ब्राउज़र सुरक्षा: Difference between revisions
m (added Category:Vigyan Ready using HotCat) |
No edit summary |
||
(2 intermediate revisions by 2 users not shown) | |||
Line 1: | Line 1: | ||
{{Short description|Application of internet security to web browsers}} | {{Short description|Application of internet security to web browsers}} | ||
ब्राउज़र सुरक्षा [[कंप्यूटर नेटवर्क|नेटवर्क]] डेटा और [[कंप्यूटर प्रणाली|कंप्यूटर सिस्टम]] को गोपनीयता या [[मैलवेयर]] के उल्लंघन से बचाने के लिए [[वेब ब्राउज़र]] पर [[इंटरनेट सुरक्षा]] का उपयोग है। ब्राउज़रों के सुरक्षा शोषण प्रायः [[जावास्क्रिप्ट]] का उपयोग करते हैं, कभी-कभी [[क्रॉस साइट स्क्रिप्टिंग]] (एक्सएसएस)<ref name="mozilla-noscript">{{cite web | '''ब्राउज़र सुरक्षा''' [[कंप्यूटर नेटवर्क|नेटवर्क]] डेटा और [[कंप्यूटर प्रणाली|कंप्यूटर सिस्टम]] को गोपनीयता या [[मैलवेयर]] के उल्लंघन से बचाने के लिए [[वेब ब्राउज़र]] पर [[इंटरनेट सुरक्षा]] का उपयोग है। ब्राउज़रों के सुरक्षा शोषण प्रायः [[जावास्क्रिप्ट]] का उपयोग करते हैं, कभी-कभी [[क्रॉस साइट स्क्रिप्टिंग]] (एक्सएसएस)<ref name="mozilla-noscript">{{cite web | ||
|url=https://addons.mozilla.org/firefox/addon/noscript |title=नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Giorgio Maone |first=Giorgio |last=Maone |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> के साथ एडोब फ्लैश ([[Adobe Flash]]) का उपयोग करते हुए माध्यमिक पेलोड के साथ उपयोग है।<ref name="mozilla-betterprivacy">{{cite web |url=https://addons.mozilla.org/firefox/addon/betterprivacy |title=बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|website=[[Mozilla Foundation]] }}{{Dead link|date=June 2019 |bot=InternetArchiveBot |fix-attempted=yes }}</ref> सुरक्षा शोषण [[भेद्यता (कंप्यूटिंग)|भेद्यता]] (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतः सभी ब्राउज़रों ([[मोज़िला फ़ायरफ़ॉक्स]],<ref name="Firefox vulnerability confirmed">Keizer, Greg. [http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html Firefox 3.5 Vulnerability Confirmed] {{webarchive|url=https://web.archive.org/web/20101028041630/http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html |date=28 October 2010 }}. Retrieved 19 November 2010.</ref> [[गूगल क्रोम]],<ref name="Chrome dirty dozen">Messmer, Ellen and NetworkWorld. [https://www.pcworld.com/article/210797/google_chrome_tops_dirty_dozen_vulnerable_apps_list.html "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"]. Retrieved 19 November 2010.</ref> [[ओपेरा (वेब ब्राउज़र)|ओपेरा]],<ref name="Opera severe hole">Skinner, Carrie-Ann. [http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html Opera Plugs "Severe" Browser Hole] {{webarchive |url=https://web.archive.org/web/20090520070700/http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html |date=20 May 2009 }}. Retrieved 19 November 2010.</ref> [[माइक्रोसॉफ्ट अंतर्जाल अन्वेषक|माइक्रोसॉफ्ट]] इंटरनेट एक्सप्लोरर,<ref name="time to drop IE6">Bradly, Tony. [https://www.pcworld.com/article/191356/its_time_to_finally_drop_internet_explorer_6.html "It's Time to Finally Drop Internet Explorer 6" ] {{webarchive|url=https://web.archive.org/web/20121015135539/http://www.pcworld.com/article/191356/Its_Time_to_Finally_Drop_Internet_Explorer_6.html |date=15 October 2012 }}. Retrieved 19 November 2010.</ref> और [[सफारी (वेब ब्राउज़र)|सफारी]]<ref>{{cite web|url=http://mashable.com/follow/topics/browser/|title=ब्राउज़र|publisher=[[Mashable]]|access-date=2 September 2011|url-status=live|archive-url=https://web.archive.org/web/20110902145020/http://mashable.com/follow/topics/browser/|archive-date=2 September 2011|df=dmy-all}}</ref> सहित में शोषण किया जाता है। | |url=https://addons.mozilla.org/firefox/addon/noscript |title=नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Giorgio Maone |first=Giorgio |last=Maone |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> के साथ एडोब फ्लैश ([[Adobe Flash]]) का उपयोग करते हुए माध्यमिक पेलोड के साथ उपयोग है।