ब्राउज़र सुरक्षा: Difference between revisions

From Vigyanwiki
No edit summary
No edit summary
 
(7 intermediate revisions by 5 users not shown)
Line 1: Line 1:
{{Short description|Application of internet security to web browsers}}
{{Short description|Application of internet security to web browsers}}
{{Use dmy dates|date=October 2013}}
'''ब्राउज़र सुरक्षा''' [[कंप्यूटर नेटवर्क|नेटवर्क]] डेटा और [[कंप्यूटर प्रणाली|कंप्यूटर सिस्टम]] को गोपनीयता या [[मैलवेयर]] के उल्लंघन से बचाने के लिए [[वेब ब्राउज़र]] पर [[इंटरनेट सुरक्षा]] का उपयोग है। ब्राउज़रों के सुरक्षा शोषण प्रायः [[जावास्क्रिप्ट]] का उपयोग करते हैं, कभी-कभी [[क्रॉस साइट स्क्रिप्टिंग]] (एक्सएसएस)<ref name="mozilla-noscript">{{cite web
 
|url=https://addons.mozilla.org/firefox/addon/noscript |title=नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Giorgio Maone |first=Giorgio |last=Maone |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> के साथ एडोब फ्लैश ([[Adobe Flash]]) का उपयोग करते हुए माध्यमिक पेलोड के साथ उपयोग है।<ref name="mozilla-betterprivacy">{{cite web |url=https://addons.mozilla.org/firefox/addon/betterprivacy |title=बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|website=[[Mozilla Foundation]] }}{{Dead link|date=June 2019 |bot=InternetArchiveBot |fix-attempted=yes }}</ref> सुरक्षा शोषण [[भेद्यता (कंप्यूटिंग)|भेद्यता]] (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतः सभी ब्राउज़रों ([[मोज़िला फ़ायरफ़ॉक्स]],<ref name="Firefox vulnerability confirmed">Keizer, Greg. [http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html Firefox 3.5 Vulnerability Confirmed] {{webarchive|url=https://web.archive.org/web/20101028041630/http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html |date=28 October 2010 }}. Retrieved 19 November 2010.</ref> [[गूगल क्रोम]],<ref name="Chrome dirty dozen">Messmer, Ellen and NetworkWorld. [https://www.pcworld.com/article/210797/google_chrome_tops_dirty_dozen_vulnerable_apps_list.html "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"]. Retrieved 19 November 2010.</ref> [[ओपेरा (वेब ​​ब्राउज़र)|ओपेरा]],<ref name="Opera severe hole">Skinner, Carrie-Ann. [http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html Opera Plugs "Severe" Browser Hole] {{webarchive |url=https://web.archive.org/web/20090520070700/http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html |date=20 May 2009 }}. Retrieved 19 November 2010.</ref> [[माइक्रोसॉफ्ट अंतर्जाल अन्वेषक|माइक्रोसॉफ्ट]] इंटरनेट एक्सप्लोरर,<ref name="time to drop IE6">Bradly, Tony. [https://www.pcworld.com/article/191356/its_time_to_finally_drop_internet_explorer_6.html "It's Time to Finally Drop Internet Explorer 6" ] {{webarchive|url=https://web.archive.org/web/20121015135539/http://www.pcworld.com/article/191356/Its_Time_to_Finally_Drop_Internet_Explorer_6.html |date=15 October 2012 }}. Retrieved 19 November 2010.</ref> और [[सफारी (वेब ​​​​ब्राउज़र)|सफारी]]<ref>{{cite web|url=http://mashable.com/follow/topics/browser/|title=ब्राउज़र|publisher=[[Mashable]]|access-date=2 September 2011|url-status=live|archive-url=https://web.archive.org/web/20110902145020/http://mashable.com/follow/topics/browser/|archive-date=2 September 2011|df=dmy-all}}</ref> सहित में शोषण किया जाता है।
ब्राउज़र सुरक्षा [[कंप्यूटर नेटवर्क|नेटवर्क]] डेटा और [[कंप्यूटर प्रणाली|कंप्यूटर सिस्टम]] को गोपनीयता या [[मैलवेयर]] के उल्लंघन से बचाने के लिए [[वेब ब्राउज़र]] पर [[इंटरनेट सुरक्षा]] का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर [[जावास्क्रिप्ट]] का उपयोग करते हैं, कभी-कभी [[क्रॉस साइट स्क्रिप्टिंग]] (एक्सएसएस)<ref name="mozilla-noscript">{{cite web
|url=https://addons.mozilla.org/firefox/addon/noscript |title=नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Giorgio Maone |first=Giorgio |last=Maone |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> के साथ एडोब फ्लैश ([[Adobe Flash]]) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ।<ref name="mozilla-betterprivacy">{{cite web |url=https://addons.mozilla.org/firefox/addon/betterprivacy |title=बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|website=[[Mozilla Foundation]] }}{{Dead link|date=June 2019 |bot=InternetArchiveBot |fix-attempted=yes }}</ref> सुरक्षा शोषण [[भेद्यता (कंप्यूटिंग)|भेद्यता]] (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतया पर सभी ब्राउज़रों ([[मोज़िला फ़ायरफ़ॉक्स]],<ref name="Firefox vulnerability confirmed">Keizer, Greg. [http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html Firefox 3.5 Vulnerability Confirmed] {{webarchive|url=https://web.archive.org/web/20101028041630/http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html |date=28 October 2010 }}. Retrieved 19 November 2010.</ref> [[गूगल क्रोम]],<ref name="Chrome dirty dozen">Messmer, Ellen and NetworkWorld. [https://www.pcworld.com/article/210797/google_chrome_tops_dirty_dozen_vulnerable_apps_list.html "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"]. Retrieved 19 November 2010.</ref> [[ओपेरा (वेब ​​ब्राउज़र)|ओपेरा]],<ref name="Opera severe hole">Skinner, Carrie-Ann. [http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html Opera Plugs "Severe" Browser Hole] {{webarchive |url=https://web.archive.org/web/20090520070700/http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html |date=20 May 2009 }}. Retrieved 19 November 2010.</ref> [[माइक्रोसॉफ्ट अंतर्जाल अन्वेषक|माइक्रोसॉफ्ट]] इंटरनेट एक्सप्लोरर,<ref name="time to drop IE6">Bradly, Tony. [https://www.pcworld.com/article/191356/its_time_to_finally_drop_internet_explorer_6.html "It's Time to Finally Drop Internet Explorer 6" ] {{webarchive|url=https://web.archive.org/web/20121015135539/http://www.pcworld.com/article/191356/Its_Time_to_Finally_Drop_Internet_Explorer_6.html |date=15 October 2012 }}. Retrieved 19 November 2010.</ref> और [[सफारी (वेब ​​​​ब्राउज़र)|सफारी]]<ref>{{cite web|url=http://mashable.com/follow/topics/browser/|title=ब्राउज़र|publisher=[[Mashable]]|access-date=2 September 2011|url-status=live|archive-url=https://web.archive.org/web/20110902145020/http://mashable.com/follow/topics/browser/|archive-date=2 September 2011|df=dmy-all}}</ref> सहित में शोषण किया जाता है।


