- Насколько именно безопасен Ваш браузер?
- Сколько информации можно извлечь из вашего профиля в интернете?
- Почему вы видите рекламу, связанную с вещами, которые вы искали или недавно купили?
- Какова стоимость полного раскрытия вашего сетевого профиля?
- Как вы можете защитить свою частную жизнь в интернете?
На эти и многие другие вопросы ответил Idris Lawal в статье на geekflare.
Важно отметить, что компании, разрабатывающие браузеры, которые мы используем чаще всего, такие как Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera и т. д. стараются максимально защитить пользователей и их личную информацию при использовании их. Поэтому данная статья не направлена на подрыв репутации компаний-производителей, а на то, чтобы помочь пользователю сделать обоснованный выбор браузера.
Idris Lawal пишет, что на вашем компьютере могут быть установлены антивирусы, блокирующие все виды компьютерных вредоносных программ, но ваш браузер может быть уязвимым местом.
XSS (межсайтовые скрипты)
Межсайтовые сценарии (XSS) можно просто описать как инъекцию кода (обычно это код Javascript). Цель такого рода атак состоит в том, чтобы поставить под угрозу безопасность веб-приложения через клиент (в основном через браузеры). Злоумышленники используют этот вид атаки при слабых проверках, а также отсутствия политики безопасности контента (CSP) в некоторых веб-приложениях.
Некоторые крупные браузеры, такие как Chrome и Edge разработали свои собственные протоколы безопасности клиентов, чтобы избежать атак XSS, известных как X-XSS-Protection. У Chrome был аудитор XSS, который был представлен в 2010 году для обнаружения атак XSS и остановки загрузки таких веб-страниц при обнаружении. Однако это оказалось менее полезным, чем первоначально предполагалось, и позже было удалено после того, как исследователи заметили несоответствия в его результатах и случаях выбора ложных срабатываний. Firefox не обеспечивает и не будет обеспечивать X-XSS-защиту.
Стороннее отслеживание
Сookie. Сookie-файлы используются веб-сайтами для уникальной идентификации пользователей и для того, чтобы иметь возможность соответствующим образом адаптировать пользовательский опыт просмотра. Например, интернет-магазины используют файлы cookie, чтобы сохранить товары, которые вы добавили в корзину. Эти виды файлов cookie известны как файлы cookie первого лица.
Существует также несколько случаев использования сторонних файлов cookie, когда веб-сайты предлагают (или продают) свои первичные файлы cookie другому сайту для показа рекламы пользователю. В этом случае файлы cookie могут рассматриваться как сторонние. Злоумышленники, которые крадут сторонние cookie продают их в крупные рекламные сети.
Firefox в сентябре 2019 года объявил, что он будет блокировать сторонние cookie по умолчанию, назвав это усиленной защитой от отслеживания. Браузер Safari на устройствах Apple также блокирует сторонние файлы cookie для отслеживания пользователей в интернете. В Chrome сторонние cookie отслеживания по умолчанию не блокируются.
Криптомайнеры
Некоторые сайты в интернете содержат скрипт крипто-майнинга, вставленный либо самим владельцем сайта, либо третьей стороной. Эти сценарии позволяют злоумышленнику использовать вычислительные ресурсы жертвы для майнинга криптовалют.
Некоторые браузеры имеют встроенные утилиты для блокировки таких скриптов, например у Firefox и Opera есть настройку для блокировки криптоминеров как в интернете, так и на мобильных устройствах. Для Chrome и Safari расширения для блокировки майнеров необходимо установить дополнительно.
Отпечатки в браузерах
Отпечаток пальца устройства или машины-это информация, собранная о программном и аппаратном обеспечении удаленного вычислительного устройства с целью идентификации.
Browser Fingerprinting (отпечатки пальцев в браузере) — это информация об отпечатках пальцев, собранная через браузер пользователя. Браузер пользователя на самом деле может предоставить много информации об используемом устройстве.
Для сбора отпечатков могут использовать различные эксплойты, даже теги html5 canvas. Собирается обычно следующая информация: размер памяти устройства, время автономной работы устройства, характеристики процессора и т. д. В «отпечатках» также можно найти реальный IP-адрес пользователя и его геолокацию.
Некоторые пользователи полагают, что использование режима инкогнито в браузерах защищает от сбора данных, но это не так. В режиме инкогнито не сохраняются только файлы cookie или история просмотров локально в браузере; однако эта информация все равно будет сохранена на посещенном веб-сайте.
Web RTC
Web RTC появился для общения в режиме реального времени через интернет. С помощью WebRTC вы можете добавить возможности связи в реальном времени в свое приложение. WebRTC поддерживает передачу видео, голоса и общих данных между пирами, что позволяет разработчикам создавать решения для голосовой и видеосвязи.
Еще в 2015 году пользователь GitHub («diafygi») впервые опубликовал уязвимость в Web RTC, которая раскрывает несколько сведений о пользователе, таких как локальный IP-адрес, публичный IP-адрес, мультимедийные возможности устройства (например, микрофон, камера и т. д.).
Даже сегодня можно запустить простой аудит безопасности и увидеть, сколько информации можно получить от утечки информации Web RTC.
В Chrome и Firefox есть расширения для защиты от утечки RTC. Safari имеет возможность отключить Web RTC; однако это может повлиять на использование некоторых веб-приложений.
Просмотр через прокси-сервер
Бесплатные прокси-серверы могут обеспечить анонимность пользователям, но не безопасность. Нередко прокси-сервера создают для сбора пользовательских данных. Поэтому Idris Lawal рекомендует использовать платные прокси.
Как проверить безопасность браузера?
Существует тесты для браузера, которые дают представление о том, сколько информации злоумышленник может получить через браузер и как защититься.
Qualys BrowserCheck делает быструю проверку в вашем браузере на отслеживания cookies и известных уязвимостей.
Cloudflare также оказывает сервис по проверке уязвимостей в браузере
Privacy Analyzer сканирует браузер на наличие уязвимостей, который могут привести к утечке конфиденциальной информации.
Panopticlick предлагает протестировать сторонние файлы cookies, а также предлагает расширение для chrome с целью блокировки отслеживания cookies.
Webkay позволяет просмотреть информацию выдаваемую вашим браузером.
Уязвимости SSL/TLS
Проверьте, уязвим ли ваш браузер к TLS-атакам.
Всесторонняя проверка уровня SSL в браузере доступна на сайте.
AmIUnique проверяет наличие ваших отпечатков в сети Интернет.
Как защитить свой браузер?
Каждый браузер имеет настройки конфиденциальности и безопасности, которые предоставляют пользователю контроль над тем, какую информацию он может выдавать веб-сайтам.
Idris Lawal опубликовал рекомендации о том, какие настройки конфиденциальности следует установить в вашем браузере.
- Используйте браузер, ориентированный на защиту конфиденциальности.
- Отключите отслеживание на веб-сайтах.
- Заблокировать сторонние файлы cookie
- Отключить ActiveX и flash
- Удалите все ненужные плагины и расширения
- Установить аддоны для настроек конфиденциальности.
- Вы также можете рассмотреть использовать VPN/ TOR, для анонимности в сети Интернет от трекеров, сканеров и пр.