<ref name="mozilla-betterprivacy">{{cite web |url=https://addons.mozilla.org/firefox/addon/betterprivacy |title=बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|website=[[Mozilla Foundation]] }}{{Dead link|date=June 2019 |bot=InternetArchiveBot |fix-attempted=yes }}</ref> सुरक्षा शोषण [[भेद्यता (कंप्यूटिंग)|भेद्यता]] (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतः सभी ब्राउज़रों ([[मोज़िला फ़ायरफ़ॉक्स]],<ref name="Firefox vulnerability confirmed">Keizer, Greg. [http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html Firefox 3.5 Vulnerability Confirmed] {{webarchive|url=https://web.archive.org/web/20101028041630/http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html |date=28 October 2010 }}. Retrieved 19 November 2010.</ref> [[गूगल क्रोम]],<ref name="Chrome dirty dozen">Messmer, Ellen and NetworkWorld. [https://www.pcworld.com/article/210797/google_chrome_tops_dirty_dozen_vulnerable_apps_list.html "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"]. Retrieved 19 November 2010.</ref> [[ओपेरा (वेब ब्राउज़र)|ओपेरा]],<ref name="Opera severe hole">Skinner, Carrie-Ann. [http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html Opera Plugs "Severe" Browser Hole] {{webarchive |url=https://web.archive.org/web/20090520070700/http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html |date=20 May 2009 }}. Retrieved 19 November 2010.</ref> [[माइक्रोसॉफ्ट अंतर्जाल अन्वेषक|माइक्रोसॉफ्ट]] इंटरनेट एक्सप्लोरर,<ref name="time to drop IE6">Bradly, Tony. [https://www.pcworld.com/article/191356/its_time_to_finally_drop_internet_explorer_6.html "It's Time to Finally Drop Internet Explorer 6" ] {{webarchive|url=https://web.archive.org/web/20121015135539/http://www.pcworld.com/article/191356/Its_Time_to_Finally_Drop_Internet_Explorer_6.html |date=15 October 2012 }}. Retrieved 19 November 2010.</ref> और [[सफारी (वेब ब्राउज़र)|सफारी]]<ref>{{cite web|url=http://mashable.com/follow/topics/browser/|title=ब्राउज़र|publisher=[[Mashable]]|access-date=2 September 2011|url-status=live|archive-url=https://web.archive.org/web/20110902145020/http://mashable.com/follow/topics/browser/|archive-date=2 September 2011|df=dmy-all}}</ref> सहित में शोषण किया जाता है। | ||
Line 101: | Line 101: | ||
{{Web browsers|fsp}} | {{Web browsers|fsp}} | ||
{{Malware}} | {{Malware}} | ||
[[Category:All articles needing additional references]] | |||
[[Category:All articles with dead external links]] | |||
[[Category:Articles needing additional references from April 2019]] | |||
[[Category:Articles with dead external links from June 2019]] | |||
[[Category:Articles with hatnote templates targeting a nonexistent page]] | |||
[[Category:Articles with invalid date parameter in template]] | |||
[[Category:Articles with permanently dead external links]] | |||
[[Category:Articles with short description]] | |||
[[Category:CS1 English-language sources (en)]] | |||
[[Category:CS1 errors]] | |||
[[Category:CS1 français-language sources (fr)]] | |||
[[Category:CS1 maint]] | |||
[[Category:CS1 Ελληνικά-language sources (el)]] | |||
[[Category:Citation Style 1 templates|W]] | |||
[[Category:Collapse templates]] | |||
[[Category:Created On 16/12/2022]] | |||
[[Category:Lua-based templates]] | |||
[[Category:Machine Translated Page]] | |||
[[Category:Navigational boxes| ]] | |||
[[Category:Navigational boxes without horizontal lists]] | |||
[[Category:Pages with script errors]] | |||
[[Category:Short description with empty Wikidata description]] | |||
[[Category:Sidebars with styles needing conversion]] | |||
[[Category:Template documentation pages|Documentation/doc]] | |||
[[Category:Templates Vigyan Ready]] | |||
[[Category:Templates based on the Citation/CS1 Lua module]] | |||
[[Category:Templates generating COinS|Cite web]] | |||
[[Category:Templates generating microformats]] | |||
[[Category:Templates that add a tracking category]] | |||
[[Category:Templates that are not mobile friendly]] | |||
