Teste a segurança do seu navegador quanto a vulnerabilidades

Exatamente quão seguro é o seu navegador?


Quanta informação pode ser extraída do seu perfil de navegação online?

Por que você parece ver anúncios relacionados a coisas que você pesquisou, comprou recentemente ou leu sobre?

Qual é o custo de ter seu perfil completamente exposto?

Como você pode proteger melhor sua privacidade online?

Estas e mais perguntas são o que este artigo espera ajudar a responder e fornecer maneiras pelas quais você pode proteger melhor sua privacidade online.

É importante observar que as empresas que fabricam navegadores que usamos com mais frequência, como Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etc. Tente o máximo possível para proteger os usuários e suas informações pessoais ao usar esses produtos. Portanto, este artigo não visa minar esses esforços, mas para ajudá-lo, o usuário faz escolhas instruídas ao usar esses e outros navegadores para várias atividades.

A Internet é a nossa porta de entrada para o mundo, para nos ajudar a alcançar virtualmente qualquer lugar em busca de informações, comércio, negócios, comunicação e todas as outras necessidades e necessidades. Portanto, a necessidade de nos protegermos como normalmente faria no mundo real, pois nem todos na Internet têm intenções honestas.

Embora você possa ter antivírus no computador, que bloqueiam todos os tipos de malware, o navegador também pode estar vulnerável. Vamos nos aprofundar em algumas possíveis vulnerabilidades.

XSS (script entre sites)

Os scripts entre sites podem ser simplesmente descritos como uma injeção de código (geralmente, código Javascript). O objetivo desse tipo de ataque é comprometer a segurança de um aplicativo da web por meio do cliente (principalmente por meio de navegadores). Os invasores pretendem usar esse tipo de ataque para explorar validações fracas e uma falta de CSP (política de segurança de conteúdo) em alguns aplicativos da web.

Existem diferentes tipos de XSS; vamos dar uma olhada no que são e como podem ser usados.

XSS refletido

Esse é um tipo muito comum de XSS usado para trabalhar com o lado do cliente de um aplicativo. O código injetado aqui não é persistente no banco de dados, mas deve provocar uma resposta do lado do cliente do aplicativo. Portanto, o nome “refletido”. Esse ataque funciona com êxito em um caso em que o aplicativo recebe entrada do usuário e retorna essa entrada após algum processamento sem salvar no banco de dados. Um exemplo comum é um fórum de bate-papo em miniatura, no qual as mensagens não são persistidas no banco de dados. Nesses casos, o aplicativo recebe as entradas do usuário e as produz como HTML. Um invasor pode inserir um script mal-intencionado no fórum de bate-papo, como alterar o design ou as cores do aplicativo, inserindo CSS nas tags de script.

Isso pode piorar para outros usuários do aplicativo, porque o script será essencialmente executado em seus navegadores, o que pode levar ao roubo de informações, como roubar as informações de preenchimento automático salvas no navegador. Muitos usuários preferem salvar informações normalmente digitadas em formulários como nomes, endereços e informações de cartão de crédito, o que, neste caso, é uma má ideia.

DOM XSS

DOM – Document Object Model, é a interface de programação que interpreta o HTML (ou XML) usado nas páginas da web e, portanto, define a estrutura lógica dessa página em particular. Esse tipo de XSS explora o aplicativo da Web com código javascript inseguro em linha na marcação que compõe a página da Web. O XSS usado aqui pode ser usado para modificar diretamente o DOM. Isso pode ser usado para alterar quase qualquer parte da página da web com a qual o usuário interage, o que pode levar a phishing.

XSS armazenado

Esse é um tipo de XSS em que o código malicioso não é refletido apenas de volta ao usuário, mas também persistido (armazenado) no banco de dados do servidor da web no qual o aplicativo da web está hospedado. Esse tipo de XSS é ainda mais perigoso, pois pode ser reutilizado para atacar várias vítimas, pois é armazenado (para uso posterior). Pode ser o caso em que os envios de formulários pelos usuários não são bem validados antes de serem enviados ao banco de dados.

Geralmente, o XSS pode ser de qualquer tipo em combinação; um único ataque pode ser refletido e persistido. As técnicas empregadas na execução do ataque também podem variar, mas contêm semelhanças com as mencionadas acima.

Alguns navegadores importantes, como o Chrome e o Edge como um recurso de segurança, desenvolveram seus próprios protocolos de segurança do cliente para evitar ataques XSS conhecidos como X-XSS-Protection. O Chrome tinha o XSS Auditor, que foi introduzido em 2010 para detectar ataques XSS e impedir o carregamento dessas páginas da Web quando detectadas. No entanto, isso foi considerado menos útil do que se esperava inicialmente e foi removido mais tarde depois que os pesquisadores notaram inconsistências em seus resultados e casos de detecção de falsos positivos.