== सुरक्षा ==
== सुरक्षा ==
वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:
वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:
* [[ऑपरेटिंग सिस्टम]] का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।<ref>{{cite web|last=Smith|first=Dave|title=योंटू ट्रोजन: नया मैक ओएस एक्स मैलवेयर एडवेयर के जरिए गूगल क्रोम, फायरफॉक्स और सफारी ब्राउजर्स को संक्रमित करता है|date=21 March 2013|url=http://www.ibtimes.com/yontoo-trojan-new-mac-os-x-malware-infects-google-chrome-firefox-safari-browsers-adware-1142969|publisher=IBT Media Inc|access-date=21 March 2013|url-status=live|archive-url=https://web.archive.org/web/20130324025727/http://www.ibtimes.com/yontoo-trojan-new-mac-os-x-malware-infects-google-chrome-firefox-safari-browsers-adware-1142969|archive-date=24 March 2013|df=dmy-all}}</ref>
* सामान्यतः[[ऑपरेटिंग सिस्टम]] का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।<ref>{{cite web|last=Smith|first=Dave|title=योंटू ट्रोजन: नया मैक ओएस एक्स मैलवेयर एडवेयर के जरिए गूगल क्रोम, फायरफॉक्स और सफारी ब्राउजर्स को संक्रमित करता है|date=21 March 2013|url=http://www.ibtimes.com/yontoo-trojan-new-mac-os-x-malware-infects-google-chrome-firefox-safari-browsers-adware-1142969|publisher=IBT Media Inc|access-date=21 March 2013|url-status=live|archive-url=https://web.archive.org/web/20130324025727/http://www.ibtimes.com/yontoo-trojan-new-mac-os-x-malware-infects-google-chrome-firefox-safari-browsers-adware-1142969|archive-date=24 March 2013|df=dmy-all}}</ref>
*ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में एक मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
*ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
* मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
* मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
* ब्राउज़र घटक हैक किए जा सकते हैं।
* ब्राउज़र घटक हैक किए जा सकते हैं।
Line 16: Line 14:
हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।
हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।


जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)<ref>{{cite web | url=http://oreilly.com/catalog/httppr/chapter/http_pkt.html | title=HTTP लेनदेन| author=Clinton Wong | publisher=O'Reilly | archive-url=https://web.archive.org/web/20130613235658/http://oreilly.com/catalog/httppr/chapter/http_pkt.html | archive-date=13 June 2013 | df=dmy-all }}</ref> यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से एक जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।<ref>{{cite web |  url=http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  title=9 Ways to Know Your PC is Infected with Malware |  archive-url=https://web.archive.org/web/20131111192509/http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  archive-date=11 November 2013 |  df=dmy-all }}</ref> एक बार एक अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।<ref>{{cite web | url=http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | title=सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र| url-status=live | archive-url=https://web.archive.org/web/20130609070315/http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | archive-date=9 June 2013 | df=dmy-all }}</ref>
जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)<ref>{{cite web | url=http://oreilly.com/catalog/httppr/chapter/http_pkt.html | title=HTTP लेनदेन| author=Clinton Wong | publisher=O'Reilly | archive-url=https://web.archive.org/web/20130613235658/http://oreilly.com/catalog/httppr/chapter/http_pkt.html | archive-date=13 June 2013 | df=dmy-all }}</ref> यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से जो एक वेबसाइट ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।<ref>{{cite web |  url=http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  title=9 Ways to Know Your PC is Infected with Malware |  archive-url=https://web.archive.org/web/20131111192509/http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  archive-date=11 November 2013 |  df=dmy-all }}</ref> एक बार अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।<ref>{{cite web | url=http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | title=सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र| url-status=live | archive-url=https://web.archive.org/web/20130609070315/http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | archive-date=9 June 2013 | df=dmy-all }}</ref>


वेब ब्राउजर सुरक्षा के उल्लंघन सामान्यतया पर [[पॉप-अप विज्ञापन]] प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं<ref name="mozilla-adblock-plus">{{cite web |url=https://addons.mozilla.org/firefox/addon/adblock-plus |title=एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Wladimir Palant |first=Wladimir |last=Palant |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, [[वेबसाइट ट्रैकिंग]] या [[वेब विश्लेषिकी|वेब एनालिटिक्स]] के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। [[वेब बग]] के रूप में, [[क्लिकजैकिंग]], लाइकजैकिंग (जहां [[फेसबुक]] का लाइक [[बटन की तरह|बटन]] लक्षित है),<ref>{{cite news|url=http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|title='लाइक' आमंत्रणों पर फेसबुक की निजता की जांच|date=23 September 2010|work=CBC News|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120626205135/http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|archive-date=26 June 2012|df=dmy-all}}</ref><ref>{{cite news|url=https://www.pcmag.com/article2/0,2817,2391440,00.asp|title=जर्मन एजेंसियां ​​फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन|last=Albanesius|first=Chloe|date=19 August 2011|work=[[PC Magazine]]|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120329043111/http://www.pcmag.com/article2/0,2817,2391440,00.asp |archive-date=29 March 2012|df=dmy-all}}</ref><ref name="cnet-privacy-scrutiny">{{cite news
वेब ब्राउजर सुरक्षा के उल्लंघन सामान्यतया [[पॉप-अप विज्ञापन]] प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं<ref name="mozilla-adblock-plus">{{cite web |url=https://addons.mozilla.org/firefox/addon/adblock-plus |title=एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Wladimir Palant |first=Wladimir |last=Palant |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, [[वेबसाइट ट्रैकिंग]] या [[वेब विश्लेषिकी|वेब एनालिटिक्स]] के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। [[वेब बग]] के रूप में, [[क्लिकजैकिंग]], लाइकजैकिंग (जहां [[फेसबुक]] का लाइक [[बटन की तरह|बटन]] लक्षित है),<ref>{{cite news|url=http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|title='लाइक' आमंत्रणों पर फेसबुक की निजता की जांच|date=23 September 2010|work=CBC News|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120626205135/http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|archive-date=26 June 2012|df=dmy-all}}</ref><ref>{{cite news|url=https://www.pcmag.com/article2/0,2817,2391440,00.asp|title=जर्मन एजेंसियां ​​फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन|last=Albanesius|first=Chloe|date=19 August 2011|work=[[PC Magazine]]|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120329043111/http://www.pcmag.com/article2/0,2817,2391440,00.asp |archive-date=29 March 2012|df=dmy-all}}</ref><ref name="cnet-privacy-scrutiny">{{cite news
  |last        = McCullagh
  |last        = McCullagh
  |first      = Declan
  |first      = Declan
Line 33: Line 31:
}}</ref><ref>{{cite ssrn |ssrn=1717563 |title=फेसबुक हर किसी को ट्रैक और ट्रेस करता है: इसे लाइक करें!|last=Roosendaal|first=Arnold|date=30 November 2010}}</ref> एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ);<ref name="mozilla-betterprivacy" /> [[एडवेयर]] इंस्टॉल करना, [[कंप्यूटर वायरस|वायरस]], [[स्पाइवेयर]] जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या [[मैन-इन-ब्राउज़र|मैन-इन-द-ब्राउज़र]] हमलों का उपयोग करके [[ऑनलाइन बैंकिंग]] चोरी सहित अन्य मैलवेयर।
}}</ref><ref>{{cite ssrn |ssrn=1717563 |title=फेसबुक हर किसी को ट्रैक और ट्रेस करता है: इसे लाइक करें!|last=Roosendaal|first=Arnold|date=30 November 2010}}</ref> एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ);<ref name="mozilla-betterprivacy" /> [[एडवेयर]] इंस्टॉल करना, [[कंप्यूटर वायरस|वायरस]], [[स्पाइवेयर]] जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या [[मैन-इन-ब्राउज़र|मैन-इन-द-ब्राउज़र]] हमलों का उपयोग करके [[ऑनलाइन बैंकिंग]] चोरी सहित अन्य मैलवेयर।


क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, एक वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं।<ref>{{Cite journal|last1=Santos|first1=J. C. S.|last2=Peruma|first2=A.|last3=Mirakhorli|first3=M.|last4=Galstery|first4=M.|last5=Vidal|first5=J. V.|last6=Sejfia|first6=A.|date=April 2017|title=आर्किटेक्चरल सिक्योरिटी टैक्टिक्स से संबंधित सॉफ्टवेयर कमजोरियों को समझना: क्रोमियम, पीएचपी और थंडरबर्ड की एक अनुभवजन्य जांच|url=https://www.researchgate.net/publication/317072830|journal=2017 IEEE International Conference on Software Architecture (ICSA)|pages=69–78|doi=10.1109/ICSA.2017.39|isbn=978-1-5090-5729-0|s2cid=29186731}}</ref> इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।
क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं।<ref>{{Cite journal|last1=Santos|first1=J. C. S.|last2=Peruma|first2=A.|last3=Mirakhorli|first3=M.|last4=Galstery|first4=M.|last5=Vidal|first5=J. V.|last6=Sejfia|first6=A.|date=April 2017|title=आर्किटेक्चरल सिक्योरिटी टैक्टिक्स से संबंधित सॉफ्टवेयर कमजोरियों को समझना: क्रोमियम, पीएचपी और थंडरबर्ड की एक अनुभवजन्य जांच|url=https://www.researchgate.net/publication/317072830|journal=2017 IEEE International Conference on Software Architecture (ICSA)|pages=69–78|doi=10.1109/ICSA.2017.39|isbn=978-1-5090-5729-0|s2cid=29186731}}</ref> इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।


वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है,<ref>{{cite web|url=http://itsecurity.vermont.gov/threats/web_attacks|title=वेब ब्राउजर अटैक|author=State of Vermont|access-date=11 April 2012|archive-url=https://web.archive.org/web/20120213180056/http://itsecurity.vermont.gov/threats/web_attacks|archive-date=13 February 2012|df=dmy-all}}</ref> लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा।<ref>{{cite web |url=https://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf |title=विंडोज रूटकिट अवलोकन|publisher=Symantec |access-date=2013-04-20 |archive-url=https://web.archive.org/web/20130516120234/https://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf |archive-date=16 May 2013 |df=dmy-all }}</ref> ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज, <ref>{{cite web|url=http://www.acunetix.com/websitesecurity/cross-site-scripting/|title=क्रॉस साइट स्क्रिप्टिंग अटैक|access-date=20 May 2013|url-status=live|archive-url=https://web.archive.org/web/20130515154916/http://www.acunetix.com/websitesecurity/cross-site-scripting/|archive-date=15 May 2013|df=dmy-all}}</ref><ref>{{cite web|url=http://blog.zeltser.com/post/2527547617/targeting-web-browser|title=वेब ब्राउज़र और ऐड-ऑन पर हमलों को कम करना|author=Lenny Zeltser|access-date=20 May 2013|url-status=live|archive-url=https://web.archive.org/web/20130507092833/http://blog.zeltser.com/post/2527547617/targeting-web-browser|archive-date=7 May 2013|df=dmy-all}}</ref><ref>{{cite web|url=https://arstechnica.com/security/2013/03/new-attacks-on-ssl-decrypt-authentication-cookies/|title=एसएसएल डिक्रिप्ट प्रमाणीकरण कुकीज़ पर दो नए हमले|author=Dan Goodin|date=14 March 2013|access-date=20 May 2013|url-status=live|archive-url=https://web.archive.org/web/20130515021000/http://arstechnica.com/security/2013/03/new-attacks-on-ssl-decrypt-authentication-cookies/|archive-date=15 May 2013|df=dmy-all}}</ref> विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।
वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है,<ref>{{cite web|url=http://itsecurity.vermont.gov/threats/web_attacks|title=वेब ब्राउजर अटैक|author=State of Vermont|access-date=11 April 2012|archive-url=https://web.archive.org/web/20120213180056/http://itsecurity.vermont.gov/threats/web_attacks|archive-date=13 February 2012|df=dmy-all}}</ref> लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा।<ref>{{cite web |url=https://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf |title=विंडोज रूटकिट अवलोकन|publisher=Symantec |access-date=2013-04-20 |archive-url=https://web.archive.org/web/20130516120234/https://www.symantec.com/avcenter/reference/windows.rootkit.overview.pdf |archive-date=16 May 2013 |df=dmy-all }}</ref> ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज, <ref>{{cite web|url=http://www.acunetix.com/websitesecurity/cross-site-scripting/|title=क्रॉस साइट स्क्रिप्टिंग अटैक|access-date=20 May 2013|url-status=live|archive-url=https://web.archive.org/web/20130515154916/http://www.acunetix.com/websitesecurity/cross-site-scripting/|archive-date=15 May 2013|df=dmy-all}}</ref><ref>{{cite web|url=http://blog.zeltser.com/post/2527547617/targeting-web-browser|title=वेब ब्राउज़र और ऐड-ऑन पर हमलों को कम करना|author=Lenny Zeltser|access-date=20 May 2013|url-status=live|archive-url=https://web.archive.org/web/20130507092833/http://blog.zeltser.com/post/2527547617/targeting-web-browser|archive-date=7 May 2013|df=dmy-all}}</ref><ref>{{cite web|url=https://arstechnica.com/security/2013/03/new-attacks-on-ssl-decrypt-authentication-cookies/|title=एसएसएल डिक्रिप्ट प्रमाणीकरण कुकीज़ पर दो नए हमले|author=Dan Goodin|date=14 March 2013|access-date=20 May 2013|url-status=live|archive-url=https://web.archive.org/web/20130515021000/http://arstechnica.com/security/2013/03/new-attacks-on-ssl-decrypt-authentication-cookies/|archive-date=15 May 2013|df=dmy-all}}</ref> विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।


रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, एक रूटकिट ([[rootkit]]) [[कीस्ट्रोक लकड़हारा|कीस्ट्रोक]] को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। [[डीएनएस अपहरण|डीएनएस]] हाइजैकिंग या [[डीएनएस स्पूफिंग]] का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। [[आरएसप्लग]] जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।
रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, रूटकिट ([[rootkit]]) [[कीस्ट्रोक लकड़हारा|कीस्ट्रोक]] को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। [[डीएनएस अपहरण|डीएनएस]] हाइजैकिंग या [[डीएनएस स्पूफिंग]] का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। [[आरएसप्लग]] जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।


ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए [[नेटवर्क प्रोटोकॉल|नेटवर्क]] संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:
ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए [[नेटवर्क प्रोटोकॉल|नेटवर्क]] संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:
Line 43: Line 41:
*[[एचटीटीपी]]: एचटीटीपी [[HTTP सुरक्षित|सुरक्षित]] और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट ([[सार्वजनिक कुंजी प्रमाणपत्र]]) या विस्तारित मान्यता प्रमाणपत्र के साथ।
*[[एचटीटीपी]]: एचटीटीपी [[HTTP सुरक्षित|सुरक्षित]] और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट ([[सार्वजनिक कुंजी प्रमाणपत्र]]) या विस्तारित मान्यता प्रमाणपत्र के साथ।


पेरिमीटर सुरक्षा, सामान्यतया पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले [[प्रॉक्सी सर्वर]] को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, सामान्यतया पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए एक सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।
पेरिमीटर सुरक्षा, सामान्यतया पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले [[प्रॉक्सी सर्वर]] को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, सामान्यतया पर बड़े संगठनों में ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।


ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,<ref>{{cite web|url=http://बीफप्रोजेक्ट.कॉम/|title=बीफप्रोजेक्ट.कॉम|url-status=live|archive-url=https://web.archive.org/web/20110811035950/http://बीफप्रोजेक्ट.कॉम/ |archive-date=11 August 2011|df=dmy-all}}</ref> ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .
ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,<ref>{{cite web|url=http://बीफप्रोजेक्ट.कॉम/|title=बीफप्रोजेक्ट.कॉम|url-status=live|archive-url=https://web.archive.org/web/20110811035950/http://बीफप्रोजेक्ट.कॉम/ |archive-date=11 August 2011|df=dmy-all}}</ref> ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .


