ब्राउज़र सुरक्षा: Difference between revisions
Line 73: | Line 73: | ||
[[Internet Explorer 7|इंटरनेट एक्सप्लोरर]] 7 ने "संरक्षित मोड" जोड़ा, एक ऐसी तकनीक जो विंडोज विस्टा ([[Windows Vista]]) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।<ref name="symantec">{{cite web | url = http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | title = Windows Vista सुरक्षा मॉडल का विश्लेषण| author = Matthew Conover | publisher = [[Symantec Corporation]] | access-date = 2007-10-08 | archive-url = https://web.archive.org/web/20080516053130/http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | archive-date = 16 May 2008 | df = dmy-all }}</ref> ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम एक [[सैंडबॉक्स (कंप्यूटर सुरक्षा)|सैंडबॉक्स]] प्रदान करता है।<ref>{{cite web | title = ब्राउज़र सुरक्षा: Google Chrome से सीखे| url = http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | url-status = live | archive-url = https://web.archive.org/web/20131111194250/http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | archive-date = 11 November 2013 | df = dmy-all }}</ref> | [[Internet Explorer 7|इंटरनेट एक्सप्लोरर]] 7 ने "संरक्षित मोड" जोड़ा, एक ऐसी तकनीक जो विंडोज विस्टा ([[Windows Vista]]) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।<ref name="symantec">{{cite web | url = http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | title = Windows Vista सुरक्षा मॉडल का विश्लेषण| author = Matthew Conover | publisher = [[Symantec Corporation]] | access-date = 2007-10-08 | archive-url = https://web.archive.org/web/20080516053130/http://www.symantec.com/avcenter/reference/Windows_Vista_Security_Model_Analysis.pdf | archive-date = 16 May 2008 | df = dmy-all }}</ref> ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम एक [[सैंडबॉक्स (कंप्यूटर सुरक्षा)|सैंडबॉक्स]] प्रदान करता है।<ref>{{cite web | title = ब्राउज़र सुरक्षा: Google Chrome से सीखे| url = http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | url-status = live | archive-url = https://web.archive.org/web/20131111194250/http://cacm.acm.org/magazines/2009/8/34494-browser-security/fulltext | archive-date = 11 November 2013 | df = dmy-all }}</ref> | ||
गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,<ref>{{cite web | url = https://www.google.com/safebrowsing/report_badware/ | title = Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें| url-status = live | archive-url = https://web.archive.org/web/20140912233915/https://www.google.com/safebrowsing/report_badware/ | archive-date = 12 September 2014 | df = dmy-all }}</ref> और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।<ref>{{cite web | url = https://www.google.com/transparencyreport/safebrowsing/?hl=en | title = Google सुरक्षित ब्राउज़िंग| url-status = live | archive-url = https://web.archive.org/web/20140914200617/http://www.google.com/transparencyreport/safebrowsing/?hl=en | archive-date = 14 September 2014 | df = dmy-all }}</ref> | |||
यहां तक कि नवीनतम ब्राउज़रों,<ref>{{cite web | url = http://www.zonealarm.com/blog/2014/05/5-ways-to-secure-your-web-browser/ | title = अपने वेब ब्राउज़र को सुरक्षित करने के 5 तरीके| date = 8 May 2014 | publisher = [[ZoneAlarm]] | url-status = live | archive-url = https://web.archive.org/web/20140907191153/http://www.zonealarm.com/blog/2014/05/5-ways-to-secure-your-web-browser/ | archive-date = 7 September 2014 | df = dmy-all }}</ref> और कुछ पुराने ब्राउज़रों और ऑपरेटिंग सिस्टमों के लिए भी कठोर ([[हार्डनिंग (कंप्यूटिंग)|हार्डनिंग]]) करने के लिए थर्ड पार्टी एक्सटेंशन और प्लगइन्स उपलब्ध हैं। [[नोस्क्रिप्ट]] जैसे वाइट लिस्ट ([[श्वेतसूची]])-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - एडब्लॉक प्लस भी श्वेतसूची [[विज्ञापन फ़िल्टरिंग]] नियमों की सदस्यता का उपयोग करता है, हालाँकि सॉफ़्टवेयर और स्वयं दोनों ही फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की डिफ़ॉल्ट रूप से अनुमति देने के लिए विवादों में आ गए हैं।<ref>{{cite web | url = http://siliconfilter.com/adblock-plus-will-soon-block-fewer-ads-by-default-allow-non-intrusive-ads/ | title = एडब्लॉक प्लस जल्द ही कम विज्ञापनों को ब्लॉक करेगा - सिलिकॉनफिल्टर| date = 12 December 2011 | publisher = Siliconfilter.com | access-date = 2013-04-20 | url-status = live | archive-url = https://web.archive.org/web/20130130044410/http://siliconfilter.com/adblock-plus-will-soon-block-fewer-ads-by-default-allow-non-intrusive-ads/ | archive-date = 30 January 2013 | df = dmy-all }}</ref> यूएस-सीईआरटी ([[यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम]]) की नोस्क्रिप्ट का उपयोग करके फ़्लैश को अवरुद्ध करने की अनुशंसा की है।<ref>{{cite web|url=http://www.us-cert.gov/reading_room/securing_browser/|title=अपने वेब ब्राउज़र को सुरक्षित करना|access-date=2010-03-27| archive-url=https://web.archive.org/web/20100326131333/http://www.us-cert.gov/reading_room/securing_browser/| archive-date= 26 March 2010 | url-status= live}}</ref> | |||
