Ստուգեք ձեր զննարկչի անվտանգությունը խոցելիության համար

Թե որքանով է անվտանգ ձեր զննարկիչը?


Որքա՞ն տեղեկատվություն կարելի է ստանալ ձեր առցանց զննարկման պրոֆիլից?

Ինչու՞ եք թվում, թե ինչ եք տեսնում գովազդներ `կապված ձեր որոնման, վերջերս գնած կամ կարդացածի հետ?

Ո՞րն է ձեր պրոֆիլն ամբողջությամբ ենթարկելու ծախսը?

Ինչպե՞ս կարող եք ավելի լավ պաշտպանել ձեր առցանց գաղտնիությունը?

Այս և ավելի շատ հարցեր են այն, ինչ հուսով է, որ այս հոդվածը կօգնի ձեզ պատասխանել և տրամադրել ուղիներ, որոնց միջոցով կարող եք ավելի լավ պաշտպանել ձեր առցանց գաղտնիությունը.

Կարևոր է նշել, որ այն ընկերությունները, որոնք օգտագործում են բրաուզերներ, որոնք մենք առավել հաճախ օգտագործում ենք ՝ Google- ի (Chrome), Mozilla (Firefox), Apple- ի (Safari), Microsoft- ի (Edge), Օպերայի և այլնի հավանումները, հնարավորինս փորձեք պաշտպանել օգտագործողներին և նրանց անձնական տեղեկությունները այս ապրանքներն օգտագործելիս: Հետևաբար, այս հոդվածը ուղղված չէ այդ ջանքերը խաթարելուն, այլ օգնելու ձեզ ՝ օգտագործողը կատարել կրթված ընտրություն ՝ այս և այլ զննարկիչներն օգտագործելիս տարբեր գործունեության համար.

Ինտերնետը մեր դարպասն է դեպի աշխարհ, որպեսզի օգնի մեզ գործնականում հասնել ցանկացած վայրի տեղեկատվության, առևտրի, բիզնեսի, կապի և մնացած բոլոր կարիքների ու անհրաժեշտությունների համար: Հետևաբար, ինքներս մեզ ապահովելու անհրաժեշտությունը, ինչպես մենք սովորաբար կանեինք իրական կյանքում, քանի որ ինտերնետում ոչ բոլորն են անկեղծ մտադրություններ ունենում.

Թեև ձեր համակարգչում կարող եք հակավիրուսներ ունենալ, որոնք արգելափակում են համակարգչային բոլոր տեսակի չարամիտ ծրագրերը, ձեր զննարկիչը կարող է նաև խոցելի լինել: Եկեք խորը սուզվենք որոշ հնարավոր խոցելիությունների դեմ.

XSS (cross-site սցենար)

Խաչմերուկի գրությունները պարզապես կարելի է բնութագրել որպես կոդերի ներարկում (սովորաբար ՝ Javascript կոդ): Այսպիսի հարձակման նպատակը հաճախորդի միջոցով (հիմնականում զննարկիչների միջոցով) վեբ ծրագրային ապահովության փոխզիջումն է: Հարձակվողները նպատակ ունեն օգտագործել այս տեսակի հարձակումը `օգտագործելու թույլ վավերացումներ և բովանդակության անվտանգության քաղաքականության բացակայություն որոշ վեբ ծրագրերում.

Կան XSS- ի տարբեր տեսակներ; եկեք ավելի ուշադիր նայենք, թե ինչ են նրանք և ինչպես կարող են օգտագործվել.

