Toets u blaaierveiligheid vir die kwesbaarhede

Hoe veilig is u blaaier?


Hoeveel inligting kan u onttrek uit u aanlyn blaaierprofiel?

Waarom sien u advertensies wat verband hou met dinge waarna u gesoek het, wat u onlangs gekoop het, of wat u gelees het??

Wat is die koste om u profiel heeltemal bloot te stel?

Hoe kan u u aanlyn privaatheid beter beskerm??

Hierdie en meer vrae is wat hierdie artikel sal help om u te beantwoord en maniere te bied waarop u u aanlyn privaatheid beter kan beskerm.

Dit is belangrik om daarop te let dat maatskappye wat blaaiers maak wat ons die meeste gebruik, soos Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, ens. Probeer soveel moontlik om gebruikers te beskerm. en hul persoonlike inligting tydens die gebruik van hierdie produkte. Daarom is hierdie artikel nie daarop gemik om daardie pogings te ondermyn nie, maar om u te help om die gebruiker opgeleide keuses te maak wanneer hy hierdie en ander blaaiers vir verskillende aktiwiteite gebruik.

Die internet is ons toegangspoort tot die wêreld, om ons te help om oral op die plek van inligting, handel, besigheid, kommunikasie en alle ander behoeftes en behoeftes te kom. Daarom is die noodsaaklikheid om onsself te beveilig, soos ons gewoonlik in die regte wêreld sou doen, aangesien nie almal op die internet eerlike bedoelings het nie.

Alhoewel u antivirusprogramme op u rekenaar het, wat alle vorme van rekenaarmatige malware blokkeer, kan u blaaier ook kwesbaar wees. Kom ons kyk na ‘n paar moontlike kwesbaarhede.

XSS (kruis-webwerf-skrif)

Cross-site script kan eenvoudig beskryf word as ‘n kode-inspuiting (meestal Javascript-kode). Die doel van hierdie soort aanval is om die veiligheid van ‘n webtoepassing via die kliënt (meestal via blaaiers) in die gedrang te bring. Aanvallers beoog om hierdie soort aanval te gebruik om swak validerings en ‘n gebrek aan Content Security Policy (CSP) op sommige webtoepassings te benut..

Daar is verskillende soorte XSS; kom ons kyk wat hulle is en hoe dit gebruik kan word.

Weerspieël XSS

Dit is ‘n baie algemene tipe XSS wat gebruik word om met die kliënt se kant van die toepassing te werk. Die kode wat hier ingespuit word, word nie na die databasis oorgedra nie, maar dit sal na verwagting ‘n antwoord van die kliëntkant van die toepassing oproep. Vandaar dat die naam ‘weerspieël’ is. Hierdie aanval werk suksesvol in die geval waar die toepassing gebruikersinvoer opneem en die invoer na ‘n bewerking terugstuur sonder om in die databasis te stoor. ‘N Algemene voorbeeld is ‘n miniatuur-chatforum waar die boodskappe nie na die databasis oorgedra word nie. In sulke gevalle gebruik die insette deur die gebruiker en word dit as HTML weergegee. ‘N Aanvaller kan ‘n kwaadwillige skrif in daardie kletsforum invoer, soos om die ontwerp of kleure van die app te verander deur ‘n paar CSS in skripmerkers in te voer.

Dit kan erger word vir ander gebruikers van die toepassing, want die skrip sal in wese op hul blaaiers uitgevoer word, wat kan lei tot diefstal van inligting, soos om u outo-vulinligting wat in die blaaier gestoor is, te steel. Baie gebruikers verkies dat inligting wat gereeld getik word, gestoor word op vorms soos name, adresse en kredietkaartinligting, wat in hierdie geval ‘n slegte idee is.

DOM XSS

DOM – Document Object Model, is die programmeringskoppelvlak wat die HTML (of XML) wat op webblaaie gebruik word, interpreteer en dus die logiese struktuur van die spesifieke webblad definieer. Hierdie tipe XSS ontgin webtoepassing met ‘n onveilige JavaScript-kode in die opstelling wat die webblad uitmaak. XSS wat hier gebruik word, kan gebruik word om die DOM direk te verander. Dit kan gebruik word om byna enige deel van die webblad waarmee die gebruiker in wisselwerking is, te verander, wat tot phishing kan lei.

