امنیت مرورگر خود را برای آسیب پذیری آزمایش کنید

دقیقاً چقدر مرورگر شما ایمن است?


چه مقدار اطلاعات می توانند از نمایه مرور آنلاین شما استخراج شوند?

به نظر می رسد چرا تبلیغات مربوط به مواردی را که جستجو کرده اید ، اخیراً خریداری کرده اید یا در مورد آنها خوانده اید ، مشاهده می کنید?

هزینه نمایه شما کاملاً در معرض هزینه است?

چگونه می توانید از حریم شخصی آنلاین خود بهتر محافظت کنید?

این سؤالات و سؤالات بیشتر همان چیزی است که در این مقاله به شما کمک می کند تا به شما در پاسخگویی و راه هایی که بتوانید بهتر از حریم شخصی آنلاین خود محافظت کنید ، کمک کند.

توجه به این نکته مهم است که شرکت هایی که از مرورگرهایی استفاده می کنند که بیشتر آنها استفاده می کنیم ، امثال گوگل (Chrome) ، Mozilla (Firefox) ، Apple (Safari) ، Microsoft (Edge) ، Opera و غیره تا حد امکان سعی کنند از کاربران محافظت کنند. و اطلاعات شخصی آنها هنگام استفاده از این محصولات بنابراین ، این مقاله با هدف تضعیف این تلاشها انجام نشده است ، بلکه برای کمک به شما ، کاربر هنگام استفاده از این و سایر مرورگرها برای فعالیتهای مختلف ، گزینه های آموزش دیده ای را انتخاب می کند..

اینترنت دروازه ما برای ورود به جهان است تا به ما کمک کند تا برای کسب اطلاعات ، تجارت ، تجارت ، ارتباطات و سایر نیازها و ضروریات به هر مکانی برسیم. از این رو ، نیاز به امنیت خودمان همانطور که معمولاً در دنیای واقعی انجام می دهیم ، زیرا همه در اینترنت نیت صادقانه ای ندارند.

اگرچه ممکن است در رایانه خود ضد ویروس داشته باشید و انواع نرم افزارهای مخرب کامپیوتر را مسدود کنید ، مرورگر شما نیز ممکن است آسیب پذیر باشد. بیایید در مورد برخی آسیب پذیری های احتمالی غواصی کنیم.

XSS (برنامه نویسی متقاطع)

برنامه نویسی متقاطع به سادگی می تواند به عنوان یک تزریق کد (معمولاً کد Javascript) توصیف شود. هدف از این نوع حمله ، به خطر انداختن امنیت یک برنامه وب از طریق مشتری (بیشتر از طریق مرورگرها) است. هدف حمله کنندگان برای استفاده از این نوع حمله برای سوء استفاده از اعتبارسنجی ضعیف و عدم وجود سیاست امنیتی محتوا (CSP) در برخی از برنامه های وب.

انواع مختلفی از XSS وجود دارد. بیایید نگاهی دقیق تر به آنچه که هستند و چگونه می توان از آنها استفاده کرد بررسی کنیم.

بازتاب XSS

این یک نوع بسیار متداول از XSS است که برای رهایی از طرف مشتری در یک برنامه کاربرد دارد. کد تزریق شده در اینجا به بانک اطلاعاتی ادامه ندارد اما انتظار می رود پاسخی را از طرف مشتری دریافت کند. از این رو نام “منعکس شده” است. این حمله با موفقیت در موردی که برنامه از کاربر استفاده می کند کار می کند و آن ورودی را پس از پردازش بدون بازگشت به پایگاه داده باز می گرداند. یک نمونه متداول یک انجمن چت مینیاتوری است ، که در آن پیام ها به پایگاه داده ادامه نمی یابد. در چنین مواقعی ، برنامه ورودی کاربر را وارد می کند و آنها را به صورت HTML باز می کند. یک مهاجم می تواند با وارد کردن برخی از CSS در برچسب های اسکریپت ، اسکریپتی مخرب را وارد آن انجمن گپ کند ، مانند تغییر طرح یا رنگ برنامه..