Արտացոլեց XSS- ը

Սա XSS- ի շատ սովորական տեսակ է, որն օգտագործվում է դիմումի հաճախորդի հետ աշխատելու համար: Այստեղ ներարկված ծածկագիրը չի պահպանվում տվյալների շտեմարանին, բայց ակնկալվում է, որ պատասխան հայտ կբերի հայտատուի կողմից հաճախորդի կողմից: Հետևաբար անունը «արտացոլված է»: Այս հարձակումը հաջողությամբ գործում է այն դեպքում, երբ հավելվածը ներառում է օգտվողի մուտքագրում և վերադարձնում է այդ մուտքը որոշ վերամշակումից հետո ՝ առանց տվյալների բազայում պահելու: Ընդհանուր օրինակ է մանրանկարչության զրուցարանային ֆորումը, որտեղ հաղորդագրությունները չեն պահպանվում տվյալների բազայում: Նման դեպքերում դիմումը հաշվի է առնում օգտվողի մուտքերը և դրանք HTML- ի արդյունքը տալիս: Հարձակվողը կարող է վնասակար գրություն մուտքագրել այդ զրուցի ֆորումում, օրինակ ՝ փոխել ծրագրի ձևը կամ գույները ՝ մուտքագրելով CSS- ի սցենարային պիտակների.

Դա կարող է վատթարանալ հավելվածի այլ օգտվողների համար, քանի որ սցենարը ըստ էության կկատարվի իրենց զննարկիչներում, ինչը կարող է հանգեցնել տեղեկատվության գողության, ինչպես ՝ զննարկչի վրա պահված ձեր ինքնաբերաբար լրացման տեղեկությունները գողանալուց: Բազմաթիվ օգտագործողներ նախընտրում են սովորաբար տպել տեղեկատվությունը անունների, հասցեի և վարկային քարտերի վերաբերյալ ձևերի վրա, ինչը տվյալ դեպքում վատ գաղափար է.

DOM XSS

DOM – Document Object Model, այն ծրագրավորման միջերեսն է, որը մեկնաբանում է վեբ էջերում օգտագործված HTML- ը (կամ XML) և, հետևաբար, սահմանում է տվյալ կայքի որոշակի տրամաբանական կառուցվածքը: XSS- ի այս տեսակը շահագործում է վեբ հավելվածը ոչ-ներսային javascript կոդով այն էջանշանի մեջ, որը կազմում է վեբ-էջը: Այստեղ օգտագործվող XSS- ը կարող է օգտագործվել DOM- ի ուղղակի փոփոխության համար: Սա կարող է օգտագործվել օգտագործողի հետ փոխկապակցված վեբ-էջի գրեթե ցանկացած մասի փոփոխության համար, ինչը կարող է հանգեցնել ֆիշինգին.

Պահպանված XSS

Սա XSS- ի մի տեսակ է, որտեղ վնասակար ծածկագիրը ոչ միայն արտացոլվում է օգտագործողին, այլև համառորեն պահպանվում է (պահվում է) այն վեբ-սերվերի տվյալների բազայում, որի վրա հյուրընկալվում է վեբ հավելվածը: XSS- ի այս տեսակը նույնիսկ ավելի վտանգավոր է, քանի որ այն կարող է կրկին օգտագործվել բազմաթիվ զոհերի հարձակման համար, քանի որ այն պահվում է (հետագա օգտագործման համար): Սա կարող է լինել այն դեպքում, երբ օգտագործողների կողմից ձևի ներկայացումները լավ չեն վավերացվել նախքան տվյալների շտեմարան ուղարկվելը.

Ընդհանրապես, XSS- ը կարող է լինել ցանկացած տեսակի համակցություն. մի գրոհ կարող էր արտացոլվել և շարունակվել: Հարձակումն իրականացնելու համար օգտագործվող տեխնիկան կարող է նաև տարբեր լինել, բայց պարունակում է ընդհանրություններ վերը նշվածների հետ.

Որոշ խոշոր բրաուզերներ, ինչպիսիք են Chrome- ը և Edge- ը, որպես անվտանգության առանձնահատկություն, մշակել են իրենց հաճախորդների անվտանգության արձանագրությունները `խուսափելու XSS հարձակումներից, որը հայտնի է որպես X-XSS-Protection: Chrome- ը ուներ XSS աուդիտոր, որը ներդրվեց 2010 թ.-ին `XSS գրոհները հայտնաբերելու և այդպիսի վեբ-էջերի հայտնաբերումը դադարեցնելու համար: Այնուամենայնիվ, պարզվեց, որ դա ավելի քիչ օգտակար էր, քան նախապես հույսն էր տալիս և հետագայում հանվեց այն բանից հետո, երբ հետազոտողները նկատեցին անհամապատասխանություններ դրա արդյունքների և կեղծ դրական ընտրության դեպքերի հետ:.

