласия пользователя для получения информации о пользователе и всех видах профиля данных, таких как веб-сайты, которые пользователь посещает, выполняет поиск, провайдер интернет-услуг, который использует пользователь, характеристики ноутбука уровень заряда батареи и т. д. Эта информация используется для формирования профиля данных в интернете вокруг пользователя, чтобы его можно было использовать для целевой рекламы. Злоумышленники, которые крадут этот тип информации, обычно делают это тип интеллектуального анализа данных и могут продавать эти данные крупным рекламным сетям..

В сентябре 2019 года Firefox объявил, что по умолчанию будет блокировать сторонние файлы cookie для отслеживания как в настольном, так и в мобильном браузере. Команда назвала это улучшенной защитой от слежения, которая указана в адресной строке браузера значком щита..

Браузер Safari на устройствах Apple также блокирует сторонние файлы cookie от отслеживания их пользователей в Интернете..

В Chrome сторонние файлы cookie для отслеживания не блокируются по умолчанию. Чтобы включить эту функцию, нажмите на три вертикальные точки в верхнем правом углу окна браузера, чтобы открыть раскрывающийся список, затем нажмите «Настройки», на вкладке «Настройки» слева нажмите «Конфиденциальность и безопасность», затем нажмите «Настройки сайта», затем нажмите «куки» и «данные сайта», затем включите опцию «Блокировать сторонние куки»..

Cryptominers

Некоторые веб-сайты в Интернете содержат скрипт крипто-майнинга либо владельцем веб-сайта, либо сторонним разработчиком. Эти сценарии позволяют злоумышленнику использовать вычислительные ресурсы жертвы для майнинга криптовалюты..

Хотя некоторые владельцы веб-сайтов делают это как средство финансирования обычно, когда они предоставляют бесплатные услуги, и утверждают, что платить за предлагаемые ими услуги – это небольшая цена. Эти наборы веб-сайтов обычно оставляют пользователю сообщения о стоимости использования их услуг. Тем не менее, многие другие сайты делают это без уведомления пользователя. Что может привести к серьезному использованию ресурсов ПК. Следовательно, важно, чтобы эти вещи были заблокированы.

Некоторые браузеры имеют встроенные утилиты для блокировки таких скриптов, такие как Firefox, который имеет настройку для блокировки криптоминеров как в Интернете, так и на мобильных устройствах. Аналогично опера. Для Chrome и Safari, расширения должны быть установлены в вашем браузере для достижения того же.

Отпечатки пальцев в браузере

Как определено на Википедия,

 отпечаток устройства или отпечаток машины собирается ли информация о программном и аппаратном обеспечении удаленного вычислительного устройства с целью идентификации.

Отпечатки в браузере – это информация об отпечатках пальцев, собранная через браузер пользователя. Браузер пользователя может фактически предоставить много информации об используемом устройстве. Здесь используются различные эксплойты, даже известно, что теги html5 “ используются для идентификации отпечатков пальцев. Такая информация, как технические характеристики устройства, например объем памяти устройства, время автономной работы устройства, характеристики процессора и т. Д. Часть информации об отпечатках пальцев также может раскрыть реальный IP-адрес и геолокацию пользователя..

Некоторые пользователи склонны считать, что использование режима инкогнито в браузерах защищает от отпечатков пальцев, но это не так. Приватный режим или режим инкогнито не является действительно приватным; он не сохраняет куки или историю просмотра локально в браузере; однако эта информация все равно будет сохранена на посещаемом веб-сайте. Следовательно, снятие отпечатков пальцев все еще возможно на таком устройстве.

Web RTC Leaks

Web RTC (связь в реальном времени). Web RTC стал прорывом для общения в Интернете в реальном времени. Согласно Веб-сайт RTC.

С помощью WebRTC вы можете добавить коммуникационные возможности в реальном времени к вашему приложению, работающему на основе открытого стандарта. Он поддерживает передачу видео, голоса и общих данных между партнерами, что позволяет разработчикам создавать мощные решения для голосовой и видео связи..