Os ataques XSS são um desafio difícil de enfrentar do lado do cliente. O navegador Edge também tinha o filtro XSS, que foi posteriormente retirado. Para o Firefox, o site MDN (Mozilla Developer Network) possui,

O Firefox não tem e nem implementará a proteção X-XSS

Rastreamento de terceiros

Outra parte importante do estabelecimento de sua privacidade on-line é conhecer os cookies de rastreamento de terceiros. Geralmente, os cookies são considerados bons na Web, pois são usados ​​pelos sites para identificar usuários de maneira exclusiva e para adaptar a experiência de navegação do usuário de acordo. É o caso dos sites de comércio eletrônico em que eles usam cookies para manter sua sessão de compras e também para manter os itens que você adicionou ao carrinho. Esses tipos de cookies são conhecidos como cookies primários. Portanto, quando você está navegando em sites do geekflare.com, os cookies usados ​​pelo geekflare.com são cookies primários (os bons).

Existem também alguns casos de cookies de terceiros, nos quais os sites oferecem (ou vendem) seus cookies de terceiros para outro site para veicular anúncios ao usuário. Nesse caso, os cookies podem ser considerados como de terceiros. Cookies de terceiros são os grandes cookies direcionados a anúncios usados ​​para rastreamento entre sites e publicidade redirecionada.

Estes são cookies colocados nos navegadores dos usuários sem o conhecimento ou consentimento do usuário para obter informações sobre o usuário e todos os tipos de perfil de dados, como sites que o usuário visita, pesquisas, o ISP (Internet Service Provider) que o usuário usa, as especificações do laptop , a carga da bateria etc. Essas informações são usadas para formar um perfil de dados da Internet em torno do usuário, de forma que possam ser usadas para anúncios direcionados. Os invasores que roubam esse tipo de informação geralmente fazem isso como um tipo de mineração de dados e podem vendê-los para grandes redes de publicidade.

O Firefox, em setembro de 2019, anunciou que estaria bloqueando cookies de rastreamento de terceiros por padrão no navegador de desktop e no celular. A equipe se referiu a isso como proteção aprimorada de rastreamento, que é indicada na barra de endereços do navegador com um ícone de escudo.

O navegador Safari em dispositivos Apple também impede que cookies de terceiros rastreiem seus usuários na web.

No Chrome, os cookies de rastreamento de terceiros não são bloqueados por padrão. Para ativar esse recurso, clique nos três pontos verticais no canto superior direito da janela do navegador para revelar uma lista suspensa e clique em configurações, na guia configurações, à esquerda, clique em privacidade e segurança e clique em configurações do site, clique em cookies e dados do site e alterne para a opção que lê Bloquear cookies de terceiros.

Cryptominers

Alguns sites na Internet contêm scripts de mineração de criptografia pelo proprietário do site ou por terceiros. Esses scripts permitem que o invasor utilize os recursos de computação da vítima para minerar criptomoedas.

Embora alguns proprietários de sites façam isso como um meio de financiamento, geralmente quando prestam serviços gratuitos e argumentam que é um preço pequeno a pagar pelos serviços que oferecem. Esses conjuntos de sites geralmente deixam mensagens para o usuário estar ciente do custo do uso de seus serviços. No entanto, muitos outros sites fazem isso sem informar o usuário. O que poderia levar ao uso sério de recursos do PC. Por isso, é importante ter essas coisas bloqueadas.

Alguns navegadores possuem utilitários embutidos para bloquear scripts como o Firefox, que possui uma configuração para bloquear cryptominers na Web e em dispositivos móveis. Da mesma forma ópera. Para Chrome e Safari, é necessário instalar extensões no seu navegador para obter o mesmo.

Impressão digital do navegador

Conforme definido em Wikipedia,

UMA impressão digital do dispositivo ou impressão digital da máquina são as informações coletadas sobre o software e o hardware de um dispositivo de computação remoto para fins de identificação.

Uma impressão digital do navegador é uma informação de impressão digital coletada por meio do navegador do usuário. O navegador de um usuário pode realmente fornecer muitas informações sobre o dispositivo usado. Diferentes explorações são usadas aqui, mesmo as tags html5 “ são conhecidas por serem usadas para impressões digitais. Informações como especificações do dispositivo, como tamanho da memória do dispositivo, duração da bateria do dispositivo, especificações da CPU, etc. Uma informação de impressão digital também pode revelar o endereço IP real e a localização geográfica do usuário.

Alguns usuários tendem a acreditar que o uso do modo de navegação anônima nos navegadores protege contra impressões digitais, mas isso não acontece. O modo privado ou de navegação anônima não é verdadeiramente privado; ele não salva apenas cookies ou histórico de navegação localmente no navegador; no entanto, essas informações ainda serão salvas no site visitado. Portanto, a impressão digital ainda é possível em um dispositivo.