=== प्लगइन्स और एक्सटेंशन ===
=== प्लगइन्स और एक्सटेंशन ===
हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र [[प्लग-इन (कंप्यूटिंग)|प्लगइन्स]] और [[ब्राउज़र एक्सटेंशन|एक्सटेंशन]] अटैक की [[हमले की सतह|सतह]] का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन ([[Java plugin]]) और एक्टिवएक्स ([[ActiveX]]) में वल्नरेबिलिटी को अनावृत करते हैं जो सामान्यतया पर शोषित होते हैं। शोधकर्ताओं <ref>{{Cite journal|last1=Santos|first1=Joanna C. S.|last2=Sejfia|first2=Adriana|last3=Corrello|first3=Taylor|last4=Gadenkanahalli|first4=Smruthi|last5=Mirakhorli|first5=Mehdi|date=2019|title=एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच|url=https://www.researchgate.net/publication/334130422|journal=Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering|series=ESEC/FSE 2019|location=New York, NY, USA|publisher=ACM|pages=671–682|doi=10.1145/3338906.3338969|isbn=978-1-4503-5572-8|s2cid=199501995}}</ref> ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को एक ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में एक [[ब्राउज़र सहायक वस्तु]]।<ref>{{cite web|url=http://www.symantec.com/business/support/index?page=content&id=TECH94965|title=सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं|publisher=Symantec.com|access-date=12 April 2012|url-status=live|archive-url=https://web.archive.org/web/20130514095634/http://www.symantec.com/business/support/index?page=content&id=TECH94965|archive-date=14 May 2013|df=dmy-all}}</ref> गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।
हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र [[प्लग-इन (कंप्यूटिंग)|प्लगइन्स]] और [[ब्राउज़र एक्सटेंशन|एक्सटेंशन]] अटैक की [[हमले की सतह|सतह]] का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन ([[Java plugin]]) और एक्टिवएक्स ([[ActiveX]]) में वल्नरेबिलिटी को अनावृत करते हैं जो सामान्यतया पर शोषित होते हैं। शोधकर्ताओं <ref>{{Cite journal|last1=Santos|first1=Joanna C. S.|last2=Sejfia|first2=Adriana|last3=Corrello|first3=Taylor|last4=Gadenkanahalli|first4=Smruthi|last5=Mirakhorli|first5=Mehdi|date=2019|title=एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच|url=https://www.researchgate.net/publication/334130422|journal=Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering|series=ESEC/FSE 2019|location=New York, NY, USA|publisher=ACM|pages=671–682|doi=10.1145/3338906.3338969|isbn=978-1-4503-5572-8|s2cid=199501995}}</ref> ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में [[ब्राउज़र सहायक वस्तु]]।<ref>{{cite web|url=http://www.symantec.com/business/support/index?page=content&id=TECH94965|title=सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं|publisher=Symantec.com|access-date=12 April 2012|url-status=live|archive-url=https://web.archive.org/web/20130514095634/http://www.symantec.com/business/support/index?page=content&id=TECH94965|archive-date=14 May 2013|df=dmy-all}}</ref> गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।


=== एडोब फ्लैश ===
=== एडोब फ्लैश ===
{{Main|स्थानीय साझा वस्तु गोपनीयता संबंधी चिंताएँ}}
{{Main|स्थानीय साझा वस्तु गोपनीयता संबंधी चिंताएँ}}


सोशल साइंस रिसर्च नेटवर्क ([[सामाजिक विज्ञान अनुसंधान नेटवर्क]]) द्वारा अगस्त 2009 के एक अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी।<ref>{{cite ssrn |ssrn=1446862|title=सोल्टानी, अशकान, कैंटी, शैनन, मेयो, क्वेंटिन, थॉमस, लॉरेन और हूफनागल, क्रिस जे: फ्लैश कुकीज़ और गोपनीयता|date=2009-08-10 |last1=Soltani|first1=Ashkan|last2=Canty|first2=Shannon|last3=Mayo|first3=Quentin|last4=Thomas|first4=Lauren|last5=Hoofnagle|first5=Chris Jay}}</ref> अधिकांश ब्राउज़रों के कैशे और इतिहास हटाने के प्रकार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं के अपने कैश पर लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय एचटीटीपी कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है।<ref>{{cite web|url=http://epic.org/privacy/cookies/flash.html|title=स्थानीय साझा वस्तु -- "फ्लैश कुकीज़"|publisher=Electronic Privacy Information Center|date=2005-07-21|access-date=2010-03-08| archive-url=https://web.archive.org/web/20100416041024/http://epic.org/privacy/cookies/flash.html| archive-date= 16 April 2010 | url-status= live}}</ref> इस प्रकार, जिन उपयोगकर्ताओं ने एचटीटीपी कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, फ़ायरफ़ॉक्स के लिए बेटरप्राइवेसी ऐड-ऑन फ्लैश कुकीज़ को हटा सकता है।<ref name=mozilla-betterprivacy /> ऐडब्लॉक प्लस ([[Adblock Plus]]) का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है<ref name=mozilla-adblock-plus /> और अन्यथा विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले एक विकल्प देने के लिए [[फ़्लैशब्लॉक]] का उपयोग किया जा सकता है।<ref name=mozilla-flashblock>{{cite web |url=https://addons.mozilla.org/firefox/addon/flashblock |archive-url=https://archive.today/20130415090235/http://addons.mozilla.org/firefox/addon/flashblock |archive-date=2013-04-15 |title=फ्लैशब्लॉक :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Philip Chee |first=Philip |last=Chee |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]] }}</ref>
सोशल साइंस रिसर्च नेटवर्क ([[सामाजिक विज्ञान अनुसंधान नेटवर्क]]) द्वारा अगस्त 2009 के अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी।<ref>{{cite ssrn |ssrn=1446862|title=सोल्टानी, अशकान, कैंटी, शैनन, मेयो, क्वेंटिन, थॉमस, लॉरेन और हूफनागल, क्रिस जे: फ्लैश कुकीज़ और गोपनीयता|date=2009-08-10 |last1=Soltani|first1=Ashkan|last2=Canty|first2=Shannon|last3=Mayo|first3=Quentin|last4=Thomas|first4=Lauren|last5=Hoofnagle|first5=Chris Jay}}</ref> अधिकांश ब्राउज़रों के कैशे और इतिहास हटाने के प्रकार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं के अपने कैश पर लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय एचटीटीपी कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है।<ref>{{cite web|url=http://epic.org/privacy/cookies/flash.html|title=स्थानीय साझा वस्तु -- "फ्लैश कुकीज़"|publisher=Electronic Privacy Information Center|date=2005-07-21|access-date=2010-03-08| archive-url=https://web.archive.org/web/20100416041024/http://epic.org/privacy/cookies/flash.html| archive-date= 16 April 2010 | url-status= live}}</ref> इस प्रकार, जिन उपयोगकर्ताओं ने एचटीटीपी कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, फ़ायरफ़ॉक्स के लिए बेटरप्राइवेसी ऐड-ऑन फ्लैश कुकीज़ को हटा सकता है।<ref name=mozilla-betterprivacy /> ऐडब्लॉक प्लस ([[Adblock Plus]]) का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है<ref name=mozilla-adblock-plus /> और अन्यथा विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले विकल्प देने के लिए [[फ़्लैशब्लॉक]] का उपयोग किया जा सकता है।<ref name=mozilla-flashblock>{{cite web |url=https://addons.mozilla.org/firefox/addon/flashblock |archive-url=https://archive.today/20130415090235/http://addons.mozilla.org/firefox/addon/flashblock |archive-date=2013-04-15 |title=फ्लैशब्लॉक :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Philip Chee |first=Philip |last=Chee |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]] }}</ref>


