وب گردی امن

هر روزه زمان زیادی را در وب برای بدست‌ آوردن اطلاعات مورد نیاز، تماس با دوستان یا گذراندن اوقات فراغت می گذرانیم. در این مدت صفحات زیادی را بازدید می کنیم که ممکن است کاملا امن نباشند. جالب است بدانید که روزانه ۲۰ تا ۳۰ هزار URL مضر جدید شناسایی می شوند و اینکه حدود ۸۰ درصد این URL ها درواقع صفحات وب عادی هستند که توسط حمله‌گرها مورد سوءاستفاده قرار گرفته است(۱). بنابراین ممکن است حتی توسط صفحاتی که فکر می کنید امن هستند مورد حمله قرار بگیرید. یکی از مهمترین نکاتی که به شما کمک می کند وبگردی امن تری داشته باشید استفاده از مرورگر مناسب است. در این مقاله به بررسی نکاتی که در انتخاب مرورگر مناسب (از نظر امنیتی) می پردازیم و همینطور بررسی می کنیم که چطور می توان تنظیمات مرورگر را طوری تغییر داد که برای وب گردی قوانین امنتیتی سخت گیر تری داشته باشد.
اولین نکته ای که در انتخاب مرورگر مناسب باید به آن دقت کنید این است که مرورگر شما هر چند وقت یک بار و چطور به روز رسانی می شود. تشخیص حفره امنیتی و رفع آنها فرایندی است که باید مدام از طرف شرکت ارائه کننده مرورگر انجام شود و بهتر است که به روز رسانی ها به صورت خودکار و بدون نیاز به تایید کاربر انجام بگیرد به این وسیله کاربر همیشه مطمئن است که از آخرین نسخه مرورگر و قاعدتا از امن ترین نسخه آن استفاده می کند. مثلا مرورگر Chrome همیشه آخرین نسخه را به صورت خودکار و بدون نیاز به تایید کاربر نصب می کند در حالیکه مرورگر Opera برای نصب آخرین نسخه به تایید کاربر وابسته است.
علاوه بر این مرورگر باید قابلیت های زیر را داشته باشد:
SSL : پروتکلی که امکان فرستادن پیغام های خصوصی به صورت رمزنگاری شده را به client‌ و server می دهد.
Sandboxing : این امکان را فراهم می کند که برنامه های کاربردی، add-on ها و plugin ها هر کدام در فضای جدایی در مرورگر اجرا شوند و نتواند در اجرای برنامه های دیگر خللی ایجاد کنند یا به اطلاعات آنها دسترسی داشته باشند.
امکان تغییر تنظیمات امنیتی برای سایت های مختلف: برخی مرورگرها تنها به کاربر اجازه می دهند که تصمیمات امنیتی را برای همه سایت هایی که ملاقات می کند به صورت یکسان قرار دهد. اما برخی مرورگرهای دیگر به کاربر اجازه می دهند که برای هر سایت تصمیمات امنیتی جداگانه ای بگیرند.
مدیریت رمزعبور: اکثر مرورگر ها وقتی سایتی را ملاقات می کنید و شناسه کاربری و رمز عبورتان را در‌ آن وارد می کنید از شما سوال می کنند که آیا دوست دارید که این اطلاعات برای شما در مرورگر ذخیره شود تا لازم نباشد دوباره برای ملاقات سایت آنها را وارد کنید یا نه. اما تنها برخی مرورگرها (مثل Firefox‌) هستند که دسترسی به این رمزعبورها را منوط به دانستن یک رمزعبور مادر می کنند. به این ترتیب که همه رمزعبورهای شما تنها به شرطی از مرورگر قابل بازیابی هستند که کاربر ثابت کند که از یک رمز عبور مادر اطلاع دارد. استفاده از این رمزعبور مخصوصا وقتی که از یک کامپیوتر مشترکا با کاربران دیگری استفاده می کنید اهمیت دارد. برای اطلاعات بیشتر در این باره به (۲) مراجعه کنید.
مدیریت کوکی ها: کوکی ها فایل هایی هستند که هر سایت می تواند راجع به تجربه ملاقات شما از آن در مرورگرتان ذخیره کند. نحوه ذخیره کوکی ها به نحوی است که تنها سایتی که اطلاعاتی را ذخیره کرده می تواند آنرا بازیابی کند. به این ترتیب مثلا فیس بوک نمی تواند فایل های مربوط به ملاقات شما از یک سایت رزرو هتل را ببیند. همچنین گاهی اطلاعات مربوط به حساب کاربری شما نیز در کوکی های مرورگرتان ذخیره می شود. کوکی ها به دو دسته تقسیم می شوند: کوکی های کوتاه مدت (که بعد از اتمام ملاقات شما از سایت از مرورگرتان پاک می شوند) و کوکی های بلند مدت که تا مدت تاریخ انقضای اطلاعات روی مرورگرتان باقی می مانند. مرورگر باید امکان مدیریت کردن کوکی ها را به کاربر بدهد به این ترتیب که کاربر تصمیم بگیرد که چه اطلاعات و تا چه زمانی در کوکی های مرورگرش ذخیره شوند.