XSS գրոհները հաճախորդի կողմից լուծելու դժվար մարտահրավեր են: Edge զննարկիչը ուներ նաև XSS ֆիլտր, որը հետագայում թոշակի անցավ: Firefox- ի համար, քանի որ ունի MDN (Mozilla Developer Network) կայքը,

Firefox- ը չունի և չի իրականացնելու X-XSS- պաշտպանություն

Երրորդ կողմի հետևում

Ձեր առցանց գաղտնիության հաստատման ևս մեկ կարևոր մասն է `խնայողաբար վերաբերվել երրորդ կողմի հետևորդական բլիթներին: Cookie- ները, ընդհանուր առմամբ, լավ են համարվում համացանցում, քանի որ դրանք օգտագործվում են վեբ-կայքերի կողմից օգտագործողներին յուրովի ճանաչելու և համապատասխանաբար հարմարեցնելու համար օգտագործողի զննման փորձը: Նման դեպք է էլեկտրոնային առևտրի կայքերի համար, որտեղ նրանք օգտագործում են թխուկներ ՝ ձեր գնումների նիստը պահելու համար, ինչպես նաև զամբյուղում ավելացված իրերը պահելու համար: Այս տեսակի բլիթները հայտնի են որպես առաջին կողմի թխուկներ: Այսպիսով, երբ դուք զննում եք կայքեր geekflare.com- ում, geekflare.com- ի կողմից օգտագործվող բլիթները առաջին կողմի թխուկներ են (լավերը).

Քիչ չեն նաև երկրորդ կողմի cookie- ների դեպքերը, երբ կայքերը առաջարկում են (կամ վաճառել) իր առաջին կողմի բլիթները մեկ այլ կայք ՝ օգտագործողին գովազդներ մատուցելու համար: Այս դեպքում թխուկները կարող են համարվել երկրորդ կողմ: Երրորդ կողմի բլիթները այն մեծ գովազդներն են, որոնց վրա հիմնված են թխուկները, որոնք օգտագործվում են խաչմերուկի հետևելու և կրկին նպատակային գովազդի համար.

Սրանք այն բլիթներն են, որոնք դրված են օգտագործողների զննարկիչներում ՝ առանց օգտագործողի գիտելիքի կամ համաձայնության, տեղեկատվություն ստանալու մասին օգտվողի և բոլոր տեսակի տվյալների պրոֆիլի մասին, ինչպես վեբ կայքեր, որոնցից օգտվողը այցելում է, որոնում, ISP (Ինտերնետային ծառայություններ մատուցող), որն օգտագործողը օգտագործում է, նոութբուքի առանձնահատկությունները: , մարտկոցի ուժը և այլն: Այս տեղեկատվությունն օգտագործվում է օգտագործողի շուրջ ինտերնետային տվյալների պրոֆիլը ձևավորելու համար, այնպես, որ այն կարող է օգտագործվել նպատակային գովազդների համար: Այս տեսակի տեղեկատվությունը գողացող հարձակվողները սովորաբար դա անում են տվյալների հանքարդյունաբերության մի տեսակ և կարող են այդ տվյալները վաճառել խոշոր գովազդային ցանցերին.

Firefox- ը 2019-ի սեպտեմբերին հայտարարեց, որ այն արգելափակում է երրորդ կողմի հետևորդական cookie- ները լռելյայն ինչպես աշխատասեղանին, այնպես էլ բջջային զննարկչին: Թիմը դա անվանել է «Ընդլայնված հետևորդի պաշտպանություն», որը նշվում է զննարկչի հասցեի բարում `վահան պատկերակով.