Gestoor XSS

Dit is ‘n tipe XSS waar kwaadwillige kode nie net weer na die gebruiker teruggekeer word nie, maar ook in die databasis van die webbediener waarop die webtoepassing aangebied word, voortduur (gestoor) word. Hierdie soort XSS is selfs gevaarliker omdat dit weer gebruik kan word om meerdere slagoffers aan te val omdat dit geberg word (vir latere gebruik). Dit kan die geval wees waar vormvorms deur gebruikers nie goedgekeur word voordat hulle na die databasis gestuur word nie.

Oor die algemeen kan XSS van enige aard in kombinasie wees; ‘n enkele aanval kan weerspieël en volgehou word. Tegnieke wat gebruik word om die aanval uit te voer, kan ook wissel, maar dit bevat algemeenhede soos hierbo genoem.

Sommige belangrike blaaiers, soos Chrome en Edge as ‘n sekuriteitsfunksie, het hul eie kliëntbeveiligingsprotokolle ontwikkel om XSS-aanvalle, X-XSS-Protection, te voorkom. Chrome het die XSS-ouditeur gehad, wat in 2010 bekendgestel is om XSS-aanvalle op te spoor en sodanige webbladsye te laai as dit opgespoor word. Dit is egter gevind dat dit minder behulpsaam was as wat aanvanklik gehoop is en is later verwyder nadat navorsers teenstrydighede in die resultate en gevalle van valse positiewe opgemerk het.

XSS-aanvalle is ‘n moeilike uitdaging van die kant van die kliënt af. Die Edge-blaaier het ook die XSS-filter gehad, wat later afgetree is. Vir Firefox het die webwerf soos die MDN (Mozilla Developer Network),

Firefox het nie X-XSS-beskerming nie, en implementeer dit nie

Derde-party dop

Nog ‘n belangrike deel van die vasstelling van u aanlyn privaatheid is om slim te wees met die opsporing van koekies van derdepartye. Koekies word oor die algemeen as goed beskou op die web, aangesien dit deur webwerwe gebruik word om gebruikers op ‘n unieke manier te identifiseer en om die gebruiker se blaaiervaring daarvolgens te kan aanpas. Dit is die geval op e-handelswebwerwe waar hulle koekies gebruik om u inkopiesessie te hou en ook die items wat u by die mandjie gevoeg het, hou. Hierdie soort koekies staan ​​bekend as eerste-party koekies. As u dus op geekflare.com blaai, is koekies wat deur geekflare.com gebruik word, party-koekies (die goeie).

Daar is ook min gevalle van derdeparty-koekies, waar webwerwe sy eersteparty-koekies aanbied (of verkoop) aan ‘n ander webwerf om advertensies aan die gebruiker te gee. In hierdie geval kan die koekies as ‘n tweede party beskou word. Koekies van derdepartye is die groot advertensie-gedrewe koekies wat gebruik word vir die naslaan van webwerwe en hergerigte advertensies.

Dit is koekies wat op die gebruikers se blaaiers geplaas word sonder die medewete of toestemming van die gebruiker om inligting oor die gebruiker en alle soorte dataprofiel te bekom, soos webwerwe wat die gebruiker besoek, soek, die ISP (internetdiensverskaffer) wat die gebruiker gebruik, die skootrekenaarspesifikasies , die batterykrag, ens. Hierdie inligting word gebruik om ‘n internetdataprofiel rondom die gebruiker te vorm, sodat dit vir geteikende advertensies gebruik kan word. Aanvallers wat hierdie tipe inligting steel, doen dit meestal ‘n soort data-ontginning en kan dit aan groot advertensienetwerke verkoop.

Firefox het in September 2019 aangekondig dat dit standaard koekies van derdepartye sal blokkeer op sowel die tafelblad as die mobiele blaaier. Die span het hierna verwys as Verbeterde opsporingbeskerming, wat op die adresbalk van die blaaier met ‘n skildikoon aangedui word.

Die Safari-blaaier in Apple-toestelle blokkeer ook koekies van derdepartye om hul gebruikers regoor die web op te spoor.

