Testoni sigurinë tuaj të shfletuesit për cenimet

Saktësisht se sa i sigurt është shfletuesi juaj?


Sa informacione mund të nxirren nga profili juaj i shfletimit në internet?

Pse duket se shihni reklama të lidhura me gjërat që keni kërkuar, blerë kohët e fundit ose lexoni për të?

Cila është kostoja e ekspozimit të plotë të profilit tuaj?

Si mund ta mbroni më mirë privatësinë tuaj në internet?

Këto dhe më shumë pyetje janë ato që ky artikull do të shpresojë të ju ndihmojë të përgjigjeni dhe të sigurojë mënyra me të cilat mund të mbroni më mirë privatësinë tuaj në internet.

Shtë e rëndësishme të theksohet se kompanitë që bëjnë shfletues që përdorim më shpesh, pëlqimet e Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etj. Mundohuni sa më shumë të jetë e mundur për të mbrojtur përdoruesit dhe informacionet e tyre personale kur përdorni këto produkte. Prandaj, ky artikull nuk ka për qëllim të minojë ato përpjekje, por për t’ju ndihmuar, përdoruesi të bëjë zgjedhje të edukuara kur përdorni këto dhe shfletues të tjerë për aktivitete të ndryshme.

Interneti është porta jonë në botë, për të na ndihmuar të arrijmë kudo në të vërtetë për informacion, tregti, biznes, komunikim dhe të gjitha nevojat dhe nevojat e tjera. Prandaj, nevoja për të siguruar veten siç do të bënim rregullisht në botën reale, pasi jo të gjithë në internet kanë qëllime të ndershme.

Ndërsa mund të keni anti-viruse në kompjuterin tuaj, që bllokojnë të gjitha llojet e malware të kompjuterit, shfletuesi juaj mund të jetë gjithashtu i prekshëm. Le të bëjmë një zhytje të thellë në disa dobësi të mundshme.

XSS (Skriptimet ndër-site)

Skriptimi në vend thjesht mund të përshkruhet si injeksion kodi (zakonisht, kodi Javascript). Qëllimi i këtij lloj sulmi është të rrezikojë sigurinë e një aplikacioni në internet përmes klientit (kryesisht përmes shfletuesve). Sulmuesit synojnë të përdorin këtë lloj sulmi për të shfrytëzuar vlerësimet e dobëta dhe mungesën e politikës së sigurisë së përmbajtjes (CSP) në disa aplikacione në internet.

Ekzistojnë lloje të ndryshme të XSS; le të shohim më nga afër se çfarë janë dhe si mund të përdoren.

Reflektuar XSS

Ky është një lloj shumë i zakonshëm i XSS i përdorur për të punuar me anën e klientit të një aplikacioni. Kodi i injektuar këtu nuk vazhdon me bazën e të dhënave, por pritet të nxjerrë një përgjigje nga ana e klientit të aplikacionit. Prandaj emri ‘pasqyrohet.’ Ky sulm funksionon me sukses në një rast kur aplikacioni merr hyrjen e përdoruesit dhe e kthen atë input pas disa përpunimeve pa ruajtur në bazën e të dhënave. Një shembull i zakonshëm është një forum miniaturë bisedash, ku mesazhet nuk vazhdojnë me bazën e të dhënave. Në raste të tilla, aplikacioni merr inputet e përdoruesit dhe i nxjerr ato si HTML. Një sulmues mund të fusë një skriptet me qëllim të keq në atë forum bisede, të tilla si ndryshimi i modelit ose ngjyrave të aplikacionit, duke futur disa CSS në etiketat e skenarit.

Mund të përkeqësohet për përdoruesit e tjerë të aplikacionit sepse skenari në thelb do të ekzekutohet në shfletuesit e tyre, gjë që mund të çojë në vjedhje informacioni, si vjedhja e informacionit tuaj të mbushjes automatike të ruajtur në shfletuesin. Shumë përdorues preferojnë të ruajnë informacionin e shtypur zakonisht në forma si emrat, adresat dhe informacionet e kartave të kreditit, që në këtë rast, është një ide e keqe.

DOM XSS

DOM – Model Object Model, është ndërfaqja e programimit që interpreton HTML (ose XML) të përdorur në faqet e internetit dhe kështu përcakton strukturën logjike të asaj faqe të veçantë. Ky lloj i XSS shfrytëzon aplikacionin në internet me kodin javascript jo-inline, në shënjimin që përbën faqen në internet. XSS i përdorur këtu mund të përdoret për të modifikuar direkt DOM-in. Kjo mund të përdoret për të ndryshuar pothuajse çdo pjesë të faqes në internet me të cilën ndërvepron përdoruesi, e cila mund të çojë në phishing.

