browser-extensions – کلیک کنید: خرید VPN خرید وی پی ان خرید فیلتر شکن خرید فیلترشکن

سپتامبر 12, 2018

TLS – آیا پسوند مرورگر یک خطر امنیتی بحرانی نیست؟

اخیرا تبلیغاتی زیادی به خطرات امنیتی عجیب و غریب مانند Spectre and Meltdown داده شده است که واکنش فوری واکنشهای پولوف از مایکروسافت، موزیلا و غیره است. اما اخیرا من متوجه شدم که واقعیت کنجکاو (به طور کلی شناخته شده) پسوند حزب برای دسترسی به همه چیز را در صفحاتی که به آنها دسترسی می کنید، از جمله داده هایی که در فرم های وب خود قرار می دهید، برای دسترسی به نیاز دارید.

با ذکر نام موزیلا:

"به ویژه یک مجوز وجود دارد" داده های خود را برای تمام وب سایت ها به دست آورید "، که از زمانی که این ویژگی راه اندازی شده است، بسیاری از سوالات را در مورد آن دریافت کردیم. دلیل آن این است که این کلمه به این دلیل است که یک صفحه وب می تواند تقریبا هر چیزی را داشته باشد و برخی از برنامه های افزودنی باید همه چیز را در آن بخوانند تا اقدام بر اساس آنچه که در صفحه وجود دارد، انجام دهید.
برای مثال، یک بلوک کننده آگهی نیاز به خواندن تمام محتوای صفحه وب برای شناسایی و حذف کد تبلیغاتی دارد. یک مدیر رمز عبور نیاز به شناسایی و نوشتن در فیلدهای نام کاربری و رمز عبور دارد. یک افزونه خرید ممکن است نیاز به خواندن جزئیات محصولات مورد جستجو را داشته باشد.
از آنجایی که این نوع extension ها نمی دانند که آیا یک صفحه وب خاص حاوی بیت است، تا زمانی که بارگذاری شود، باید تغییر کند، و نه فایرفاکس، به همه چیز در یک صفحه نیاز دارد تا بتواند قسمت های مناسب را جستجو و تغییر دهد. این بدان معنی است که در حقیقت، در حالی که نادر، یک توسعه دهنده مخرب می تواند به شما بگوید که توسعه دادن آن یک چیز است، در حالی که در واقع کاری دیگر انجام می دهد. »

اما این شامل حذف تمام رمزهای عبور شما، شماره کارت اعتباری و غیره می باشد. 19659002] این به نظر می رسد که فقط "خطر امنیتی" نیست، بلکه "خطر امنیت" است. این دیوانه است: رمزنگاری، به نظر من، اکنون چیزی نیست و کاربر، با برچسب سبز "Secure" در نوار URL مطمئن شده است. با خوشحالی شماره کارت اعتباری خود را وارد می کند تا بلافاصله به سرور دلخواهی ارسال شود که در ذهن او نیست ..

سوال من این است که چرا به نظر می رسد نسبتا کمی توجه به آنچه به نظر می رسد یک خطر امنیتی عظیم است؟ به عنوان مثال، انتظار دارم که به محض این که هر گونه پسوردهای مرورگر شخص ثالث با مجوز مشاهده «تمام اطلاعات خود» ، برچسب سبز «امن» برای سایتهای HTTPS با چیز دیگری جایگزین شود.

و نباید فرمت های مرورگر شخص ثالث را در آن ممنوع شود هر سازمانی که اطلاعات شخصی حساس را بررسی می کند؟

نوشته‌شده در آگوست 29, 2018
مرورگر وب – GET، هشدار MAILTO – چگونه می توانم بفهمم که آیا یک سایت امن است یا خیر؟

مدیر رمز عبور من به من هشدار میدهد وقتی به سایتهای خاصی میروم. آنها می گویند اگر فکر می کنم می توانم به سایت اعتماد کنم و از آن استفاده کنم …. این باعث می شود که من چیزی نپرسم.

هشدار ظاهر من وقتی وارد صفحه ورود به سیستم در سایت میشوید: "وبسایت میگوید" LastPass شناسایی یک ورودی از آن ناامن است. آیا میخواهید ادامه دهید؟ "

اسناد و مدارک : https://lastpass.com/support.php؟cmd=showfaq&id=7336

مشکل من این است که من هیچ نظری ندارم که آیا باید ادامه بدهم یا نه.

سوالات:

1) چگونه می توانم تعیین کنم آیا یک سایت INSECURE است یا خیر، زیرا از روش GET یا MAILTO استفاده می کند؟

2) چگونه می توانم تعیین کنم که آیا یک سایت SECURE است یا نه با استفاده از GET یا MAILTO اما LP فکر می کند که آن را انجام می دهد و آن را یک اشتباه مثبت است، و غیره؟؟ 1969004] 3) من یک سایت را دنبال کردم که در آن من هشدار داده بودم و آنها گفتند که از AJAX استفاده می کنند و نه دریافت می کنند … این مسئله است و چطور می توانم تأیید کنم چون آنها می گویند آنها به زودی به این مسئله می پردازند که من را متعجب می کند که آیا می توانم با خیال راحت از آن استفاده کنم سایت؟

من از LP درباره این موضوع خواسته ام و آنها بیشتر از چیزی که من در بالا به آن اشاره کرده ام نمی روند.