Op Chrome word die opspoorkoekies van derdepartye nie standaard geblokkeer nie. Om hierdie funksie in te skakel, klik op die drie vertikale kolletjies in die regter boonste hoek van die blaaiervenster om ‘n aftreklys te openbaar, klik dan op Instellings, op die instellingsoortjie, aan die linkerkant, klik op privaatheid en sekuriteit, en klik dan op webwerfinstellings, klik dan op koekies en werfdata, skakel dan die opsie aan wat lui ‘Blokkie van derdeparty’.

Cryptominers

Sommige webwerwe op die internet bevat crypto-mining-skrif óf deur die eienaar van die webwerf óf deur ‘n derde party. Hierdie skrifte stel die aanvaller in staat om die rekenaarbronne van die slagoffer te benut om cryptocurrencies te myn.

Sommige webwerf-eienaars doen dit egter as ‘n finansieringsmiddel, gewoonlik as hulle gratis dienste lewer en argumenteer dat dit ‘n geringe prys is om te betaal vir die dienste wat hulle aanbied. Hierdie stel webwerwe laat gewoonlik boodskappe vir die gebruiker om bewus te wees van die koste verbonde aan die gebruik van hul diens. Baie ander webwerwe doen dit egter sonder om die gebruiker daarvan in kennis te stel. Dit kan lei tot ernstige gebruik van rekenaarbronne. Daarom is dit belangrik dat hierdie dinge geblokkeer word.

Sommige blaaiers het ingeboude hulpprogramme om sulke skripte, soos Firefox, te blokkeer, wat ‘n instelling het om kriptominers op web sowel as mobiele toestelle te blokkeer. Net so opera. Vir Chrome en Safari moet uitbreidings op u blaaier geïnstalleer word om dieselfde te bereik.

Blaaiervingerafdruk

Soos omskryf op Wikipedia,

toestel se vingerafdruk of masjienvingerafdruk is inligting wat versamel is oor die sagteware en hardeware van ‘n afgeleë rekenaartoestel vir identifikasie.

‘N Vingerafdruk van ‘n blaaier is vingerafdrukinligting wat via die gebruiker se blaaier versamel word. Die blaaier van die gebruiker kan baie inligting verskaf oor die gebruikte toestel. Hier word verskillende benaderings gebruik, selfs daar is bekend dat html5-etikette vir vingerafdruk gebruik word. Inligting soos apparaat-spesifikasies soos die geheue van die toestel, die batterylewe van die toestel, die SVE-spesifikasies, ens. ‘N Stukkie vingerafdrukinligting kan ook die regte IP-adres en geoligging van die gebruiker openbaar.

Sommige gebruikers is geneig om te glo dat die gebruik van incognito-modus op die blaaiers beskerm teen vingerafdrukke, maar dit doen dit nie. Privaat of incognito-modus is nie regtig privaat nie; dit stoor nie koekies of blaaigeskiedenis net plaaslik op die blaaier nie; hierdie inligting sal egter steeds op die besoekte webwerf gestoor word. Vingerafdrukke is dus steeds op so ‘n toestel moontlik.

Web RTC-lekkasies

Web RTC (intydse kommunikasie). Web RTC was ‘n deurbraak vir intydse kommunikasie oor die internet. Volgens die Web RTC webwerf.

Met WebRTC kan u intydse kommunikasiemoontlikhede by u toepassing voeg wat op die top van ‘n oop standaard werk. Dit ondersteun video-, stem- en generiese data wat tussen eweknieë gestuur word, wat ontwikkelaars in staat stel om kragtige stem- en videokommunikasie-oplossings te bou.

Interessant soos dit is, in 2015 het ‘n GitHub-gebruiker (‘diafygi’) vir die eerste keer ‘n kwesbaarheid in Web RTC gepubliseer wat verskeie inligting oor ‘n gebruiker openbaar, soos die Local IP-adres, openbare IP-adres, die media se vermoëns (soos ‘n mikrofoon, kamera, ens.).

Hy kon dit doen deur die stun-versoeke aan die blaaier bekend te maak om die inligting bekend te maak. Hy het sy bevindings hier gepubliseer -> https://github.com/diafygi/webrtc-ips.