[[Category:Templates that generate short descriptions]] | |||
[[Category:Templates used by AutoWikiBrowser|Cite web]] | |||
[[Category:Templates using TemplateData]] | |||
[[Category:Webarchive template wayback links]] | |||
[[Category:Wikipedia fully protected templates|Cite web]] | |||
[[Category:Wikipedia metatemplates]] | |||
[[Category:इंटरनेट सुरक्षा]] | |||
[[Category:वेब ब्राउज़र]] | [[Category:वेब ब्राउज़र]] | ||
[[Category:वेब सुरक्षा शोषण]] | [[Category:वेब सुरक्षा शोषण]] | ||
Latest revision as of 12:18, 4 September 2023
ब्राउज़र सुरक्षा नेटवर्क डेटा और कंप्यूटर सिस्टम को गोपनीयता या मैलवेयर के उल्लंघन से बचाने के लिए वेब ब्राउज़र पर इंटरनेट सुरक्षा का उपयोग है। ब्राउज़रों के सुरक्षा शोषण प्रायः जावास्क्रिप्ट का उपयोग करते हैं, कभी-कभी क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस)[1] के साथ एडोब फ्लैश (Adobe Flash) का उपयोग करते हुए माध्यमिक पेलोड के साथ उपयोग है।[2] सुरक्षा शोषण भेद्यता (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतः सभी ब्राउज़रों (मोज़िला फ़ायरफ़ॉक्स,[3] गूगल क्रोम,[4] ओपेरा,[5] माइक्रोसॉफ्ट इंटरनेट एक्सप्लोरर,[6] और सफारी[7] सहित में शोषण किया जाता है।
सुरक्षा
वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:
- सामान्यतःऑपरेटिंग सिस्टम का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।[8]
- ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
- मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
- ब्राउज़र घटक हैक किए जा सकते हैं।
- ब्राउजर प्लगइन्स हैक किए जा सकते हैं।
- मशीन के बाहर ब्राउजर नेटवर्क कम्युनिकेशन को इंटरसेप्ट किया जा सकता है।[9]
हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।
जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)[10] यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से जो एक वेबसाइट ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।[11] एक बार अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।[12]
वेब ब्राउजर सुरक्षा के उल्लंघन सामान्यतया पॉप-अप विज्ञापन प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं[13] इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, वेबसाइट ट्रैकिंग या वेब एनालिटिक्स के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। वेब बग के रूप में, क्लिकजैकिंग, लाइकजैकिंग (जहां फेसबुक का लाइक बटन लक्षित है),[14][15][16][17] एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ);[2] एडवेयर इंस्टॉल करना, वायरस, स्पाइवेयर जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या मैन-इन-द-ब्राउज़र हमलों का उपयोग करके ऑनलाइन बैंकिंग चोरी सहित अन्य मैलवेयर।
क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं।[18] इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।
वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है,[19] लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा।[20] ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज, [21][22][23] विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।
रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, रूटकिट (rootkit) कीस्ट्रोक को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। डीएनएस हाइजैकिंग या डीएनएस स्पूफिंग का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। आरएसप्लग जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।
ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए नेटवर्क संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:
- डीएनएस: डीएनएससेक (DNSSec) और डीएनएस क्रिप्ट (DNSCrypt), उदाहरण के लिए गैर-डिफॉल्ट डीएनएस सर्वर जैसे कि गूगल पब्लिक डीएनएस या ओपनडीएनएस (OpenDNS)।
- एचटीटीपी: एचटीटीपी सुरक्षित और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट (सार्वजनिक कुंजी प्रमाणपत्र) या विस्तारित मान्यता प्रमाणपत्र के साथ।
पेरिमीटर सुरक्षा, सामान्यतया पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले प्रॉक्सी सर्वर को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, सामान्यतया पर बड़े संगठनों में ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।
ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,[24] ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .
प्लगइन्स और एक्सटेंशन
हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र प्लगइन्स और एक्सटेंशन अटैक की सतह का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन (Java plugin) और एक्टिवएक्स (ActiveX) में वल्नरेबिलिटी को अनावृत करते हैं जो सामान्यतया पर शोषित होते हैं। शोधकर्ताओं [25] ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में ब्राउज़र सहायक वस्तु।[26] गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।
एडोब फ्लैश
सोशल साइंस रिसर्च नेटवर्क (सामाजिक विज्ञान अनुसंधान नेटवर्क) द्वारा अगस्त 2009 के अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी।[27] अधिकांश ब्राउज़रों के कैशे और इतिहास हटाने के प्रकार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं के अपने कैश पर लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय एचटीटीपी कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है।[28] इस प्रकार, जिन उपयोगकर्ताओं ने एचटीटीपी कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, फ़ायरफ़ॉक्स के लिए बेटरप्राइवेसी ऐड-ऑन फ्लैश कुकीज़ को हटा सकता है।[2] ऐडब्लॉक प्लस (Adblock Plus) का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है[13] और अन्यथा विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले विकल्प देने के लिए फ़्लैशब्लॉक का उपयोग किया जा सकता है।[29]
चार्ली मिलर ने कंप्यूटर सुरक्षा सम्मेलन कैनसेकवेस्ट में "फ़्लैश स्थापित न करने"[30] की अनुशंसा की। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो अडोब फ्लैश प्लेयर को इंस्टॉल न करें या इसे ब्लॉक कर दें।[31]
पासवर्ड सुरक्षा मॉडल
वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस (HTTPS ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब वेब पेज पर पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।[32] उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "https://accounts.google.com" है या नहीं।
असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र सामान्यतया पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय चेतावनी प्रदर्शित करते हैं, जहां पता बार सामान्यतया पर स्थित होता है, ताकि पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।[33]
हार्डवेयर ब्राउज़र
गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। अन्य उपकरण, iCloak वेबसाइट से iCloak® Stik पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।
लाइवसीडी
लाइव सीडी, जो गैर-लिखने योग्य स्रोत से ऑपरेटिंग सिस्टम चलाते हैं, सामान्यतया पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।
ब्राउजर हार्डनिंग
कम से कम-विशेषाधिकार वाले उपयोगकर्ता खाते के रूप में इंटरनेट ब्राउज़ करना (अर्थात् बिना प्रशासक विशेषाधिकारों के) वेब ब्राउज़र में पूरे ऑपरेटिंग सिस्टम से समझौता करने से सुरक्षा शोषण की क्षमता को सीमित करता है।[34]
इंटरनेट एक्सप्लोरर 4 और बाद के संस्करण विभिन्न तरीकों से एक्टिवेक्स नियंत्रणों, ऐड-ऑन और ब्राउज़र एक्सटेंशन को ब्लैकलिस्टिंग[35][36][37] और व्हाइटलिस्टिंग[38][39] की अनुमति देता है।
इंटरनेट एक्सप्लोरर 7 ने "संरक्षित मोड" जोड़ा, ऐसी तकनीक जो विंडोज विस्टा (Windows Vista) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।[40] ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम सैंडबॉक्स प्रदान करता है।[41]
गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,[42] और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।[43]
यहां तक कि नवीनतम ब्राउज़रों,[44] और कुछ पुराने ब्राउज़रों और ऑपरेटिंग सिस्टमों के लिए भी कठोर (हार्डनिंग) करने के लिए थर्ड पार्टी एक्सटेंशन और प्लगइन्स उपलब्ध हैं। नोस्क्रिप्ट जैसे वाइट लिस्ट (श्वेतसूची)-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - एडब्लॉक प्लस भी श्वेतसूची विज्ञापन फ़िल्टरिंग नियमों की सदस्यता का उपयोग करता है, हालाँकि सॉफ़्टवेयर और स्वयं दोनों ही फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की डिफ़ॉल्ट रूप से अनुमति देने के लिए विवादों में आ गए हैं।[45] यूएस-सीईआरटी (यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम) की नोस्क्रिप्ट का उपयोग करके फ़्लैश को अवरुद्ध करने की अनुशंसा की है।[46]
फज़िंग
आधुनिक वेब ब्राउज़र वल्नरेबिलिटी को उजागर करने के लिए व्यापक फ़ज़िंग से गुज़रते हैं। गूगल क्रोम का क्रोमियम कोड 15,000 कोर के साथ क्रोम सुरक्षा टीम द्वारा लगातार फ़ज़ किया जाता है।[47] माइक्रोसॉफ्ट एज और इंटरनेट एक्स्प्लोरर के लिए, माइक्रोसॉफ्ट ने उत्पाद विकास के दौरान 670 मशीन वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन एचटीएमएल फ़ाइलों से 400 बिलियन से अधिक डीओएम जोड़-तोड़ उत्पन्न हुए [48][47]
सर्वोत्तम अभ्यास
This section does not cite any sources. (April 2019) (Learn how and when to remove this template message) |
- क्लीन सॉफ़्टवेयर लोड करें: ज्ञात क्लीन ओएस से ज्ञात क्लीन वेब ब्राउज़र से बूट करें
- क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (सीओआरएस) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (उदाहरण पैच वेबकिट-आधारित ब्राउज़र के लिए प्रदान किए गए हैं)
- थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
- डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें[49]
- वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में सामान्यतया पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
- विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें
यह भी देखें
- फ़िल्टर बबल
- फ्रेम इंजेक्शन
- पहचान संचालित नेटवर्किंग (आइडेंटिटी ड्रिवेन नेटवर्किंग)
- इंटरनेट सुरक्षा
- नेटवर्क सुरक्षा नीति
- एप्लीकेशन सिक्योरिटी
संदर्भ
- ↑ Maone, Giorgio. "नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
- ↑ 2.0 2.1 2.2 "बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Foundation.[permanent dead link]
- ↑ Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Archived 28 October 2010 at the Wayback Machine. Retrieved 19 November 2010.