Apple սարքերում Safari զննարկիչը նաև արգելափակում է երրորդ կողմի բլիթները ՝ իրենց օգտագործողներին ինտերնետում հետևելու միջոցով.

Chrome- ում, երրորդ կողմի հետևող cookie- ները լռելյայն չեն արգելափակվում: Այս գործառույթը միացնելու համար կտտացրեք զննարկչի պատուհանի վերևի աջ անկյունում գտնվող երեք ուղղահայաց կետերին ՝ բացելու համար, այնուհետև կտտացրեք պարամետրերը, պարամետրերի ներդիրի վրա ձախ կողմում, կտտացրեք գաղտնիության և անվտանգության, ապա կտտացրեք կայքի կայանքները, ապա կտտացրեք բլիթները և կայքի տվյալները, ապա միացրեք այն տարբերակը, որը կարդում է Block երրորդ կողմի բլիթները.

Գաղտնազերծիչներ

Ինտերնետում որոշ կայքեր պարունակում են ծպտյալ ականազերծման սցենար `կամ կայքի սեփականատիրոջ կողմից, կամ երրորդ կողմի կողմից: Այս սցենարները հարձակվողին հնարավորություն են տալիս օգտագործել զոհի հաշվարկային ռեսուրսները գաղտնալսման արժույթները հանելու համար.

Չնայած, որոշ կայքերի սեփականատերեր դա անում են որպես ֆինանսավորման միջոց սովորաբար, երբ մատուցում են անվճար ծառայություններ և պնդում են, որ դա փոքր գին է վճարելու իրենց առաջարկած ծառայությունների համար: Վեբ կայքերի այս հավաքածուները սովորաբար հաղորդագրություններ են թողնում, որ օգտագործողը տեղյակ լինի իրենց ծառայությունից օգտվելու ծախսերի մասին: Այնուամենայնիվ, շատ այլ կայքեր դա անում են առանց օգտագործողին տեղեկացնելու: Դա կարող է հանգեցնել համակարգչային ռեսուրսների լուրջ օգտագործման: Հետևաբար կարևոր է, որ այս բաները արգելափակվեն.

Որոշ զննարկիչներ ներկառուցված կոմունալ ծառայություններ ունեն `արգելափակել այնպիսի գրություններ, ինչպիսիք են Firefox- ը, որն ունի պարամետր` արգելափակելու համար կրիպտոմերատորները ինչպես ինտերնետային, այնպես էլ բջջային: Նմանապես օպերան: Chrome- ի և Safari- ի համար նույնը հասնելու համար անհրաժեշտ է ընդլայնումներ տեղադրել ձեր դիտարկիչում.

Զննարկչի մատնահետքեր

Ինչպես սահմանված է Վիքիպեդիա,

Ա սարքի մատնահետք կամ մեքենայի մատնահետք հեռավոր հաշվարկող սարքի ծրագրակազմի և ապարատի մասին հավաքագրված տեղեկատվություն նույնականացման նպատակով.

Զննարկչի մատնահետքեր են մատնահետքերի տեղեկատվությունը, որոնք հավաքվում են օգտագործողի զննարկչի միջոցով: Օգտագործողի զննարկիչը կարող է իրականում շատ տեղեկություններ հաղորդել սարքի օգտագործման մասին: Այստեղ օգտագործվում են տարբեր շահագործումներ, նույնիսկ հայտնի է, որ html5 “ պիտակները օգտագործվում են մատնահետքերի համար: Տեղեկություններ, ինչպիսիք են սարքի հիշողությունը, սարքի հիշողության չափը, սարքի մարտկոցը, պրոցեսորի ակնոցները և այլն, մատնահետքերի մի կտոր կարող է նաև բացահայտել օգտվողի իրական IP հասցեն և տեղաբաշխումը.

