. Prepare-se para grandes volumes de dados e a promessa de grande segurança - Tudo Sobre Tecnologia

Mais uma vez, a conveniência está em desacordo com a segurança.Saiba como navegadores tornar a vida fácil para os usuários também ajuda os bandidos. 
Os navegadores da Web têm amadurecido em ferramentas de software capazes. Chegar a esse ponto exigiu um esforço significativo por desenvolvedores dedicados, que continuam a aumentar o seu código, a fim de proporcionar ao usuário uma experiência cada vez mais gratificante.

Prefetch1.png

Essas melhorias têm um preço maior complexidade. Como automóveis de hoje, os navegadores da web são extremamente complicado, tão complexo que, como carros, é quase um desperdício de tempo para olhar sob o capô quando algo não está funcionando corretamente.
Infelizmente, não há precipitação adicional da complexidade inerente, é mais fácil para os tipos nefastos para encontrar rachaduras no código ou manipular o código existente para promover sua própria agenda.
Felizmente, existem desenvolvedores dispostos a pensar como bandidos, descobrir possíveis cenários de ataque, e conte-nos sobre eles. Uma dessas desenvolvedor é Kyle Adams  da Juniper Networks. Em seu post no blog, que é seu navegador Fazendo Behind Your Back , Kyle lança um olhar sobre vários automatizado "Behind the Scenes" processos do navegador que os atacantes poderiam aproveitar para roubar informações confidenciais do usuário, como números de contas bancárias. Vamos começar por olhar para Prefetching DNS.

Pré-busca de DNS

Dê uma segunda, e contar o número de links na página web deste artigo. Clique em um. Ele carrega rápido, não é? Isso porque browsers usar DNS prefetching  para resolver informações de DNS para cada link na página renderizada TechRepublic web, apenas no caso de o usuário clicar em um dos links.
Kyle explica como um invasor poderia alavancar a pré-busca de DNS: "Se um atacante coloca um link escondido em uma página que aponta para o seu domínio e configura seu servidor DNS, ele pode ser notificado quando você visualiza a página e obter o seu endereço IP, mesmo se você não clicar no link. Isso é ruim no caso de e-mails e fóruns. "
A peça-chave da informação é "mesmo se você nunca clique no link." E se um tipo nefasto conseguiu um link colocado em um site de alto tráfego? E esse link apontava para um site malicioso criado para baixar malware automaticamente? Se o computador é vulnerável, é um negócio feito. Infelizmente, isso acontece o tempo todo, especialmente quando sites usam publicidade de terceiros . Em seguida na lista de Kyle era página prefetching.

Prefetching página

Tomei consciência da página prefetching quando escrevi este artigo sobre o Google Instant .Google Instant adivinha o que você está digitando em Pesquisar. Então, displays instantâneas (junto com a pré-busca as informações de DNS associados) o que ele pensa que você está procurando, geralmente antes de você terminar de digitar. Ótima idéia. Os bandidos pensam assim também, agora que eles descobriram como burlar o sistema.
Em meu artigo, eu usei a entrada de pesquisa de Antivir Solution Pro como um exemplo.Naquela época, Antivir Solution Pro  foi o nome dado a algum malware desagradável.Observe no slide abaixo do que o Google Instant adivinhou depois que eu digitei apenas "anti" Com certeza, Antivir Solution Pro foi a primeira escolha do instantâneo.

Prefetch2.png

Muitas pessoas pensaram que eles estavam indo para um site que oferece um produto oficial antivírus Antivir como antivírus ou solução, mas acabei ficando um computador cheio de malware. Kyle então mudou-se para os cookies de sessão.

Os cookies de sessão

Navegação na Web sem cookies de sessão  seria uma grande dor. Os cookies de sessão permitem que um navegador para lembrar as informações do usuário quando se deslocam de uma página para outra no mesmo site. Há um problema, porém. Kyle explica: "Alguns navegadores, principalmente Chrome, não exclua os cookies de sessão quando você limpar os cookies. Isso significa que mesmo se você limpar os cookies, os sites podem manter controle até que você fecha o navegador. "
Eu estou tentando determinar quais navegadores manter os cookies de sessão, e que não o fazem. Parece que há diferentes opiniões. Retendo os cookies de sessão normalmente não é um problema, mas é importante para entender se os cookies de sessão são persistentes, outro usuário pode retomar uma sessão anterior e acessar páginas da web, algo potencialmente sensíveis você pode não querer que aconteça. E, por fim Kyle olha para plug-ins.

Plug-ins

Plug-ins  são software que permite aos usuários personalizar uma aplicação, adicionando versatilidade significativa para navegadores web. Eu estaria perdido sem meu anúncio bloqueando plug-in. Kyle afirma a sua preocupação: "Cada plug-in funciona com uma imensa quantidade de privilégios. Eles podem olhar para tudo o que o usuário faz, mexer com o conteúdo em seu sistema, e fazer pedidos, sem que o usuário saiba. "
Kyle oferecido este exemplo:
Plug-ins geralmente fornecido com aplicações antivírus são projetados para avisá-lo quando você visitar uma página maliciosa. No entanto, para que o fornecedor de antivírus para saber que você está visitando uma página maliciosa, eles precisam saber todas as páginas que você visitar. Isso significa que, enquanto você navega na Internet, toda a soma de sua atividade de Internet está sendo enviado silenciosamente para um terceiro.
Kyle passou a mencionar que ele consideraria a maioria dos fornecedores de antivírus confiável, mas Kyle também observou que alguns plug-ins não criptografar os dados, para que os dados é um jogo justo em trânsito para os servidores do fornecedor AV.

Considerações finais

Receio que o "gato é fora do saco" sobre os quatro processos do navegador web Kyle falou.Eu pretendo continuar a usá-los. Mas saber o que Kyle descobriu que nos permite ter cuidado na forma como usá-los.
Autor:

Sobre Michael Kassner

Michael Kassner Atualmente é gerente de sistemas de uma empresa internacional.Juntamente com seu filho, ele corre MKassner Net, uma pequena consultoria de TI publicação.

0 comentários Goocle+ 0 Facebook

Postar um comentário

 
Tudo Sobre Tecnologia © 2013-2020. Todos os direitos reservados. Tudo Sobre Tecnologia. Desenvolvido por TST
Topo