[[चार्ली मिलर (सुरक्षा शोधकर्ता)|चार्ली मिलर]] ने कंप्यूटर सुरक्षा सम्मेलन कैनसेकवेस्ट में "फ़्लैश स्थापित न करने"<ref>{{cite web|url=http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/|title=Pwn2Own 2010: चार्ली मिलर के साथ साक्षात्कार|date=2010-03-01|access-date=2010-03-27|archive-url=https://web.archive.org/web/20110424022058/http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/|archive-date=24 April 2011}}</ref> की अनुशंसा की। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो अडोब फ्लैश प्लेयर को इंस्टॉल न करें या इसे ब्लॉक कर दें।<ref>{{cite web|url=http://news.cnet.com/8301-27080_3-10396326-245.html|title=विशेषज्ञ का कहना है कि Adobe Flash नीति जोखिम भरी है|date=2009-11-12|access-date=2010-03-27|url-status=live|archive-url=https://web.archive.org/web/20110426041823/http://news.cnet.com/8301-27080_3-10396326-245.html|archive-date=26 April 2011|df=dmy-all}}</ref>
[[चार्ली मिलर (सुरक्षा शोधकर्ता)|चार्ली मिलर]] ने कंप्यूटर सुरक्षा सम्मेलन कैनसेकवेस्ट में "फ़्लैश स्थापित न करने"<ref>{{cite web|url=http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/|title=Pwn2Own 2010: चार्ली मिलर के साथ साक्षात्कार|date=2010-03-01|access-date=2010-03-27|archive-url=https://web.archive.org/web/20110424022058/http://www.oneitsecurity.it/01/03/2010/interview-with-charlie-miller-pwn2own/|archive-date=24 April 2011}}</ref> की अनुशंसा की। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो अडोब फ्लैश प्लेयर को इंस्टॉल न करें या इसे ब्लॉक कर दें।<ref>{{cite web|url=http://news.cnet.com/8301-27080_3-10396326-245.html|title=विशेषज्ञ का कहना है कि Adobe Flash नीति जोखिम भरी है|date=2009-11-12|access-date=2010-03-27|url-status=live|archive-url=https://web.archive.org/web/20110426041823/http://news.cnet.com/8301-27080_3-10396326-245.html|archive-date=26 April 2011|df=dmy-all}}</ref>
== पासवर्ड सुरक्षा मॉडल ==
== पासवर्ड सुरक्षा मॉडल ==
एक वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस ([[HTTPS]] ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।<ref>{{cite web|title=ब्राउज़र सुरक्षा मॉडल|url=https://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|author=John C. Mitchell|url-status=live|archive-url=https://web.archive.org/web/20150620051731/http://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|archive-date=20 June 2015|df=dmy-all|author-link=John C. Mitchell}}</ref> उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "<nowiki>https://accounts.google.com</nowiki>" है या नहीं।
वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस ([[HTTPS]] ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब वेब पेज पर पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।<ref>{{cite web|title=ब्राउज़र सुरक्षा मॉडल|url=https://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|author=John C. Mitchell|url-status=live|archive-url=https://web.archive.org/web/20150620051731/http://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|archive-date=20 June 2015|df=dmy-all|author-link=John C. Mitchell}}</ref> उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "<nowiki>https://accounts.google.com</nowiki>" है या नहीं।


एक असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र सामान्यतया पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय एक चेतावनी प्रदर्शित करते हैं, जहां पता बार सामान्यतया पर स्थित होता है, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।<ref>{{cite web|url=http://feross.org/html5-fullscreen-api-attack/|title=फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org|website=feross.org|access-date=7 May 2018|url-status=live|archive-url=https://web.archive.org/web/20171225134343/https://feross.org/html5-fullscreen-api-attack/|archive-date=25 December 2017|df=dmy-all}}</ref>
असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र सामान्यतया पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय चेतावनी प्रदर्शित करते हैं, जहां पता बार सामान्यतया पर स्थित होता है, ताकि पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।<ref>{{cite web|url=http://feross.org/html5-fullscreen-api-attack/|title=फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org|website=feross.org|access-date=7 May 2018|url-status=live|archive-url=https://web.archive.org/web/20171225134343/https://feross.org/html5-fullscreen-api-attack/|archive-date=25 December 2017|df=dmy-all}}</ref>
== हार्डवेयर ब्राउज़र ==
== हार्डवेयर ब्राउज़र ==
गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। एक अन्य उपकरण, [https://www.iCloak.me iCloak] वेबसाइट से iCloak® Stik एक पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।
गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। अन्य उपकरण, [https://www.iCloak.me iCloak] वेबसाइट से iCloak® Stik पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।


== लाइवसीडी ==
== लाइवसीडी ==
[[लाइव सीडी की सूची|लाइव सीडी]], जो एक गैर-लिखने योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाते हैं, सामान्यतया पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में एक वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।
[[लाइव सीडी की सूची|लाइव सीडी]], जो गैर-लिखने योग्य स्रोत से ऑपरेटिंग सिस्टम चलाते हैं, सामान्यतया पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।


== ब्राउजर हार्डनिंग ==
== ब्राउजर हार्डनिंग ==
कम से कम-विशेषाधिकार वाले उपयोगकर्ता खाते के रूप में इंटरनेट ब्राउज़ करना (अर्थात् बिना प्रशासक विशेषाधिकारों के) एक वेब ब्राउज़र में पूरे ऑपरेटिंग सिस्टम से समझौता करने से सुरक्षा शोषण की क्षमता को सीमित करता है।<ref>{{ cite web | url = https://technet.microsoft.com/en-us/library/cc700846.aspx | title = कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता खाते का उपयोग करना| publisher = [[Microsoft]] | access-date = 2013-04-20 | url-status = live | archive-url = https://web.archive.org/web/20130306091913/http://technet.microsoft.com/en-us/library/cc700846.aspx | archive-date = 6 March 2013 | df = dmy-all }}</ref>
कम से कम-विशेषाधिकार वाले उपयोगकर्ता खाते के रूप में इंटरनेट ब्राउज़ करना (अर्थात् बिना प्रशासक विशेषाधिकारों के) वेब ब्राउज़र में पूरे ऑपरेटिंग सिस्टम से समझौता करने से सुरक्षा शोषण की क्षमता को सीमित करता है।<ref>{{ cite web | url = https://technet.microsoft.com/en-us/library/cc700846.aspx | title = कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता खाते का उपयोग करना| publisher = [[Microsoft]] | access-date = 2013-04-20 | url-status = live | archive-url = https://web.archive.org/web/20130306091913/http://technet.microsoft.com/en-us/library/cc700846.aspx | archive-date = 6 March 2013 | df = dmy-all }}</ref>