- ↑ Messmer, Ellen and NetworkWorld. "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List". Retrieved 19 November 2010.
- ↑ Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Archived 20 May 2009 at the Wayback Machine. Retrieved 19 November 2010.
- ↑ Bradly, Tony. "It's Time to Finally Drop Internet Explorer 6" Archived 15 October 2012 at the Wayback Machine. Retrieved 19 November 2010.
- ↑ "ब्राउज़र". Mashable. Archived from the original on 2 September 2011. Retrieved 2 September 2011.
- ↑ Smith, Dave (21 March 2013). "योंटू ट्रोजन: नया मैक ओएस एक्स मैलवेयर एडवेयर के जरिए गूगल क्रोम, फायरफॉक्स और सफारी ब्राउजर्स को संक्रमित करता है". IBT Media Inc. Archived from the original on 24 March 2013. Retrieved 21 March 2013.
- ↑ Goodin, Dan. "MySQL.com उल्लंघन आगंतुकों को मैलवेयर के संपर्क में छोड़ देता है". The Register. Archived from the original on 28 September 2011. Retrieved 26 September 2011.
- ↑ Clinton Wong. "HTTP लेनदेन". O'Reilly. Archived from the original on 13 June 2013.
- ↑ "9 Ways to Know Your PC is Infected with Malware". Archived from the original on 11 November 2013.
- ↑ "सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र". Archived from the original on 9 June 2013.
- ↑ 13.0 13.1 Palant, Wladimir. "एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
- ↑ "'लाइक' आमंत्रणों पर फेसबुक की निजता की जांच". CBC News. 23 September 2010. Archived from the original on 26 June 2012. Retrieved 24 August 2011.
- ↑ Albanesius, Chloe (19 August 2011). "जर्मन एजेंसियां फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन". PC Magazine. Archived from the original on 29 March 2012. Retrieved 24 August 2011.
{{cite news}}
: zero width space character in|title=
at position 17 (help) - ↑ McCullagh, Declan (2 June 2010). "Facebook 'Like' button draws privacy scrutiny". CNET News. Archived from the original on 5 December 2011. Retrieved 19 December 2011.
- ↑ Roosendaal, Arnold (30 November 2010). "फेसबुक हर किसी को ट्रैक और ट्रेस करता है: इसे लाइक करें!". SSRN 1717563.
- ↑ Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "आर्किटेक्चरल सिक्योरिटी टैक्टिक्स से संबंधित सॉफ्टवेयर कमजोरियों को समझना: क्रोमियम, पीएचपी और थंडरबर्ड की एक अनुभवजन्य जांच". 2017 IEEE International Conference on Software Architecture (ICSA): 69–78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
- ↑ State of Vermont. "वेब ब्राउजर अटैक". Archived from the original on 13 February 2012. Retrieved 11 April 2012.
- ↑ "विंडोज रूटकिट अवलोकन" (PDF). Symantec. Archived from the original (PDF) on 16 May 2013. Retrieved 20 April 2013.
- ↑ "क्रॉस साइट स्क्रिप्टिंग अटैक". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
- ↑ Lenny Zeltser. "वेब ब्राउज़र और ऐड-ऑन पर हमलों को कम करना". Archived from the original on 7 May 2013. Retrieved 20 May 2013.