این می تواند برای سایر کاربران برنامه بدتر شود زیرا اساساً این اسکریپت در مرورگرهای آنها اجرا می شود ، که می تواند منجر به سرقت اطلاعات شود ، مانند سرقت اطلاعات پر شده خودکار شما ذخیره شده در مرورگر. بسیاری از کاربران صرفه جویی در اطلاعات معمولی تایپ شده در فرم هایی مانند نام ، آدرس و اطلاعات کارت اعتباری را می پردازند که در این حالت ایده بدی است.

DOM XSS

DOM – Document Object Model ، رابط برنامه نویسی است که HTML (یا XML) مورد استفاده در صفحات وب را تفسیر می کند و از این رو ساختار منطقی آن صفحه خاص را تعریف می کند. این نوع XSS از برنامه وب با کد جاوا اسکریپت نا امن در نشانه گذاری که صفحه وب را تشکیل می دهد سوء استفاده می کند. XSS مورد استفاده در اینجا می تواند برای تغییر مستقیم DOM استفاده شود. این می تواند برای تغییر تقریبا هر قسمت از صفحه وب با کاربر در تعامل باشد ، که می تواند منجر به فیشینگ شود.

ذخیره شده XSS

این نوعی XSS است که در آن کد مخرب نه تنها به کاربر بازگردد بلکه به پایگاه داده سرور که برنامه وب در آن میزبانی می شود ، همچنان ادامه دارد (ذخیره می شود). این نوع XSS حتی خطرناک تر است زیرا می تواند مجدداً برای حمله به چندین قربانی استفاده شود زیرا در آن ذخیره شده است (برای استفاده بعدی). این می تواند در شرایطی باشد که ارسال های فرم توسط کاربران قبل از ارسال به پایگاه داده به خوبی تأیید نشود.

به طور کلی ، XSS می تواند از هر نوع ترکیب باشد. یک حمله واحد هم می تواند منعکس شود و هم ادامه یابد. تکنیک های به کار رفته در اجرای حمله نیز ممکن است متفاوت باشد اما شامل مشترکاتی با موارد ذکر شده در بالا است.

برخی از مرورگرهای اصلی ، مانند Chrome و Edge به عنوان یک ویژگی امنیتی ، پروتکل های امنیتی مشتری خود را برای جلوگیری از حملات XSS موسوم به X-XSS-Protection ایجاد کردند. Chrome دارای حسابرس XSS بود که در سال 2010 معرفی شد تا حملات XSS را تشخیص دهد و در هنگام شناسایی چنین صفحات وب را متوقف کند. با این حال ، این به نظر می رسد كمتر از آنچه كه در ابتدا امیدوار بود مفید باشد و بعداً پس از آنكه محققان متوجه ناسازگاری در نتایج آن و موارد مثبت برداشت نادرست شدند ، حذف شدند.

حملات XSS یک مشکل دشوار برای مقابله با طرف مشتری است. مرورگر Edge همچنین دارای فیلتر XSS بود که بعداً بازنشسته شد. وب سایت Firefox ، به عنوان MDN (Mozilla Developer Network) وب سایت آن را دارد,

Firefox X-XSS-Protection را اجرا نکرده و نخواهد کرد

ردیابی شخص ثالث

بخش مهم دیگر ایجاد حریم خصوصی آنلاین این است که در مورد کوکی های ردیابی شخص ثالث باهوش باشید. کوکی ها به طور کلی در وب خوب به حساب می آیند ، زیرا آنها توسط وب سایت ها برای شناسایی منحصر به فرد کاربران استفاده می شوند و می توانند براساس آن تجربه مرور کاربر را تنظیم کنند. این مورد در مورد وب سایت های تجارت الکترونیکی که در آن از کوکی ها برای نگه داشتن جلسه خرید شما استفاده می کنند و همچنین مواردی را که به سبد خرید اضافه کرده اید نیز نگه داشته می شود. این نوع کوکی ها به عنوان کوکی های شخص اول شناخته می شوند. بنابراین وقتی در سایت های geekflare.com جستجو می کنید ، کوکی هایی که توسط geekflare.com استفاده می شود کوکی های شخص ثالث هستند (موارد خوب).