بلاک کردن محتوی مختلط سایت ها: محتوی مختلط در واقع به سایت های HTTPS ای می گویند که محتوی HTTP را لابه لای HTTPS می فرستند. شرکت Mozila این محتواها را به دو دسته فعال و غیرفعال تقسیم می کند. محتوی فعال محتوایی است که شامل یک اسکریپت است و می تواند برنامه‌ای را در مرورگر کاربر اجرا کند، اما محتوی غیرفعال مثل اطلاعات یک عکس نمی تواند تغییراتی در کامپیوتر کاربر ایجاد کند. رفتار مرورگر در قبال این نوع محتوی بسیار مهم است. مثلا مروگر Firefox به صورت پیش فرض محتوی مختلط فعال را بلاک می کند اما محتوی مختلط غیرفعال را به کاربر نشان می دهد. البته کاربر می تواند این تنطیمات را برای هرسایت جداگانه فعال کند. برای اطلاعات بیشتر از محتوی مختلط به (۳) مراجعه کنید.
علاوه بر این ویژگی ها (که اکثر مرورگرها آنها را دارند)، تنظیماتی که شما به عنوان کاربر برای مرورگرتان انتخاب می کنید نیز در امنیت وب گردیتان بی تاثیر نیست. بگذارید ابتدا به معرفی کوتاه برخی از تکنولوژی هایی که ممکن است برای شما ایجاد خطر کنند بپردازیم و سپس یاد بگیریم که چطور تنظیمات مرورگرمان را طوری تغییر بدهیم که بیشتر میزان امنیت را برایمان فراهم کند.
ActiveX : اکتیوایکس تکنولوژی معرفی شده توسط مایکروسافت است که به مرورگر اجازه می دهد برنامه هایی(یا بخش هایی از برنامه ها) را از روی ویندوز اجرا کند. یک صفحه وب می تواند از کامپوننت های اکتیوایکسی که در ویندوز وجود دارند استفاده کند یا آنها را به صورت فایل قابل دانلود به مرورگر بفرست و به این ترتیب قابلیت های صفحه وب را افزایش بدهد. اما این پیاده سازی این تکنولوژی درست انجام نشده باشد می تواند منشا خطرات زیادی برای امنیت و حریم خصوصی کاربران باشد.
Java : جاوا یک زبان برنامه نویسی است که می تواند برای نوشتن محتوی فعال برای صفحات وب مورد استفاده قرار بگیرد. اپلت ها، یا کدهای جاوا، برای اجرا احتیاج به JVM دارند و در sandbox های جداگانه اجرا می شوند و به این ترتیب نمی توانند صدمات امنیتی وارد کنند اما برخی پیاده سازی های JVM دچار مشکلاتی است که به یک اپلت اجازه میدهد که از محدودهsanbox خودش فراتر برود و رفتارهای مضر داشته باشد.
Plug-ins : پلاگین ها برنامه هایی هستند که برای اجرا در مرورگرها نوشته شده اند. در واقع رفتار پلاگین ها شبیه کامپوننت های اکتیوایکس است با این تفاوت که پلاگین ها نمی توانند از محدوده مرورگر خارج شوند. اما پلاگین ها می توانند مشکلات امنیتی خودشان را داشته باشند که اجازه حمله به مرورگر کاربر را می دهد.
JavaScript و VBScript هم زبان های اسکریپ نویسی هستند که به صفحات وب امکانات تعامل بیشتر با کاربر را می دهند اما به همان تناسب هم ابزار بیشتری در اختیار حمله گر قرار می دهند که به امنیت و حریم خصوصی کاربر وارد شود.
حالا به اختصار به برخی تنطیمات در چند مرورگر پر کاربرد می پردازیم که نشان می دهد چطور این تنظیمات را برای بالاترین سطح امنیتی تغییر دهید.
اینترنت اکسپلورر:
به قسمت tools-> internet options‌ بروید و تب security را انتخاب کنید. حالا طبق شکل بالاترین سطح امنیت را انتخاب کنید.