Ruajtur XSS

Ky është një lloj i XSS ku kodi me qëllim të keq jo vetëm që reflektohet përsëri te përdoruesi, por gjithashtu vazhdon (ruhet) në bazën e të dhënave të rrjetit në të cilin është pritur aplikacioni në internet. Ky lloj i XSS është edhe më i rrezikshëm sepse mund të përdoret përsëri për të sulmuar viktima të shumta sepse është i ruajtur (për përdorim të mëvonshëm). Ky mund të jetë rasti kur parashtresat në formë nga përdoruesit nuk janë vërtetuar mirë përpara se të dërgohen në bazën e të dhënave.

Në përgjithësi, XSS mund të jetë e çdo lloj kombinimi; një sulm i vetëm mund të pasqyrohej dhe të vazhdonte. Teknikat e përdorura gjatë ekzekutimit të sulmit gjithashtu mund të ndryshojnë por përmbajnë të përbashkëta me ato të përmendura më lart.

Disa shfletues kryesorë, si Chrome dhe Edge si një veçori sigurie, zhvilluan protokollet e tyre të sigurisë së klientit për të shmangur sulmet XSS të njohura si X-XSS-Protection. Chrome kishte Auditorin XSS, i cili u prezantua në vitin 2010 për të zbuluar sulmet XSS dhe për të ndaluar ngarkimin e faqeve të tilla në internet kur zbulohet. Sidoqoftë, kjo u zbulua se ishte më pak e dobishme sesa fillimisht shpresohej dhe më vonë u hoq pasi studiuesit vunë re mospërputhje në rezultatet e saj dhe rastet e marrjes së pozitave false.

Sulmet XSS janë një sfidë e vështirë për tu marrë nga ana e klientit. Shfletuesi Edge kishte edhe filtrin XSS, i cili më vonë u tërhoq. Për Firefox-in, siç e ka në internet faqja MDN (Mozilla Developer Network),

Firefox nuk e ka, dhe nuk do të implementojë Mbrojtjen X-XSS

Ndjekja e palëve të treta

Një pjesë tjetër e rëndësishme e vendosjes së intimitetit tuaj në internet është të tregoheni të kujdesshëm në lidhje me cookie-t për ndjekjen e palëve të treta. Cookies zakonisht konsiderohen të mira në internet pasi ato përdoren nga faqet e internetit për të identifikuar në mënyrë unike përdoruesit dhe për të qenë në gjendje të përshtatin përvojën e shfletimit të përdoruesit në përputhje me rrethanat. I tillë është rasti për faqet e internetit të tregtisë elektronike ku ata përdorin cookie-t për të mbajtur seancën tuaj të blerjes dhe gjithashtu mbajnë artikujt që keni shtuar në karrocë. Këto lloj cookies njihen si cookie të palëve të para. Pra, kur jeni duke kërkuar në faqet në geekflare.com, cookies të përdorura nga geekflare.com janë cookie të palëve të para (të mirat).

Ekzistojnë gjithashtu pak raste të cookies të palëve të dyta, ku faqet e internetit ofrojnë (ose shesin) cookie-t e saj të palës së parë në një sit tjetër për t’i shërbyer reklamave përdoruesit. Në këtë rast, cookies mund të konsiderohen si palë e dytë. Cookies të palëve të treta janë cookie të mëdha të drejtuara nga reklamat që përdoren për gjurmimin në terren dhe reklama të synuara përsëri.

Këto janë cookie-t të vendosura në shfletuesit e përdoruesve pa njohuri ose pëlqim të përdoruesit për të marrë informacione rreth përdoruesit dhe të gjitha llojet e profileve të të dhënave, si faqet e internetit që viziton përdoruesi, kërkimet, ISP (Ofruesi i Shërbimit të Internetit) që përdor përdoruesi, specifikimet e laptopit , fuqia e baterisë, etj. Ky informacion përdoret për të formuar një profil të të dhënave në internet rreth përdoruesit, në mënyrë që të mund të përdoret për reklama të synuara. Sulmuesit që vjedhin këtë lloj informacioni zakonisht e bëjnë këtë një lloj të minierave të të dhënave dhe mund t’i shesin këto të dhëna në rrjete të mëdha reklamimi.

Firefox, në Shtator 2019, njoftoi se do të bllokojë cookie-t për ndjekjen e palëve të treta si parazgjedhje si në desktopin ashtu edhe në shfletuesin celular. Ekipi iu referua kësaj si mbrojtje e zgjeruar e gjurmimit, e cila tregohet në shiritin e adresave të shfletuesit me një ikonë të mburojës.

Shfletuesi Safari në pajisjet Apple bllokon gjithashtu cookie të palëve të treta nga ndjekja e përdoruesve të tyre nëpër rrjet.