[[इंटरनेट एक्सप्लोरर 4|इंटरनेट एक्सप्लोरर]] 4 और बाद के संस्करण विभिन्न तरीकों से एक्टिवेक्स नियंत्रणों, ऐड-ऑन और ब्राउज़र एक्सटेंशन को ब्लैकलिस्टिंग<ref>{{cite web | url = http://support.microsoft.com/kb/240797/en-us | title = Internet Explorer में ActiveX नियंत्रण को चलने से कैसे रोकें| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141202224151/http://support.microsoft.com/kb/240797/en-us | archive-date = 2 December 2014 | df = dmy-all }}</ref><ref>{{cite web | url = https://support.microsoft.com/kb/182569/en-us | title = उन्नत उपयोगकर्ताओं के लिए Internet Explorer सुरक्षा क्षेत्र रजिस्ट्री प्रविष्टियाँ| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141202224143/https://support.microsoft.com/kb/182569/en-us | archive-date = 2 December 2014 | df = dmy-all }}</ref><ref>{{cite web | url = https://technet.microsoft.com/en-us/library/dn761713.aspx | title = आउट-ऑफ़-डेट एक्टिवएक्स कंट्रोल ब्लॉकिंग| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141129121819/http://technet.microsoft.com/en-us/library/dn761713.aspx | archive-date = 29 November 2014 | df = dmy-all }}</ref> और व्हाइटलिस्टिंग<ref>{{cite web | url = https://technet.microsoft.com/en-us/library/cc737458.aspx | title = इंटरनेट एक्सप्लोरर ऐड-ऑन प्रबंधन और क्रैश डिटेक्शन| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141129121822/http://technet.microsoft.com/en-us/library/cc737458.aspx | archive-date = 29 November 2014 | df = dmy-all }}</ref><ref>{{cite web | url = http://support.microsoft.com/kb/883256/en-us | title = Windows XP सर्विस पैक 2 में Internet Explorer ऐड-ऑन कैसे प्रबंधित करें| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141202192535/http://support.microsoft.com/kb/883256/en-us | archive-date = 2 December 2014 | df = dmy-all }}</ref> की अनुमति देता है।
[[इंटरनेट एक्सप्लोरर 4|इंटरनेट एक्सप्लोरर]] 4 और बाद के संस्करण विभिन्न तरीकों से एक्टिवेक्स नियंत्रणों, ऐड-ऑन और ब्राउज़र एक्सटेंशन को ब्लैकलिस्टिंग<ref>{{cite web | url = http://support.microsoft.com/kb/240797/en-us | title = Internet Explorer में ActiveX नियंत्रण को चलने से कैसे रोकें| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141202224151/http://support.microsoft.com/kb/240797/en-us | archive-date = 2 December 2014 | df = dmy-all }}</ref><ref>{{cite web | url = https://support.microsoft.com/kb/182569/en-us | title = उन्नत उपयोगकर्ताओं के लिए Internet Explorer सुरक्षा क्षेत्र रजिस्ट्री प्रविष्टियाँ| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141202224143/https://support.microsoft.com/kb/182569/en-us | archive-date = 2 December 2014 | df = dmy-all }}</ref><ref>{{cite web | url = https://technet.microsoft.com/en-us/library/dn761713.aspx | title = आउट-ऑफ़-डेट एक्टिवएक्स कंट्रोल ब्लॉकिंग| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141129121819/http://technet.microsoft.com/en-us/library/dn761713.aspx | archive-date = 29 November 2014 | df = dmy-all }}</ref> और व्हाइटलिस्टिंग<ref>{{cite web | url = https://technet.microsoft.com/en-us/library/cc737458.aspx | title = इंटरनेट एक्सप्लोरर ऐड-ऑन प्रबंधन और क्रैश डिटेक्शन| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141129121822/http://technet.microsoft.com/en-us/library/cc737458.aspx | archive-date = 29 November 2014 | df = dmy-all }}</ref><ref>{{cite web | url = http://support.microsoft.com/kb/883256/en-us | title = Windows XP सर्विस पैक 2 में Internet Explorer ऐड-ऑन कैसे प्रबंधित करें| publisher = [[Microsoft]] | access-date = 2014-11-22 | url-status = live | archive-url = https://web.archive.org/web/20141202192535/http://support.microsoft.com/kb/883256/en-us | archive-date = 2 December 2014 | df = dmy-all }}</ref> की अनुमति देता है।


[[Internet Explorer 7|इंटरनेट एक्सप्लोरर]] 7 ने "संरक्षित मोड" जोड़ा, एक ऐसी तकनीक जो विंडोज विस्टा ([[Windows Vista]]) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।<ref name="symantec">{{cite web | url = http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | title = Windows Vista सुरक्षा मॉडल का विश्लेषण| author = Matthew Conover | publisher = [[Symantec Corporation]] | access-date = 2007-10-08 | archive-url = https://web.archive.org/web/20080516053130/http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | archive-date = 16 May 2008 | df = dmy-all }}</ref> ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम एक [[सैंडबॉक्स (कंप्यूटर सुरक्षा)|सैंडबॉक्स]] प्रदान करता है।<ref>{{cite web | title = ब्राउज़र सुरक्षा: Google Chrome से सीखे| url = http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | url-status = live | archive-url = https://web.archive.org/web/20131111194250/http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | archive-date = 11 November 2013 | df = dmy-all }}</ref>
[[Internet Explorer 7|इंटरनेट एक्सप्लोरर]] 7 ने "संरक्षित मोड" जोड़ा, ऐसी तकनीक जो विंडोज विस्टा ([[Windows Vista]]) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।<ref name="symantec">{{cite web | url = http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | title = Windows Vista सुरक्षा मॉडल का विश्लेषण| author = Matthew Conover | publisher = [[Symantec Corporation]] | access-date = 2007-10-08 | archive-url = https://web.archive.org/web/20080516053130/http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | archive-date = 16 May 2008 | df = dmy-all }}</ref> ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम [[सैंडबॉक्स (कंप्यूटर सुरक्षा)|सैंडबॉक्स]] प्रदान करता है।<ref>{{cite web | title = ब्राउज़र सुरक्षा: Google Chrome से सीखे| url = http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | url-status = live | archive-url = https://web.archive.org/web/20131111194250/http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | archive-date = 11 November 2013 | df = dmy-all }}</ref>


गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,<ref>{{cite web | url = https://www.google.com/safebrowsing/report_badware/ | title = Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें| url-status = live | archive-url = https://web.archive.org/web/20140912233915/https://www.google.com/safebrowsing/report_badware/ | archive-date = 12 September 2014 | df = dmy-all }}</ref> और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।<ref>{{cite web | url = https://www.google.com/transparencyreport/safebrowsing/?hl=en | title = Google सुरक्षित ब्राउज़िंग| url-status = live | archive-url = https://web.archive.org/web/20140914200617/http://www.google.com/transparencyreport/safebrowsing/?hl=en | archive-date = 14 September 2014 | df = dmy-all }}</ref>
गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,<ref>{{cite web | url = https://www.google.com/safebrowsing/report_badware/ | title = Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें| url-status = live | archive-url = https://web.archive.org/web/20140912233915/https://www.google.com/safebrowsing/report_badware/ | archive-date = 12 September 2014 | df = dmy-all }}</ref> और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।<ref>{{cite web | url = https://www.google.com/transparencyreport/safebrowsing/?hl=en | title = Google सुरक्षित ब्राउज़िंग| url-status = live | archive-url = https://web.archive.org/web/20140914200617/http://www.google.com/transparencyreport/safebrowsing/?hl=en | archive-date = 14 September 2014 | df = dmy-all }}</ref>
Line 103: Line 101:
{{Web browsers|fsp}}
{{Web browsers|fsp}}
{{Malware}}
{{Malware}}
[[Category:All articles needing additional references]]
[[Category:All articles with dead external links]]
[[Category:Articles needing additional references from April 2019]]
[[Category:Articles with dead external links from June 2019]]
[[Category:Articles with hatnote templates targeting a nonexistent page]]
[[Category:Articles with invalid date parameter in template]]
[[Category:Articles with permanently dead external links]]
[[Category:Articles with short description]]
[[Category:CS1 English-language sources (en)]]
[[Category:CS1 errors]]
[[Category:CS1 français-language sources (fr)]]
[[Category:CS1 maint]]
[[Category:CS1 Ελληνικά-language sources (el)]]
[[Category:Citation Style 1 templates|W]]
[[Category:Collapse templates]]
[[Category:Created On 16/12/2022]]
[[Category:Lua-based templates]]
[[Category:Machine Translated Page]]
[[Category:Navigational boxes| ]]
[[Category:Navigational boxes without horizontal lists]]
[[Category:Pages with script errors]]
[[Category:Short description with empty Wikidata description]]
[[Category:Sidebars with styles needing conversion]]
[[Category:Template documentation pages|Documentation/doc]]
[[Category:Templates Vigyan Ready]]
[[Category:Templates based on the Citation/CS1 Lua module]]
[[Category:Templates generating COinS|Cite web]]
[[Category:Templates generating microformats]]
[[Category:Templates that add a tracking category]]
[[Category:Templates that are not mobile friendly]]
[[Category:Templates that generate short descriptions]]
[[Category:Templates used by AutoWikiBrowser|Cite web]]
[[Category:Templates using TemplateData]]
[[Category:Webarchive template wayback links]]
[[Category:Wikipedia fully protected templates|Cite web]]
[[Category:Wikipedia metatemplates]]
[[Category:इंटरनेट सुरक्षा]]
[[Category:वेब ब्राउज़र]]
[[Category:वेब ब्राउज़र]]
[[Category:वेब सुरक्षा शोषण]]
[[Category:वेब सुरक्षा शोषण]]
[[Category: इंटरनेट सुरक्षा]]
[[Category: Machine Translated Page]]
[[Category:Created On 16/12/2022]]