همچنین موارد کمی از کوکی های شخص ثانویه وجود ندارد ، که وب سایت ها کوکی های شخص اول خود را به سایت دیگری ارائه می دهند (یا می فروشند) برای ارائه تبلیغات به کاربر. در این مثال ، کوکی ها می توانند به عنوان شخص ثانویه در نظر گرفته شوند. کوکی های شخص ثالث کوکی های تبلیغاتی بزرگی هستند که برای ردیابی در سطح سایت و تبلیغات دوباره هدفمند استفاده می شوند.

اینها کوکی هایی هستند که بدون اطلاع و رضایت کاربر در مرورگرهای کاربران برای به دست آوردن اطلاعاتی در مورد کاربر و انواع پروفایل داده ها ، مانند وب سایت هایی که کاربر از آنها بازدید می کند ، جستجو می کند ، ISP (ارائه دهنده خدمات اینترنت) که کاربر استفاده می کند ، مشخصات لپ تاپ قرار می گیرد. قدرت باتری و غیره از این اطلاعات برای شکل دادن نمایه اطلاعات اینترنتی در اطراف کاربر استفاده می شود ، به گونه ای که می تواند برای تبلیغات هدفمند مورد استفاده قرار گیرد. مهاجمین که این نوع اطلاعات را سرقت می کنند ، معمولاً این کار را به نوعی داده کاوی انجام می دهند و می توانند این داده ها را به شبکه های تبلیغاتی بزرگ بفروشند.

Firefox ، در سپتامبر سال 2019 اعلام کرد که کوکی های ردیابی شخص ثالث را به طور پیش فرض در رایانه رومیزی و مرورگر موبایل مسدود خواهد کرد. این تیم از این روش به عنوان حفاظت ردیابی پیشرفته نام بردند ، که در نوار آدرس مرورگر با یک نماد سپر نشان داده شده است.

مرورگر سافاری در دستگاه های اپل همچنین ردیابی کوکی های شخص ثالث کاربران خود در وب را مسدود می کند.

در Chrome ، کوکی های ردیابی شخص ثالث به طور پیش فرض مسدود نمی شوند. برای فعال کردن این ویژگی ، روی سه نقطه عمودی در گوشه سمت راست بالای پنجره مرورگر کلیک کنید تا یک بازشو را فاش کنید ، سپس بر روی تنظیمات ، در تب تنظیمات ، در سمت چپ کلیک کنید ، روی حریم خصوصی و امنیت کلیک کنید ، سپس بر روی تنظیمات سایت کلیک کنید ، سپس روی کوکی ها و داده های سایت کلیک کنید ، سپس گزینه ای که خوانده شده کوکی های شخص ثالث را بلوک کند.

Cryptominers

برخی از وب سایتهای اینترنتی حاوی اسکریپت استخراج رمزگذاری توسط مالک وب سایت یا شخص ثالث هستند. این اسکریپت ها به مهاجم امکان می دهد تا از منابع محاسباتی قربانی برای مین های رمزگذاری شده استفاده کند.

اگرچه ، برخی از صاحبان وب سایت معمولاً در هنگام ارائه خدمات رایگان این کار را به عنوان وسیله ای برای تأمین بودجه انجام می دهند و استدلال می کنند که مبلغ کمی برای پرداخت هزینه خدمات خود ارائه می دهد. این مجموعه وب سایت ها معمولاً پیام هایی را برای کاربر ایجاد می کنند تا از هزینه استفاده از خدمات خود آگاه شوند. با این حال ، بسیاری از وب سایت های دیگر این کار را بدون اطلاع کاربر انجام می دهند. که می تواند به استفاده جدی از منابع PC منجر شود. از این رو ، مهم است که این موارد مسدود شود.

برخی از مرورگرها برای مسدود کردن اسکریپت هایی مانند Firefox ، برنامه های داخلی دارند که تنظیماتی برای مسدود کردن رمزنگاری ها در وب و موبایل دارد. به همین ترتیب اپرا. برای کروم و سافاری ، برنامه های افزودنی برای دستیابی به همین مورد نیاز است تا روی مرورگر شما نصب شود.