Sedertdien het die blaaier beter sekuriteitskenmerke geïmplementeer om daarteen te beskerm; die uitbuiting is egter ook oor die jare verbeter. Hierdie uitbuiting bly tot vandag toe. Deur eenvoudige sekuriteitsoudits uit te voer, sou ‘n gebruiker kan sien hoeveel inligting verkry kan word uit ‘n Web RTC-inligtingslek.

Op Chrome kan sommige uitbreidings geïnstalleer word om RTC-lekbeskerming te bied. Net so op Firefox met addons. Safari het die opsie om Web RTC uit te skakel; dit kan egter ‘n invloed hê op die gebruik van ‘n paar real-time chat-webprogramme oor die blaaier.

Blaai deur ‘n instaanbediener

Gratis webproxy’s help u om beter privaatheid te kry deur u webverkeer oor ‘anonieme’ bedieners te stuit. Sommige sekuriteitskenners is besorg oor hoeveel privaatheid dit bied. Die gevolmagtigdes kan ‘n gebruiker beskerm teen die oop internet, maar nie van die bedieners waar die internetverkeer deurgaan nie. Dus, die gebruik van ‘n kwaadwillige ‘gratis’ webmagadvies wat gebou is om gebruikersdata in te samel, kan ‘n resep vir rampe wees. Gebruik eerder ‘n premiummagtiging.

Hoe om blaaierveiligheid te toets?

Browser toetse gee u ‘n insig in hoeveel inligting ‘n aanvaller by u kan verkry via die blaaier en wat u moet doen om beskerm te bly..

Qualys BrowserCheck

BrowserCheck deur Qualys kyk vinnig in u blaaier na tracker-koekies en bekende kwesbaarhede.

Cloudflare ESNI Checker

Cloudflare kyk vinnig na die DNS- en TLS-stapel van u blaaier vir kwesbaarhede.

Privaatheid Analiseerder

Privaatheid Analiseerder skandeer u blaaier vir enige soort skuiwergate vir privaatheid, insluitend vingerafdrukontleding.

Panopticlick

Panopticlick bied aan om te toets vir derdeparty-dopkoekies, en bied ook ‘n chroom-uitbreiding om verdere sporing te blokkeer.

Webkay

Webkay gee ‘n vinnige oorsig van die inligting wat u blaaier maklik gee.

SSL / TLS-verenigbaarhede

Tjek as u blaaier kwesbaar is vir TLS-kwesbaarhede.

Hoe is my SSL?

Rondom SSL-vlakkontroles op u blaaier. Dit toets vir TLS-kompressie, chiffer-suites, sessiekaartjie-ondersteuning, en meer.

AmIUnique

Is jy?

AmIUnique kyk of u vingerafdruk van u blaaier al in ‘n voorheen versamelde vingerafdruk ter wêreld was.

Hoe om blaaiers te verhard?

U moet meer proaktief wees met hul privaatheid en sekuriteit, dus moet u seker wees van watter sekuriteitsinstellings in die blaaier beskikbaar is. Elke blaaier het instellings vir privaatheid en sekuriteit, wat die gebruiker beheer gee oor watter inligting hulle aan webwerwe kan gee. Hier is ‘n bietjie leiding oor die privaatheidinstellings wat u in u blaaier moet stel.

  • Stuur ‘Moenie spoor’-versoeke na webwerwe nie
  • Blokkeer alle koekies van derdepartye
  • Deaktiveer ActiveX en flits
  • Verwyder alle onnodige inproppe en uitbreidings
  • Installeer privaatheid-uitbreidings of addons.

Gebruik ‘n privaatheidgerigte blaaier op mobiele of rekenaar.

U kan dit ook oorweeg om ‘n premium VPN te gebruik, wat onsigbaarheid op die internet bied van spoorsnyers, skandeerders en allerhande inligtingslogboeke. Om regtig privaat te wees op die internet is met ‘n VPN. ‘Gratis’ VPN-dienste het egter soortgelyke probleme wat hierbo bespreek word oor gratis gevolmagtigdes; jy weet nooit watter webbediener jy deur die verkeer gaan nie. Vandaar die behoefte aan ‘n betroubare VPN-diens, wat baie beter sekuriteit sal bied.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map