Në Chrome, cookies për ndjekjen e palëve të treta nuk bllokohen si parazgjedhje. Për të mundësuar këtë veçori, klikoni në tre pikat vertikale në këndin e sipërm të djathtë të dritares së shfletuesit për të zbuluar një zbresës, pastaj klikoni cilësimet, në skedën e cilësimeve, në të majtë, klikoni në privatësinë dhe sigurinë, pastaj klikoni në cilësimet e faqes, pastaj klikoni cookies dhe të dhënat e sitit, pastaj ndryshoni opsionin që lexon Blloko cookie të palëve të treta.

Cryptominers

Disa uebfaqe në internet përmbajnë skriptet e minierave të kriptos ose nga pronari i faqes në internet ose nga një palë e tretë. Këto shkrime i mundësojnë sulmuesit të shfrytëzojë burimet e llogaritjes së viktimës për minierat e kriptoconedhave.

Edhe pse, disa pronarë të uebsajtit e bëjnë këtë si mjet financimi zakonisht kur ofrojnë shërbime falas dhe argumentojnë se është një çmim i vogël për të paguar për shërbimet që ata ofrojnë. Këto grupe faqesh në internet zakonisht lënë mesazhe që përdoruesi të jetë i vetëdijshëm për koston e përdorimit të shërbimit të tij. Sidoqoftë, shumë faqe të tjera të internetit e bëjnë këtë pa e informuar përdoruesin. E cila mund të çojë në përdorim serioz të burimeve të PC. Prandaj, është e rëndësishme që këto gjëra të bllokohen.

Disa shfletues kanë pajisje të integruara për të bllokuar skriptet e tilla si Firefox, e cila ka një mjedis për të bllokuar kriptominerët si në internet ashtu edhe në celular. Po kështu edhe opera. Për Chrome dhe Safari, shtesë duhet të instalohen në shfletuesin tuaj për të arritur të njëjtën gjë.

Shtypja e gishtave të shfletuesit

Siç përcaktohet në Wikipedia,

gjurmët e gishtit të pajisjes ose gjurmë gishti makine është informacion i mbledhur në lidhje me softverin dhe harduerin e një pajisje informatike në distancë me qëllim identifikimi.

Një shtypje e gishtave e shfletuesit është informacioni i gjurmëve të gishtërinjve të mbledhura përmes shfletuesit të përdoruesit. Shfletuesi i një përdoruesi në të vërtetë mund të sigurojë shumë informacione në lidhje me pajisjen që është përdorur. Shfrytëzime të ndryshme përdoren këtu madje edhe etiketat html5 “ janë njohur që përdoren për gjurmët e gishtave. Informacione si specifikimet e pajisjes, siç janë madhësia e kujtesës së pajisjes, kohëzgjatja e baterisë së pajisjes, specifikat e CPU, etj. Një pjesë e informacionit të gjurmëve të gishtërinjve gjithashtu mund të zbulojnë adresën IP të vërtetë të përdoruesit dhe gjeokokimin..

Disa përdorues kanë tendencën të besojnë se përdorimi i modalitetit jo njohës në shfletues mbron nga gjurmët e gishtërinjve, por nuk ndodh. Mënyra private ose e paditur nuk është vërtet private; nuk kursen vetëm cookie-t ose shfletimin e historisë në vend në shfletues; megjithatë, ky informacion do të ruhej ende në uebfaqen e vizituar. Prandaj shtypja e gishtërinjve është ende e mundur në një pajisje të tillë.

Rrjedhje në internet RTC

Web RTC (Komunikim në kohë reale). Ueb RTC erdhi si një zbulim për komunikimin në kohë reale në internet. Sipas Uebfaqja në internet RTC.

Me WebRTC, mund të shtoni aftësi komunikimi në kohë reale në aplikacionin tuaj që funksionon mbi një standard të hapur. Mbështet të dhënat video, zëri dhe gjenerike që duhen dërguar ndërmjet bashkëmoshatarëve, duke lejuar zhvilluesit të ndërtojnë zgjidhje të fuqishme për zë dhe video-komunikim.

Asshtë interesante siç është, Në vitin 2015, një përdorues i GitHub (‘diafygi’) publikoi për herë të parë një cenueshmëri në Web RTC i cili zbulon disa informacione për një përdorues, siç janë Adresa IP lokale, IP adresa publike, aftësitë mediatike të pajisjes (si p.sh. mikrofoni, kamera, etj).

Ai ishte në gjendje ta bënte këtë duke bërë atë që njihet si kërkesa STUN në shfletuesin për të nxjerrë atë informacion. Ai i publikoi gjetjet e tij këtu -> https://github.com/diafygi/webrtc-ips.