Որոշ օգտվողներ հակված են հավատալ, որ զննարկիչներում ինկոգնիտո ռեժիմի օգտագործումը պաշտպանում է մատնահետքերից, բայց դա այդպես չէ: Մասնավոր կամ ինկոգնիտո ռեժիմը իրականում մասնավոր չէ. դա միայն չի պահպանում բլիթները կամ զննարկիչը դիտում տեղական տեղում. այնուամենայնիվ, այս տեղեկատվությունը դեռ կպահպանվի այցելվող կայքում: Հետևաբար, նման սարքի վրա մատնահետքերը դեռ հնարավոր են.

Վեբ RTC արտահոսք

Վեբ RTC (իրական ժամանակի հաղորդակցություն): Վեբ RTC- ն ընկալվում էր ցանցում իրական ժամանակի հաղորդակցության համար: Ըստ Վեբ RTC կայք.

WebRTC- ի միջոցով կարող եք ավելացնել իրական ժամանակի հաղորդակցման հնարավորություններ ձեր դիմումին, որն աշխատում է բաց ստանդարտի վերևում: Այն աջակցում է վիդեո, ձայնային և ընդհանուր տվյալների, որոնք պետք է ուղարկվեն հասակակիցների միջև ՝ թույլ տալով, որ մշակողները կառուցեն ձայնային և վիդեո-հաղորդակցման հզոր լուծումներ.

Հետաքրքիրն այն է, որ 2015-ին GitHub- ի օգտագործողը (‘diafygi’) առաջին անգամ հրապարակեց խոցելիություն Web RTC- ում, որը բացահայտում է մի քանի տեղեկատվություն օգտվողի մասին, ինչպիսիք են Տեղական IP հասցեն, հանրային IP հասցեն, սարքի լրատվամիջոցների հնարավորությունները (օրինակ ՝ խոսափող, ֆոտոխցիկ և այլն).

Նա կարողացավ դա անել ՝ կատարելով այն, ինչ հայտնի է որպես STUN հայցող բրաուզերին ՝ այդ տեղեկությունները բաժանելու համար: Նա իր բացահայտումները հրապարակեց այստեղ -> https://github.com/diafygi/webrtc-ips.

Այդ ժամանակից ի վեր, զննարկիչը իրականացրել է անվտանգության ավելի լավ հնարավորություններ `այս ամենից պաշտպանվելու համար. այնուամենայնիվ, շահագործումը նույնպես ավելի լավն է դարձել տարիների ընթացքում: Այս շահագործումը մինչ օրս էլ մնում է: Անվտանգության պարզ աուդիտ անցկացնելով ՝ օգտագործողը կկարողանա տեսնել, թե որքան տեղեկատվություն կարող է ձեռք բերել Web RTC- ի տեղեկատվության արտահոսքից.

Chrome- ում կարող են տեղադրվել որոշ ընդլայնումներ `առաջարկելու RTC արտահոսքի պաշտպանություն: Նմանապես Firefox- ում `հավելումներով: Safari- ն Վեբ RTC- ն անջատելու տարբերակ ունի. Այնուամենայնիվ, դա կարող է ազդել զննարկչի միջոցով իրական ժամանակի զրուցի վեբ որոշ ծրագրերի օգտագործման վրա.

Փնտրում է վստահված անձի միջոցով

Անվճար վեբ վստահված անձինք, կարծես, օգնում են ավելի լավ գաղտնիություն ձեռք բերել `բարձրացնելով ձեր վեբ-երթևեկությունը« անանուն »սերվերների վրա: Անվտանգության որոշ փորձագետներ մտավախություն ունեն, թե որքանով է սա ապահովում գաղտնիությունը: Վստահված անձինք կարող են օգտվողին պաշտպանել բաց ինտերնետից, բայց ոչ այն սերվերներից, որտեղ անցնում է ինտերնետի տրաֆիկը: Հետևաբար, օգտագործողի տվյալների հավաքագրման համար ստեղծված չարամիտ «անվճար» վստահված անձի օգտագործումը կարող է աղետալի բաղադրատոմս դառնալ: Փոխարենը, օգտագործեք պրեմիում վստահված անձ.

Ինչպես փորձարկել զննարկչի անվտանգությունը?