اثر انگشت مرورگر

همانطور که در تعریف شده است ویکیپدیا,

آ اثر انگشت دستگاه یا اثر انگشت دستگاه اطلاعات جمع آوری شده در مورد نرم افزار و سخت افزار دستگاه محاسبات از راه دور به منظور شناسایی است.

اثر انگشت مرورگر ، اطلاعات اثر انگشت است که از طریق مرورگر کاربر جمع آوری می شود. در واقع مرورگر کاربر می تواند اطلاعات زیادی در مورد استفاده از دستگاه ارائه دهد. در اینجا حتی از برچسب های html5 `برای اثر انگشت استفاده می شود. اطلاعاتی مانند مشخصات دستگاه مانند اندازه حافظه دستگاه ، عمر باتری دستگاه ، مشخصات CPU و غیره. یک قطعه از اطلاعات اثر انگشت همچنین می تواند آدرس IP واقعی و موقعیت جغرافیایی کاربر را نشان دهد.

برخی از کاربران معتقدند که استفاده از حالت ناشناس در مرورگرها از اثر انگشت محافظت می کند ، اما اینگونه نیست. حالت خصوصی یا ناشناس واقعاً خصوصی نیست. فقط کوکی ها را ذخیره نمی کند و یا تاریخچه را به صورت محلی در مرورگر مرور نمی کند. با این حال ، این اطلاعات هنوز در وب سایت بازدید شده ذخیره می شود. از این رو ، اثر انگشت در چنین دستگاهی هنوز امکان پذیر است.

نشت وب RTC

وب RTC (ارتباط در زمان واقعی). وب RTC به عنوان یک ارتباط جدی برای برقراری ارتباط در زمان واقعی از طریق وب به وجود آمد. بر اساس وب سایت RTC.

با WebRTC ، می توانید قابلیت های ارتباطی در زمان واقعی را به برنامه خود اضافه کنید که بالاتر از یک استاندارد باز کار می کند. این برنامه از داده های ویدیویی ، صوتی و عمومی پشتیبانی می شود که بین همسالان ارسال می شود و به توسعه دهندگان امکان می دهد راه حل های قدرتمند ارتباطات صوتی و تصویری ایجاد کنند.

جالب اینجاست که در سال 2015 ، یک کاربر GitHub (‘diafygi’) برای اولین بار یک آسیب پذیری را در وب RTC منتشر کرد که اطلاعات مختلفی را در مورد یک کاربر نشان می دهد ، مانند آدرس IP محلی ، آدرس IP عمومی ، قابلیت های رسانه ای دستگاه (مانند میکروفون ، دوربین ، و غیره).

وی توانست این کار را با انجام کاری که به عنوان درخواستهای STUN شناخته شده است به مرورگر انجام دهد تا آن اطلاعات را فاش کند. او یافته های خود را در اینجا منتشر کرد -> https://github.com/diafygi/webrtc-ips.

از آن زمان ، مرورگر ویژگی های امنیتی بهتری را برای محافظت در برابر این پیاده سازی کرده است. با این حال ، بهره برداری نیز در طول سال ها بهتر شده است. این بهره برداری هنوز تا امروز باقی مانده است. با اجرای ممیزی های امنیتی ساده ، کاربر می تواند ببیند که چقدر می تواند اطلاعات را از یک نشت اطلاعات وب RTC بدست آورد.

در Chrome می توان برخی از برنامه های افزودنی را برای ارائه محافظت در برابر نشت RTC نصب کرد. به همین ترتیب در Firefox با افزونه‌ها نیز استفاده کنید. Safari گزینه ای برای غیرفعال کردن وب RTC دارد. با این وجود ، این ممکن است بر استفاده از برخی برنامه های وب چت در زمان واقعی از طریق مرورگر تأثیر بگذارد.