Интересно, что в 2015 году пользователь GitHub («diafygi») впервые опубликовал уязвимость в Web RTC, которая раскрывает некоторую информацию о пользователе, такую ​​как локальный IP-адрес, общедоступный IP-адрес, мультимедийные возможности устройства (такие как микрофон, камера и т. д.).

Он смог сделать это, отправив в браузер так называемые STUN-запросы на разглашение этой информации. Он опубликовал свои выводы здесь -> https://github.com/diafygi/webrtc-ips.

С тех пор в браузере реализованы улучшенные функции безопасности для защиты от этого; однако, подвиг также был сделан лучше за эти годы. Этот подвиг до сих пор остается до сегодняшнего дня. Запустив простой аудит безопасности, пользователь сможет увидеть, сколько информации можно получить из утечки информации Web RTC.

В Chrome могут быть установлены некоторые расширения для защиты от утечек RTC. Аналогично в Firefox с аддонами. Safari имеет возможность отключить веб-RTC; однако это может повлиять на использование некоторых веб-приложений чата в реальном времени через браузер.

Просмотр через прокси

Похоже, бесплатные веб-прокси помогают улучшить конфиденциальность, перенаправляя ваш веб-трафик на «анонимные» серверы. Некоторые эксперты по безопасности обеспокоены тем, насколько это обеспечивает конфиденциальность. Прокси-серверы могут защищать пользователя от открытого Интернета, но не от серверов, через которые проходит интернет-трафик. Следовательно, использование вредоносного «бесплатного» веб-прокси, созданного для сбора пользовательских данных, может стать причиной катастрофы. Вместо этого используйте премиум-прокси.

Как проверить безопасность браузера?

Браузерные тесты дают вам представление о том, сколько информации может получить злоумышленник от вас через браузер, и что вам нужно сделать, чтобы оставаться защищенным.

Qualys BrowserCheck

BrowserCheck от Qualys выполняет быструю проверку в вашем браузере трекер-куки и известных уязвимостей.

Cloudflare ESNI Checker

Cloudflare выполняет быструю проверку DNS и TLS вашего браузера на наличие уязвимостей.

Анализатор конфиденциальности

Анализатор конфиденциальности сканирует ваш браузер на наличие лазеек любого типа, включая анализ отпечатков пальцев.

Panopticlick

Panopticlick предлагает проверить сторонние файлы cookie для отслеживания, а также предлагает расширение Chrome для блокировки дальнейшего отслеживания.

Webkay

Webkay обеспечивает быстрый просмотр информации, которую с готовностью выдает ваш браузер.

Совместимость SSL / TLS

Проверьте если ваш браузер уязвим к уязвимостям TLS.

Как мой SSL?

По всюду Проверка уровня SSL в вашем браузере. Он тестирует на сжатие TLS, наборы шифров, поддержку билетов сеансов и многое другое.

AmIUnique

Ты?

AmIUnique проверяет, был ли отпечаток вашего браузера в ранее собранных отпечатках пальцев в мире.

Как укрепить браузеры?

Вы должны быть более активными с их конфиденциальностью и безопасностью, следовательно, необходимо быть уверенным в том, какие настройки безопасности доступны в браузере. Каждый браузер имеет настройки конфиденциальности и безопасности, которые предоставляют пользователю контроль над тем, какую информацию они могут предоставлять веб-сайтам. Вот несколько советов по настройке конфиденциальности в вашем браузере..

  • Отправить “Не отслеживать” запросы на веб-сайты
  • Блокировать все сторонние куки
  • Отключить ActiveX и прошить
  • Удалите все ненужные плагины и расширения
  • Установите расширения конфиденциальности или дополнения.

Используйте ориентированный на конфиденциальность браузер на мобильном или настольном компьютере.

Вы также можете рассмотреть возможность использования премиум VPN, который обеспечивает невидимость через Интернет с трекеров, сканеров и всех видов регистраторов информации. Быть по-настоящему приватным в Интернете – это VPN. «Бесплатные» VPN-сервисы, однако, сталкиваются с аналогичными проблемами, рассмотренными выше для бесплатных прокси-серверов, вы никогда не знаете, через какой веб-сервер проходит трафик. Отсюда необходимость в надежном VPN-сервисе, который обеспечит гораздо лучшую безопасность.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map