Latest revision as of 12:18, 4 September 2023

ब्राउज़र सुरक्षा नेटवर्क डेटा और कंप्यूटर सिस्टम को गोपनीयता या मैलवेयर के उल्लंघन से बचाने के लिए वेब ब्राउज़र पर इंटरनेट सुरक्षा का उपयोग है। ब्राउज़रों के सुरक्षा शोषण प्रायः जावास्क्रिप्ट का उपयोग करते हैं, कभी-कभी क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस)[1] के साथ एडोब फ्लैश (Adobe Flash) का उपयोग करते हुए माध्यमिक पेलोड के साथ उपयोग है।[2] सुरक्षा शोषण भेद्यता (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतः सभी ब्राउज़रों (मोज़िला फ़ायरफ़ॉक्स,[3] गूगल क्रोम,[4] ओपेरा,[5] माइक्रोसॉफ्ट इंटरनेट एक्सप्लोरर,[6] और सफारी[7] सहित में शोषण किया जाता है।

सुरक्षा

वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:

  • सामान्यतःऑपरेटिंग सिस्टम का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।[8]
  • ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
  • मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
  • ब्राउज़र घटक हैक किए जा सकते हैं।
  • ब्राउजर प्लगइन्स हैक किए जा सकते हैं।
  • मशीन के बाहर ब्राउजर नेटवर्क कम्युनिकेशन को इंटरसेप्ट किया जा सकता है।[9]

हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।

जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)[10] यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से जो एक वेबसाइट ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।[11] एक बार अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।[12]

वेब ब्राउजर सुरक्षा के उल्लंघन सामान्यतया पॉप-अप विज्ञापन प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं[13] इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, वेबसाइट ट्रैकिंग या वेब एनालिटिक्स के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। वेब बग के रूप में, क्लिकजैकिंग, लाइकजैकिंग (जहां फेसबुक का लाइक बटन लक्षित है),[14][15][16][17] एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ);[2] एडवेयर इंस्टॉल करना, वायरस, स्पाइवेयर जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या मैन-इन-द-ब्राउज़र हमलों का उपयोग करके ऑनलाइन बैंकिंग चोरी सहित अन्य मैलवेयर।

क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं।[18] इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।

वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है,[19] लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा।[20] ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज, [21][22][23] विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।

रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, रूटकिट (rootkit) कीस्ट्रोक को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। डीएनएस हाइजैकिंग या डीएनएस स्पूफिंग का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। आरएसप्लग जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।

ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए नेटवर्क संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:

  • डीएनएस: डीएनएससेक (DNSSec) और डीएनएस क्रिप्ट (DNSCrypt), उदाहरण के लिए गैर-डिफॉल्ट डीएनएस सर्वर जैसे कि गूगल पब्लिक डीएनएस या ओपनडीएनएस (OpenDNS)।
  • एचटीटीपी: एचटीटीपी सुरक्षित और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट (सार्वजनिक कुंजी प्रमाणपत्र) या विस्तारित मान्यता प्रमाणपत्र के साथ।

पेरिमीटर सुरक्षा, सामान्यतया पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले प्रॉक्सी सर्वर को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, सामान्यतया पर बड़े संगठनों में ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।

ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,[24] ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .

प्लगइन्स और एक्सटेंशन

हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र प्लगइन्स और एक्सटेंशन अटैक की सतह का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन (Java plugin) और एक्टिवएक्स (ActiveX) में वल्नरेबिलिटी को अनावृत करते हैं जो सामान्यतया पर शोषित होते हैं। शोधकर्ताओं [25] ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में ब्राउज़र सहायक वस्तु[26] गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।

एडोब फ्लैश

सोशल साइंस रिसर्च नेटवर्क (सामाजिक विज्ञान अनुसंधान नेटवर्क) द्वारा अगस्त 2009 के अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी।[27] अधिकांश ब्राउज़रों के कैशे और इतिहास हटाने के प्रकार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं के अपने कैश पर लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय एचटीटीपी कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है।[28] इस प्रकार, जिन उपयोगकर्ताओं ने एचटीटीपी कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, फ़ायरफ़ॉक्स के लिए बेटरप्राइवेसी ऐड-ऑन फ्लैश कुकीज़ को हटा सकता है।[2] ऐडब्लॉक प्लस (Adblock Plus) का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है[13] और अन्यथा विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले विकल्प देने के लिए फ़्लैशब्लॉक का उपयोग किया जा सकता है।[29]

चार्ली मिलर ने कंप्यूटर सुरक्षा सम्मेलन कैनसेकवेस्ट में "फ़्लैश स्थापित न करने"[30] की अनुशंसा की। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो अडोब फ्लैश प्लेयर को इंस्टॉल न करें या इसे ब्लॉक कर दें।[31]

पासवर्ड सुरक्षा मॉडल

वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस (HTTPS ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब वेब पेज पर पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।[32] उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "https://accounts.google.com" है या नहीं।

असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र सामान्यतया पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय चेतावनी प्रदर्शित करते हैं, जहां पता बार सामान्यतया पर स्थित होता है, ताकि पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।[33]

हार्डवेयर ब्राउज़र

गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। अन्य उपकरण, iCloak वेबसाइट से iCloak® Stik पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।

लाइवसीडी

लाइव सीडी, जो गैर-लिखने योग्य स्रोत से ऑपरेटिंग सिस्टम चलाते हैं, सामान्यतया पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।

ब्राउजर हार्डनिंग

कम से कम-विशेषाधिकार वाले उपयोगकर्ता खाते के रूप में इंटरनेट ब्राउज़ करना (अर्थात् बिना प्रशासक विशेषाधिकारों के) वेब ब्राउज़र में पूरे ऑपरेटिंग सिस्टम से समझौता करने से सुरक्षा शोषण की क्षमता को सीमित करता है।[34]

इंटरनेट एक्सप्लोरर 4 और बाद के संस्करण विभिन्न तरीकों से एक्टिवेक्स नियंत्रणों, ऐड-ऑन और ब्राउज़र एक्सटेंशन को ब्लैकलिस्टिंग[35][36][37] और व्हाइटलिस्टिंग[38][39] की अनुमति देता है।

इंटरनेट एक्सप्लोरर 7 ने "संरक्षित मोड" जोड़ा, ऐसी तकनीक जो विंडोज विस्टा (Windows Vista) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।[40] ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम सैंडबॉक्स प्रदान करता है।[41]

गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,[42] और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।[43]

यहां तक कि नवीनतम ब्राउज़रों,[44] और कुछ पुराने ब्राउज़रों और ऑपरेटिंग सिस्टमों के लिए भी कठोर (हार्डनिंग) करने के लिए थर्ड पार्टी एक्सटेंशन और प्लगइन्स उपलब्ध हैं। नोस्क्रिप्ट जैसे वाइट लिस्ट (श्वेतसूची)-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - एडब्लॉक प्लस भी श्वेतसूची विज्ञापन फ़िल्टरिंग नियमों की सदस्यता का उपयोग करता है, हालाँकि सॉफ़्टवेयर और स्वयं दोनों ही फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की डिफ़ॉल्ट रूप से अनुमति देने के लिए विवादों में आ गए हैं।[45] यूएस-सीईआरटी (यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम) की नोस्क्रिप्ट का उपयोग करके फ़्लैश को अवरुद्ध करने की अनुशंसा की है।[46]

फज़िंग

आधुनिक वेब ब्राउज़र वल्नरेबिलिटी को उजागर करने के लिए व्यापक फ़ज़िंग से गुज़रते हैं। गूगल क्रोम का क्रोमियम कोड 15,000 कोर के साथ क्रोम सुरक्षा टीम द्वारा लगातार फ़ज़ किया जाता है।[47] माइक्रोसॉफ्ट एज और इंटरनेट एक्स्प्लोरर के लिए, माइक्रोसॉफ्ट ने उत्पाद विकास के दौरान 670 मशीन वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन एचटीएमएल फ़ाइलों से 400 बिलियन से अधिक डीओएम जोड़-तोड़ उत्पन्न हुए [48][47]