Զննարկչի թեստերը հնարավորություն են տալիս պատկերացում կազմել այն մասին, թե հարձակվողը որքա՞ն տեղեկատվություն կարող է բխել ձեզանից զննարկչի միջոցով և ինչ պետք է անեք ՝ պաշտպանված մնալու համար:.

Qualys զննարկիչը ստուգեք

BrowserCheck- ը Qualys- ի կողմից արագ զննում է ձեր զննարկիչը ՝ tracker- ի cookie- ների և հայտնի խոցելիության համար.

Cloudflare ESNI տամախաղ

Cloudflare արագ ստուգում է ձեր զննարկչի DNS և TLS գրասալիկ խոցելիությունների համար.

Գաղտնիության վերլուծիչ

Գաղտնիության վերլուծիչ ձեր զննարկիչը սկանավորում է գաղտնիության ցանկացած տիպի, այդ թվում `մատնահետքերի վերլուծության համար.

Պանոպտիկլիկ

Պանոպտիկլիկ առաջարկում է փորձարկել երրորդ կողմի հետևելու բլիթները, ինչպես նաև առաջարկում է քրոմի երկարացում ՝ հետագա հետևումը արգելափակելու համար.

Վեբկայ

Վեբկայ տալիս է արագ պատկերացում, թե ձեր զննարկիչը ինչ տեղեկություններ է տալիս հեշտությամբ.

SSL / TLS համատեղելիություններ

Ստուգեք եթե ձեր զննարկիչը խոցելի է TLS խոցելիության համար.

Ինչպե՞ս է իմ SSL- ը?

Համապարփակ SSL մակարդակի ստուգումներ ձեր զննարկիչում: Այն թեստավորում է TLS սեղմման, ծածկագրերի կոդերի, նստաշրջանի տոմսերի աջակցության և այլնի համար.

AmIUnique

Դու ես?

AmIUnique ստուգում է, եթե ձեր զննարկչի մատնահետքը նախկինում հավաքված մատնահետք է եղել աշխարհում.

Ինչպես զտել զննարկիչները?

Պետք է ավելի պրակտիկորեն վերաբերվեք նրանց գաղտնիությանն ու անվտանգությանը, հետևաբար ՝ անհրաժեշտ է վստահ լինել, թե անվտանգության որ պարամետրում առկա է զննարկիչում: Յուրաքանչյուր զննարկիչ ունի գաղտնիության և անվտանգության պարամետրեր, ինչը օգտվողին հնարավորություն է տալիս վերահսկել այն տեղեկատվությունը, որը նրանք կարող են տալ կայքեր: Ահա մի քանի ուղեցույց, թե ինչ գաղտնիության պարամետրերը պետք է տեղադրվեն ձեր զննարկիչում.

  • Ուղարկեք «Մի հետևեք» հայցերը կայքեր
  • Արգելափակեք երրորդ կողմի բոլոր թխուկները
  • Անջատեք ActiveX- ը և Flash- ը
  • Հեռացրեք բոլոր ավելորդ pluginներն ու ընդարձակումները
  • Տեղադրեք գաղտնիության ընդլայնումներ կամ լրացումներ.

Օգտագործեք գաղտնիության վրա հիմնված զննարկիչը բջջային կամ աշխատասեղանին.

Կարող եք նաև հաշվի առնել պրեմիում VPN օգտագործումը, որն առաջարկում է ինտերնետում անտեսանելիություն դիտորդների, սկաներների և բոլոր տեսակի տեղեկատվական տեղեկամատյաններից: Ինտերնետում իսկապես մասնավոր լինելը VPN- ի հետ է: «Անվճար» VPN ծառայություններն, այնուամենայնիվ, ունեն վերոնշյալ նման խնդիրներ, որոնք քննարկվել են անվճար վստահված անձանց վերաբերյալ, դուք երբեք վստահ չեք, թե որ վեբ սերվերի միջոցով եք անցնում երթևեկությունը: Հետևաբար անհրաժեշտ է հուսալի VPN ծառայություն, որը կապահովի շատ ավելի լավ անվտանգություն.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map