اگر روی لینک custom level‌ کلیک کنید می تواند دقیقا مشخص کنید که چه ویژگی های فعال و چه ویژگی هایی غیر فعال شوند.
علاوه بر این می توانید لیست سایت هایی که فکر می کنید طراحی آنها با در نظر گرفتن اصول امنیتی انجام شده را اضافه کنید. (در قسمت trusted sites‌ روی دکمه sites کلیک کنید تا سایت هایی را به لیست اضافه یا از آن کم کنید.)
در تب بعدی privacy می توانید تنظیمات کوکی هایتان را تغییر دهید. روی دکمهadvanced کلیک کنید و با صفحه زیر مواجه می شوید. پیشنهاد می کنیم که تنظیمات را با توجه به شکل تغییر دهید:

به این ترتیب همه کوکی های موقت اجازه دارند که روی مرورگر شما ذخیره شوند اما کوکی های ثابت برای ذخیره به اجازه شما نیاز خواهند داشت.
بعد از آن در صفحه اصلی به تب advanced بروید و از شاخه browsing گزینه enable third party browser extensions‌ را غیر فعال کنید. همچنین از شاخه International گزینه Always show encoded addresses‌ را فعال کنید و از شاخه Multimedia گزینه Play sounds in web pages را غیرفعال کنید.
مرورگر فایرفاکس:
برای تغییر تنظیمات امنیتی فایرفاکس به tools->options بروید و در تب privacy گزینه زیر را غیر فعال کنید: Remember what I enter in forms and the search bar
سپس در تب security گزینه زیر را فعال کنید:
Warn me when sites try to install add-ons
همچنین اگر می خواهید که از ویژگی پسورد مادر برای ذخیره پسوردهایتان روی سیستم استفاده کنید از این گزینه را هم فعال کنید.
سپس به تب contents‌ بروید و تنظیمات‌ آنرا به صورت زیر تغییر دهید:

روی دکمه advanced مقابل Enable JavaScript کلیک کنید و همه گزینه های آن را غیرفعال کنید. همچنین می توانید بعد از ذخیره این تنظیمات به صفحه مرورگرتان برگردید و از tools->clear private data اطلاعات خصوصی را که در مرورگرتان ذخیره شده پاک کنید.
اکثر مرورگرها تنظیمات امنیتی مشابهی دارند. برای دسترسی به تنظیمات امنیتی Chrome‌ به (۴) و Safari به (۵) مراجعه کنید.

(۱)http://blogs.sophos.com/2013/10/08/5-ways-to-make-your-web-browser-more-secure/
(۲)https://support.mozilla.org/en-US/kb/use-master-password-protect-stored-logins
(۳) https://developer.mozilla.org/en-US/docs/Security/MixedContent
(۴)https://support.google.com/chrome/topic/14666?hl=en&ref_topic=14662
(۵)www.help-pages.net/HelpDocuments/english/SafariSecSettings.pdf‎

نظرات

نظر (به‌وسیله فیس‌بوک)