Vazamentos na Web RTC

Web RTC (Comunicação em Tempo Real). O Web RTC surgiu como um avanço para a comunicação em tempo real pela web. De acordo com Site da Web RTC.

Com o WebRTC, você pode adicionar recursos de comunicação em tempo real ao seu aplicativo, que funcionam sobre um padrão aberto. Ele suporta dados de vídeo, voz e genéricos a serem enviados entre pares, permitindo que os desenvolvedores criem soluções poderosas de comunicação de voz e vídeo.

Por mais interessante que seja, em 2015, um usuário do GitHub (‘diafygi’) publicou pela primeira vez uma vulnerabilidade no Web RTC que revela várias informações sobre um usuário, como o endereço IP local, o endereço IP público, os recursos de mídia do dispositivo (como um microfone, câmera etc.).

Ele foi capaz de fazer isso fazendo o que é conhecido como solicitações STUN ao navegador para divulgar essas informações. Ele publicou suas descobertas aqui -> https://github.com/diafygi/webrtc-ips.

Desde então, o navegador implementou melhores recursos de segurança para se proteger contra isso; no entanto, a exploração também foi aprimorada ao longo dos anos. Essa exploração ainda permanece até hoje. Ao executar auditorias simples de segurança, um usuário poderá ver quanta informação pode ser obtida de um vazamento de informações do RTC da Web.

No Chrome, algumas extensões podem ser instaladas para oferecer proteção contra vazamentos RTC. Da mesma forma no Firefox com complementos. O Safari tem uma opção para desativar o Web RTC; no entanto, isso pode afetar o uso de alguns aplicativos da web de bate-papo em tempo real no navegador.

Navegando através de um Proxy

Os proxies da Web gratuitos parecem ajudá-lo a obter melhor privacidade, devolvendo seu tráfego da web aos servidores “anônimos”. Alguns especialistas em segurança têm preocupações sobre quanta privacidade isso oferece. Os proxies podem proteger um usuário da Internet aberta, mas não dos servidores pelos quais o tráfego da Internet passa. Portanto, o uso de um proxy da Web malicioso “gratuito” criado para coletar dados do usuário pode ser uma receita para um desastre. Em vez disso, use um proxy premium.

Como testar a segurança do navegador?

Os testes do navegador fornecem uma visão sobre quantas informações um invasor pode obter de você através do navegador e o que você precisa fazer para se manter protegido.

Qualys BrowserCheck

BrowserCheck by Qualys faz uma verificação rápida em seu navegador quanto a rastreadores-cookies e vulnerabilidades conhecidas.

Verificador ESNI do Cloudflare

Cloudflare faz uma verificação rápida na pilha de DNS e TLS do seu navegador quanto a vulnerabilidades.

Analisador de Privacidade

Analisador de Privacidade varre seu navegador em busca de qualquer tipo de brechas na privacidade, incluindo análise de impressões digitais.

Panopticlick

Panopticlick oferece para testar cookies de rastreamento de terceiros e também oferece uma extensão do Chrome para bloquear rastreamento adicional.

Webkay

Webkay fornece uma visão rápida de quais informações seu navegador fornece prontamente.

Compatibilidades SSL / TLS

Verifica se o seu navegador estiver vulnerável às vulnerabilidades do TLS.

Como está o meu SSL?

Versátil Verificações de nível SSL no seu navegador. Ele testa compactação TLS, pacotes de criptografia, suporte a tickets de sessão e muito mais.

AmIUnique

Você está?

AmIUnique verifica se a impressão digital do seu navegador tem alguma impressão digital coletada anteriormente no mundo.

Como proteger navegadores?

Você precisa ser mais proativo com a privacidade e a segurança deles; portanto, é necessário ter certeza de qual configuração de segurança está disponível no navegador. Todo navegador tem configurações de privacidade e segurança, o que concede ao usuário controle sobre quais informações eles podem fornecer aos sites. Aqui estão algumas orientações sobre quais configurações de privacidade definir no seu navegador.

  • Enviar solicitações “Não rastrear” para sites
  • Bloquear todos os cookies de terceiros
  • Desativar ActiveX e flash
  • Remova todos os plugins e extensões desnecessários
  • Instale extensões ou complementos de privacidade.

Use um navegador focado na privacidade em dispositivos móveis ou computadores.

Você também pode considerar o uso de uma VPN premium, que oferece invisibilidade pela Internet de rastreadores, scanners e todos os tipos de registradores de informações. Ser verdadeiramente privado na Internet é com uma VPN. Os serviços de VPN “gratuitos”, no entanto, têm problemas semelhantes discutidos acima em proxies gratuitos, você nunca tem certeza sobre qual servidor da Web está passando pelo tráfego. Daí a necessidade de um serviço VPN confiável, que ofereça segurança muito melhor.

Jeffrey Wilson Administrator
Sorry! The Author has not filled his profile.
follow me
    Like this post? Please share to your friends:
    Adblock
    detector
    map