نوشته‌شده در آگوست 18, 2018
چگونه مرورگرهای مدرن افزونه های مختلف را جدا می کنند؟

کاربر ممکن است افزونه های متعددی در یک مرورگر نصب شده باشد. اما به طور معمول، مرورگر در فضای کاربری با یک توپی غیر مجاز در حال اجرا است. من تعجب کردم که چگونه مرورگرهای مدرن می توانند در چنین محیطی زیرساختی ایجاد کنند تا افزونه های مختلف به درستی جدا شوند.

به طور غیر رسمی، جداسازی به این معنی است که یک افزونه نمی تواند یک داده اضافه دیگر را بخواند و یا با اعدام دیگری افزودنی تداخل نداشته باشد. چه نوع فن آوری در اینجا استفاده می شود؟ افزونه های مرورگر معمولا در جاوا اسکریپت اجرا می شوند. آیا انزوا توسط موتور جاوا اسکریپت یا در یک لایه دیگر ارائه شده است؟ مرورگر مورد نیاز چه نوع پشتیبانی از سیستمعامل و سختافزار پایه است؟

نوشته‌شده در آگوست 7, 2018
chrome – جلوگیری از بازتاب صفحه ای که توسط برنامه افزودنی مرورگر اصلاح شده است

فرض کنید یک افزونه مرورگر معتبر در یک مرورگر کروم وجود دارد که صفحه وب را تغییر می دهد (مانند ویرایش DOM، اضافه کردن اسکریپت ها و غیره)

من نمی خواهم به جز من کسی را ببینم که صفحه توسط این افزونه اصلاح شود اکنون می تواند حاوی اطلاعات حساس باشد. اگرچه برای دستهبندیهای JS امکان بازنویسی صفحه تغییر یافته به سرور وجود دارد. مشکل 1: چگونه می توانم صفحه اصلاح شده را جداسازی کنم؟

از سوی دیگر، برای صفحه داده شده مهم است که اجازه دهید اتصالات خروجی به طور پویا بارگذاری و به روز رسانی محتوای صفحه.

بنابراین این پیکربندی کار نخواهد کرد:

هیچ راه من نمی توانم ترافیک صفحه را از سرور غیرقابل اعتماد فیلتر کنم (از یک منبع نامعلوم استفاده می شود. ترافیک رمزگذاری شده است، پروتکل ناشناخته است و می تواند تغییر کند)
مشکل 2: چگونه به شکستن صفحه به روز رسانی صفحه پویا؟

اساسا، من نیاز به حداقل یک طرفه جدا صفحه. پسوند مرورگر باید قادر به انجام هر کاری باشد که نیاز دارد، و نباید اسکریپتهای صفحه با محتوای افزودنی مرورگر مجاز باشد.

نوشته‌شده در جولای 6, 2018
آیا مجوز افزودن به این شیوه امن است؟

من یک وبسایت دارم، برای آن افزودنی همراه با فایرفاکس و کروم اضافه کردم. هر دو آن خصوصی هستند. در فایرفاکس آنها فقط می توانند از وبسایت من نصب شوند و برای Chrome نیز لینک موجود در فروشگاه را فقط می توان بر روی سایت نیز دریافت کرد.

افزودنی در حال حاضر به روش زیر مجاز است:

وب سایت

کاربر می رود به تنظیمات

کاربر انتخاب کلید جدید

کلید در زمینه متن نشان داده شده است، که در آن کاربران می توانند آن را کپی کنید، پس از آن کلید هرگز دوباره نشان داده نخواهد شد، مگر اینکه یک جدید تولید شود [19659004] کاربر باید کلید را به addon اضافه کند

افزودن این کلید را به عنوان بخشی از ارتباط با سرور ارسال می کند.

سرور از کلید برای تأیید افزودن به عنوان یکی از کاربران استفاده می کند . این به مجوز افزودنی مجاز کاربر مجاز می رسد، با این حال برخی مجوز ها به علت عدم تایید رمز عبور کاهش می یابد، مثلا کاربر نمیتواند رمز عبور را تغییر دهد یا کلید کاربردی جدیدی ایجاد کند (این تنها در وب سایت که کاربر باید وارد شود، با ورود به سیستم و رمز عبور)

همه کاربران در مورد اثرات شدید ممکن است از به اشتراک گذاشتن کلید با دیگران هشدار داده می شوند.

وب سایت از HTTPS با HSTS استفاده می کند و اخیرا به لیست پیش بارگذاری ارسال شده است. بنابراین من نگران نشت کلید HTTP نیستم. کلید به عنوان بخشی از browser.storage API ذخیره می شود

اگرچه کلیدها برای برنامه های کاربردی مناسب هستند اما من نگران هستم.
در حال حاضر کلید ها با استفاده از bin2hex (random_bytes (64)) در زیر PHP تولید می شوند.

در حالی که کلیدها به طور پیش فرض دسترسی محدود به حساب دارند، من تعجب می کنم که آیا این روش حتی با طراحی ایمن است یا یک رویکرد بهتر وجود دارد که برای آن می توانم افزودنی را بدون نیاز کاربران به ورود به سیستم در هر زمانی مجاز کنم.

به طور پیش فرض کلید هرگز به طور خودکار حذف نمی شود، با این حال کاربران مجاز به حذف کلید فعلی و تولید کلید جدید یکی از پایگاه های قبلی را حذف می کند

من تعجب می کنم که آیا حملات احتمالی وجود دارد که من فکر نکرده ام یا اینکه حتی راه های بهتر برای تأیید کاربران وجود دارد.