- ↑ Dan Goodin (14 March 2013). "एसएसएल डिक्रिप्ट प्रमाणीकरण कुकीज़ पर दो नए हमले". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
- ↑ "बीफप्रोजेक्ट.कॉम". Archived from the original on 11 August 2011.
{{cite web}}
: Check|url=
value (help) - ↑ Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, USA: ACM: 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
- ↑ "सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं". Symantec.com. Archived from the original on 14 May 2013. Retrieved 12 April 2012.
- ↑ Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (2009-08-10). "सोल्टानी, अशकान, कैंटी, शैनन, मेयो, क्वेंटिन, थॉमस, लॉरेन और हूफनागल, क्रिस जे: फ्लैश कुकीज़ और गोपनीयता". SSRN 1446862.
- ↑ "स्थानीय साझा वस्तु -- "फ्लैश कुकीज़"". Electronic Privacy Information Center. 2005-07-21. Archived from the original on 16 April 2010. Retrieved 2010-03-08.
- ↑ Chee, Philip. "फ्लैशब्लॉक :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation. Archived from the original on 2013-04-15.
- ↑ "Pwn2Own 2010: चार्ली मिलर के साथ साक्षात्कार". 2010-03-01. Archived from the original on 24 April 2011. Retrieved 2010-03-27.
- ↑ "विशेषज्ञ का कहना है कि Adobe Flash नीति जोखिम भरी है". 12 November 2009. Archived from the original on 26 April 2011. Retrieved 27 March 2010.
- ↑ John C. Mitchell. "ब्राउज़र सुरक्षा मॉडल" (PDF). Archived (PDF) from the original on 20 June 2015.
- ↑ "फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org". feross.org. Archived from the original on 25 December 2017. Retrieved 7 May 2018.
- ↑ "कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता खाते का उपयोग करना". Microsoft. Archived from the original on 6 March 2013. Retrieved 20 April 2013.
- ↑ "Internet Explorer में ActiveX नियंत्रण को चलने से कैसे रोकें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
- ↑ "उन्नत उपयोगकर्ताओं के लिए Internet Explorer सुरक्षा क्षेत्र रजिस्ट्री प्रविष्टियाँ". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
- ↑ "आउट-ऑफ़-डेट एक्टिवएक्स कंट्रोल ब्लॉकिंग". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
- ↑ "इंटरनेट एक्सप्लोरर ऐड-ऑन प्रबंधन और क्रैश डिटेक्शन". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
- ↑ "Windows XP सर्विस पैक 2 में Internet Explorer ऐड-ऑन कैसे प्रबंधित करें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
- ↑ Matthew Conover. "Windows Vista सुरक्षा मॉडल का विश्लेषण" (PDF). Symantec Corporation. Archived from the original (PDF) on 16 May 2008. Retrieved 8 October 2007.
- ↑ "ब्राउज़र सुरक्षा: Google Chrome से सीखे". Archived from the original on 11 November 2013.
- ↑ "Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें". Archived from the original on 12 September 2014.
- ↑ "Google सुरक्षित ब्राउज़िंग". Archived from the original on 14 September 2014.
- ↑ "अपने वेब ब्राउज़र को सुरक्षित करने के 5 तरीके". ZoneAlarm. 8 May 2014. Archived from the original on 7 September 2014.
- ↑ "एडब्लॉक प्लस जल्द ही कम विज्ञापनों को ब्लॉक करेगा - सिलिकॉनफिल्टर". Siliconfilter.com. 12 December 2011. Archived from the original on 30 January 2013. Retrieved 20 April 2013.
- ↑ "अपने वेब ब्राउज़र को सुरक्षित करना". Archived from the original on 26 March 2010. Retrieved 2010-03-27.
- ↑ 47.0 47.1 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 Sep 2017). "ब्राउज़र सुरक्षा श्वेतपत्र" (PDF). X41D SEC GmbH.
- ↑ "Microsoft Edge के लिए सुरक्षा संवर्द्धन (IT पेशेवरों के लिए Microsoft Edge)" (in English). Microsoft. 15 Oct 2017. Retrieved 31 August 2018.
- ↑ Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weaver, Nick; Paxson, Vern (2017). {DNS} हेरफेर का वैश्विक मापन (in English). pp. 307–323. ISBN 978-1-931971-40-9.
अग्रिम पठन
- Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 Sep 2017). "Browser Security White Paper" (PDF). X41D SEC GmbH.
- Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolai; Kinugawa, Masato (29 Nov 2017). "Cure53 Browser Security White Paper" (PDF). Cure53.