Që atëherë, shfletuesi ka zbatuar veçori më të mira sigurie për tu mbrojtur nga kjo; megjithatë, shfrytëzimi është bërë edhe më i mirë ndër vite. Ky shfrytëzim mbetet ende deri më sot. Duke ekzekutuar auditime të thjeshta sigurie, një përdorues do të jetë në gjendje të shohë se sa informacione mund të merren nga një rrjedhje e informacionit në Internet RTC.

Në Chrome, disa shtesa mund të instalohen për të ofruar mbrojtje nga rrjedhja RTC. Po kështu në Firefox me shtesa. Safari ka një mundësi për të çaktivizuar Web RTC; megjithatë, kjo mund të ndikojë në përdorimin e disa aplikacioneve të bisedave në kohë reale në shfletuesin.

Shfletimi përmes një përfaqësuesi

Proxies falas në internet duket se ju ndihmojnë të merrni një intimitet më të mirë duke kërcyer trafikun tuaj në internet mbi serverat “anonimë”. Disa ekspertë të sigurisë kanë shqetësime se sa siguron intimiteti. Proxies mund të mbrojnë një përdorues nga Interneti i hapur, por jo nga serverët ku kalon trafiku në internet. Prandaj, përdorimi i një proxy të pa qëllimshëm të internetit të krijuar për të korrur të dhëna të përdoruesit mund të jetë një recetë për katastrofë. Në vend të kësaj, përdorni një përfaqësues premium.

Si të provoni sigurinë e shfletuesit?

Testet e shfletuesit ju japin një pasqyrë se sa informacione mund të nxjerrë një sulmues nga ju përmes shfletuesit dhe çfarë duhet të bëni për të qëndruar i mbrojtur.

Shfletoni Kontrollin e Qualys

BrowserCheck nga Qualys bën një kontroll të shpejtë në shfletuesin tuaj për cookies-tracker dhe dobësitë e njohura.

Kontrollues i Cloudflare ESNI

CloudFlare bën një kontroll të shpejtë në rafte DNS dhe TLS të shfletuesit tuaj për dobësitë.

Analizuesi i privatësisë

Analizuesi i privatësisë skanon shfletuesin tuaj për çdo lloj zbrazëtie të intimitetit, përfshirë analizën e gjurmëve të gishtërinjve.

Panopticlick

Panopticlick ofron për të provuar cookies për ndjekjen e palëve të treta, dhe gjithashtu ofron një shtrirje kromi për të bllokuar ndjekjen e mëtejshme.

Webkay

Webkay ofron një pamje të shpejtë të informacionit që shfletuesi juaj jep me lehtësi.

Përputhjet SSL / TLS

kontrolloni nëse shfletuesi juaj është i prekshëm ndaj cenueshmërisë TLS.

Si është SSL ime?

Gjithandej Kontrollet e nivelit SSL në shfletuesin tuaj. Teston për kompresim TLS, suita Cipher, mbështetje të biletave të sesionit dhe më shumë.

AmIUnique

Jeni ju?

AmIUnique kontrollon nëse gjurmët e gishtave të shfletuesit tuaj kanë qenë në ndonjë gjurmë gishtash të mbledhur më parë në botë.

Si të ngurtësoni shfletuesit?

Ju duhet të jeni më proaktivë ndaj intimitetit dhe sigurisë së tyre, kështu që duhet të jeni të sigurt se çfarë cilësie sigurie është në dispozicion në shfletuesin. Do shfletues ka parametrat e privatësisë dhe sigurisë, i cili i jep kontrollin e përdoruesit mbi atë informacion që mund t’i japë faqeve të internetit. Këtu keni disa udhëzime se çfarë cilësimet e intimitetit duhet të vendosni në shfletuesin tuaj.

  • Dërgoni “Mos gjurmoni” kërkesat në faqet e internetit
  • Bllokoni të gjitha cookie të palëve të treta
  • Disaktivizoni ActiveX dhe blic
  • Hiqni të gjitha shtojcat dhe shtesat e panevojshme
  • Instaloni shtesat ose shtesat e intimitetit.

Përdorni një shfletues të përqendruar në intimitet në celular ose në desktop.

Ju gjithashtu mund të konsideroni përdorimin e një VPN premium, i cili ofron padukshmëri në Internet nga gjurmuesit, skanerët dhe të gjitha llojet e prerësve të informacionit. Të jesh vërtet privat në Internet është me një VPN. Shërbimet “falas” VPN, megjithatë, kanë probleme të ngjashme të diskutuara më lart në lidhje me proxies falas, ju kurrë nuk jeni të sigurt se në cilin server të internetit që trafiku po kalon. Prandaj, nevoja për një shërbim të besueshëm VPN, i cili do të sigurojë siguri shumë më të mirë.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map