सर्वोत्तम अभ्यास

  • क्लीन सॉफ़्टवेयर लोड करें: ज्ञात क्लीन ओएस से ज्ञात क्लीन वेब ब्राउज़र से बूट करें
  • क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (सीओआरएस) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (उदाहरण पैच वेबकिट-आधारित ब्राउज़र के लिए प्रदान किए गए हैं)
  • थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
  • डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें[49]
  • वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में सामान्यतया पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
  • विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें

यह भी देखें

संदर्भ

  1. Maone, Giorgio. "नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
  2. 2.0 2.1 2.2 "बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Foundation.[permanent dead link]
  3. Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Archived 28 October 2010 at the Wayback Machine. Retrieved 19 November 2010.
  4. Messmer, Ellen and NetworkWorld. "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List". Retrieved 19 November 2010.
  5. Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Archived 20 May 2009 at the Wayback Machine. Retrieved 19 November 2010.
  6. Bradly, Tony. "It's Time to Finally Drop Internet Explorer 6" Archived 15 October 2012 at the Wayback Machine. Retrieved 19 November 2010.
  7. "ब्राउज़र". Mashable. Archived from the original on 2 September 2011. Retrieved 2 September 2011.
  8. Smith, Dave (21 March 2013). "योंटू ट्रोजन: नया मैक ओएस एक्स मैलवेयर एडवेयर के जरिए गूगल क्रोम, फायरफॉक्स और सफारी ब्राउजर्स को संक्रमित करता है". IBT Media Inc. Archived from the original on 24 March 2013. Retrieved 21 March 2013.
  9. Goodin, Dan. "MySQL.com उल्लंघन आगंतुकों को मैलवेयर के संपर्क में छोड़ देता है". The Register. Archived from the original on 28 September 2011. Retrieved 26 September 2011.
  10. Clinton Wong. "HTTP लेनदेन". O'Reilly. Archived from the original on 13 June 2013.
  11. "9 Ways to Know Your PC is Infected with Malware". Archived from the original on 11 November 2013.
  12. "सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र". Archived from the original on 9 June 2013.
  13. 13.0 13.1 Palant, Wladimir. "एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
  14. "'लाइक' आमंत्रणों पर फेसबुक की निजता की जांच". CBC News. 23 September 2010. Archived from the original on 26 June 2012. Retrieved 24 August 2011.
  15. Albanesius, Chloe (19 August 2011). "जर्मन एजेंसियां ​​फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन". PC Magazine. Archived from the original on 29 March 2012. Retrieved 24 August 2011. {{cite news}}: zero width space character in |title= at position 17 (help)
  16. McCullagh, Declan (2 June 2010). "Facebook 'Like' button draws privacy scrutiny". CNET News. Archived from the original on 5 December 2011. Retrieved 19 December 2011.
  17. Roosendaal, Arnold (30 November 2010). "फेसबुक हर किसी को ट्रैक और ट्रेस करता है: इसे लाइक करें!". SSRN 1717563.
  18. Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "आर्किटेक्चरल सिक्योरिटी टैक्टिक्स से संबंधित सॉफ्टवेयर कमजोरियों को समझना: क्रोमियम, पीएचपी और थंडरबर्ड की एक अनुभवजन्य जांच". 2017 IEEE International Conference on Software Architecture (ICSA): 69–78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
  19. State of Vermont. "वेब ब्राउजर अटैक". Archived from the original on 13 February 2012. Retrieved 11 April 2012.
  20. "विंडोज रूटकिट अवलोकन" (PDF). Symantec. Archived from the original (PDF) on 16 May 2013. Retrieved 20 April 2013.
  21. "क्रॉस साइट स्क्रिप्टिंग अटैक". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
  22. Lenny Zeltser. "वेब ब्राउज़र और ऐड-ऑन पर हमलों को कम करना". Archived from the original on 7 May 2013. Retrieved 20 May 2013.
  23. Dan Goodin (14 March 2013). "एसएसएल डिक्रिप्ट प्रमाणीकरण कुकीज़ पर दो नए हमले". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
  24. "बीफप्रोजेक्ट.कॉम". Archived from the original on 11 August 2011. {{cite web}}: Check |url= value (help)
  25. Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, USA: ACM: 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
  26. "सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं". Symantec.com. Archived from the original on 14 May 2013. Retrieved 12 April 2012.
  27. Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (2009-08-10). "सोल्टानी, अशकान, कैंटी, शैनन, मेयो, क्वेंटिन, थॉमस, लॉरेन और हूफनागल, क्रिस जे: फ्लैश कुकीज़ और गोपनीयता". SSRN 1446862.
  28. "स्थानीय साझा वस्तु -- "फ्लैश कुकीज़"". Electronic Privacy Information Center. 2005-07-21. Archived from the original on 16 April 2010. Retrieved 2010-03-08.
  29. Chee, Philip. "फ्लैशब्लॉक :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation. Archived from the original on 2013-04-15.
  30. "Pwn2Own 2010: चार्ली मिलर के साथ साक्षात्कार". 2010-03-01. Archived from the original on 24 April 2011. Retrieved 2010-03-27.
  31. "विशेषज्ञ का कहना है कि Adobe Flash नीति जोखिम भरी है". 12 November 2009. Archived from the original on 26 April 2011. Retrieved 27 March 2010.
  32. John C. Mitchell. "ब्राउज़र सुरक्षा मॉडल" (PDF). Archived (PDF) from the original on 20 June 2015.
  33. "फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org". feross.org. Archived from the original on 25 December 2017. Retrieved 7 May 2018.
  34. "कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता खाते का उपयोग करना". Microsoft. Archived from the original on 6 March 2013. Retrieved 20 April 2013.
  35. "Internet Explorer में ActiveX नियंत्रण को चलने से कैसे रोकें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  36. "उन्नत उपयोगकर्ताओं के लिए Internet Explorer सुरक्षा क्षेत्र रजिस्ट्री प्रविष्टियाँ". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  37. "आउट-ऑफ़-डेट एक्टिवएक्स कंट्रोल ब्लॉकिंग". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
  38. "इंटरनेट एक्सप्लोरर ऐड-ऑन प्रबंधन और क्रैश डिटेक्शन". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
  39. "Windows XP सर्विस पैक 2 में Internet Explorer ऐड-ऑन कैसे प्रबंधित करें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  40. Matthew Conover. "Windows Vista सुरक्षा मॉडल का विश्लेषण" (PDF). Symantec Corporation. Archived from the original (PDF) on 16 May 2008. Retrieved 8 October 2007.
  41. "ब्राउज़र सुरक्षा: Google Chrome से सीखे". Archived from the original on 11 November 2013.
  42. "Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें". Archived from the original on 12 September 2014.
  43. "Google सुरक्षित ब्राउज़िंग". Archived from the original on 14 September 2014.
  44. "अपने वेब ब्राउज़र को सुरक्षित करने के 5 तरीके". ZoneAlarm. 8 May 2014. Archived from the original on 7 September 2014.
  45. "एडब्लॉक प्लस जल्द ही कम विज्ञापनों को ब्लॉक करेगा - सिलिकॉनफिल्टर". Siliconfilter.com. 12 December 2011. Archived from the original on 30 January 2013. Retrieved 20 April 2013.
  46. "अपने वेब ब्राउज़र को सुरक्षित करना". Archived from the original on 26 March 2010. Retrieved 2010-03-27.
  47. 47.0 47.1 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 Sep 2017). "ब्राउज़र सुरक्षा श्वेतपत्र" (PDF). X41D SEC GmbH.
  48. "Microsoft Edge के लिए सुरक्षा संवर्द्धन (IT पेशेवरों के लिए Microsoft Edge)" (in English). Microsoft. 15 Oct 2017. Retrieved 31 August 2018.
  49. Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weaver, Nick; Paxson, Vern (2017). {DNS} हेरफेर का वैश्विक मापन (in English). pp. 307–323. ISBN 978-1-931971-40-9.

अग्रिम पठन