مرور از طریق پروکسی

به نظر می رسد پراکسی های وب رایگان با جستجوی ترافیک وب خود روی سرورهای ناشناس ، به شما در حفظ حریم شخصی بهتر کمک می کنند. برخی از کارشناسان امنیتی نگرانی هایی در مورد چگونگی حفظ حریم خصوصی این امر دارند. این پروکسی ها ممکن است کاربر را از اینترنت باز محافظت کنند اما نه از سرورهایی که ترافیک اینترنت از طریق آن عبور می کند. از این رو ، استفاده از یک پروکسی وب مخرب و رایگان که برای جمع آوری داده های کاربر ساخته شده است می تواند دستورالعمل فاجعه باشد. در عوض از پروکسی حق بیمه استفاده کنید.

نحوه تست امنیت مرورگر?

تست های مرورگر به شما این بینش را می دهد که چقدر می تواند یک مهاجم از طریق مرورگر از شما اطلاعاتی دریافت کند و آنچه را که باید برای محافظت از آن انجام دهید.

مرورگر Qualys بررسی کنید

BrowserCheck توسط Qualys بررسی سریع در مرورگر شما برای کوکی های ردیاب و آسیب پذیری های شناخته شده است.

جستجوگر Cloudflare ESNI

Cloudflare بررسی سریع در پشته DNS و TLS مرورگر شما برای آسیب پذیری.

آنالیز حریم خصوصی

آنالیز حریم خصوصی مرورگر خود را برای هر نوع حفره خصوصی ، از جمله تحلیل اثر انگشت ، اسکن می کند.

پانوپتیکلیک

پانوپتیکلیک ارائه می دهد برای کوکی های ردیابی شخص ثالث تست ، و همچنین یک افزونه کروم برای جلوگیری از ردیابی بیشتر ارائه می دهد.

وب سایت

وب سایت نمایی سریع از اطلاعاتی که مرورگر شما به آسانی ارائه می دهد فراهم می کند.

سازگاری SSL / TLS

بررسی اگر مرورگر شما در برابر آسیب پذیری TLS آسیب پذیر است.

SSL من چگونه است?

دور تا دور بررسی سطح SSL در مرورگر خود این تست برای فشرده سازی TLS ، مجموعه های Cipher ، پشتیبانی بلیط جلسه و موارد دیگر است.

AmIUnique

شما هستید?

AmIUnique بررسی می کند اثر انگشت مرورگر شما در هر اثر انگشت قبلاً جمع آوری شده در جهان بوده است.

نحوه سخت کردن مرورگرها?

شما باید نسبت به حریم خصوصی و امنیت آنها پیشگیرانه تر عمل کنید ، از این رو باید مطمئن باشید که در چه تنظیمات امنیتی در مرورگر موجود است. هر مرورگر دارای تنظیمات حریم خصوصی و امنیتی است ، که به کاربر امکان کنترل اطلاعاتی را که می تواند به وب سایت ها بدهد اعطا می کند. در اینجا کمی راهنمایی در مورد تنظیمات حریم خصوصی در مرورگر شما ارائه شده است.

  • درخواست های “پیگیری” را به وب سایت ها ارسال نکنید
  • همه کوکی های شخص ثالث را مسدود کنید
  • ActiveX و فلش را غیرفعال کنید
  • همه افزونه ها و افزونه های غیر ضروری را حذف کنید
  • افزونه های حریم خصوصی یا افزونه ها را نصب کنید.

از یک مرورگر با محوریت حفظ حریم خصوصی در موبایل یا دسک تاپ استفاده کنید.

شما همچنین ممکن است استفاده از یک حق بیمه VPN را در نظر بگیرید ، که از طریق ردیاب ها ، اسکنرها و انواع گزارشگرهای اطلاعاتی نامرئی را از طریق اینترنت ارائه می دهد. شخصی بودن کاملاً خصوصی در اینترنت با VPN است. خدمات VPN “رایگان” با این وجود ، مشکلات مشابهی را در بالا در مورد پراکسی های رایگان مورد بحث قرار می دهند ، شما هرگز مطمئن نیستید که از طریق کدام سرور وب ترافیک خود را طی می کنید. از این رو نیاز به یک سرویس VPN قابل اعتماد ، که امنیت بسیار بهتری را فراهم می کند.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map