== [[फज़िंग]] == | == [[फज़िंग]] == | ||
आधुनिक वेब ब्राउज़र वल्नरेबिलिटी को उजागर करने के लिए व्यापक फ़ज़िंग से गुज़रते हैं। गूगल क्रोम का क्रोमियम कोड 15,000 कोर के साथ क्रोम सुरक्षा टीम द्वारा लगातार फ़ज़ किया जाता है।<ref name="Security">{{cite web |last1=Sesterhenn |first1=Eric |last2=Wever |first2=Berend-Jan |last3=Orrù |first3=Michele |last4=Vervier |first4=Markus |title=ब्राउज़र सुरक्षा श्वेतपत्र|url=https://browser-security.x41-dsec.de/X41-Browser-Security-White-Paper.pdf |publisher=X41D SEC GmbH |date=19 Sep 2017}}</ref> [[Microsoft|माइक्रोसॉफ्ट]] एज और [[इंटरनेट एक्स्प्लोरर]] के लिए, माइक्रोसॉफ्ट ने उत्पाद विकास के दौरान 670 मशीन वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन एचटीएमएल फ़ाइलों से 400 बिलियन से अधिक डीओएम जोड़-तोड़ उत्पन्न हुए <ref>{{cite web |title=Microsoft Edge के लिए सुरक्षा संवर्द्धन (IT पेशेवरों के लिए Microsoft Edge)|url=https://docs.microsoft.com/en-us/microsoft-edge/deploy/security-enhancements-microsoft-edge |publisher=[[Microsoft]] |access-date=31 August 2018 |language=en-us |date=15 Oct 2017}}</ref><ref name="Security"/> | |||
== सर्वोत्तम अभ्यास == | == सर्वोत्तम अभ्यास == | ||
{{Unreferenced section|date=April 2019}} | {{Unreferenced section|date=April 2019}} | ||
* | * क्लीन सॉफ़्टवेयर लोड करें: ज्ञात क्लीन ओएस से ज्ञात क्लीन वेब ब्राउज़र से बूट करें | ||
* [http://webkit-cors-vulnerability.trentalancia.com क्रॉस-ऑरिजनल रिसोर्स शेयरिंग ( | *[http://webkit-cors-vulnerability.trentalancia.com क्रॉस-ऑरिजनल रिसोर्स शेयरिंग] (सीओआरएस) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (उदाहरण पैच वेबकिट-आधारित ब्राउज़र के लिए प्रदान किए गए हैं) | ||
* | *थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें | ||
* | *डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें<ref>{{Cite book|last1=Pearce|first1=Paul|last2=Jones|first2=Ben|last3=Li|first3=Frank|last4=Ensafi|first4=Roya|last5=Feamster|first5=Nick|last6=Weaver|first6=Nick|last7=Paxson|first7=Vern|date=2017|title={DNS} हेरफेर का वैश्विक मापन|url=https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/pearce|language=en|pages=307–323|isbn=978-1-931971-40-9}}</ref> | ||
* वेबसाइट-आधारित कारनामों से बचें: | * वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में आमतौर पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें | ||
* | * विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें | ||
== यह भी देखें == | == यह भी देखें == | ||
* [[फ़िल्टर बुलबुला]] | * [[फ़िल्टर बुलबुला|फ़िल्टर बबल]] | ||
* [[फ्रेम इंजेक्शन]] | * [[फ्रेम इंजेक्शन]] | ||
* [[पहचान संचालित नेटवर्किंग]] | * [[पहचान संचालित नेटवर्किंग]] (आइडेंटिटी ड्रिवेन नेटवर्किंग) | ||
* [[इंटरनेट सुरक्षा]] | * [[इंटरनेट सुरक्षा]] | ||
* [[नेटवर्क सुरक्षा नीति]] | * [[नेटवर्क सुरक्षा नीति]] | ||
* [[आवेदन सुरक्षा]] | * [[आवेदन सुरक्षा|एप्लीकेशन सिक्योरिटी]] | ||
==संदर्भ== | ==संदर्भ== | ||
{{reflist|30em}} | {{reflist|30em}} | ||
==अग्रिम पठन== | ==अग्रिम पठन== | ||
* {{cite web |last1=Sesterhenn |first1=Eric |last2=Wever |first2=Berend-Jan |last3=Orrù |first3=Michele |last4=Vervier |first4=Markus |title=Browser Security White Paper |url=https://browser-security.x41-dsec.de/X41-Browser-Security-White-Paper.pdf |publisher=X41D SEC GmbH |date=19 Sep 2017}} | * {{cite web |last1=Sesterhenn |first1=Eric |last2=Wever |first2=Berend-Jan |last3=Orrù |first3=Michele |last4=Vervier |first4=Markus |title=Browser Security White Paper |url=https://browser-security.x41-dsec.de/X41-Browser-Security-White-Paper.pdf |publisher=X41D SEC GmbH |date=19 Sep 2017}} |
Revision as of 13:05, 22 December 2022
ब्राउज़र सुरक्षा नेटवर्क डेटा और कंप्यूटर सिस्टम को गोपनीयता या मैलवेयर के उल्लंघन से बचाने के लिए वेब ब्राउज़र पर इंटरनेट सुरक्षा का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर जावास्क्रिप्ट का उपयोग करते हैं, कभी-कभी क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस)[1] के साथ एडोब फ्लैश (Adobe Flash) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ।[2] सुरक्षा शोषण भेद्यता (सुरक्षा छेद) का भी लाभ उठा सकता है जो आमतौर पर सभी ब्राउज़रों (मोज़िला फ़ायरफ़ॉक्स,[3] गूगल क्रोम,[4] ओपेरा,[5] माइक्रोसॉफ्ट इंटरनेट एक्सप्लोरर,[6] और सफारी[7] सहित में शोषण किया जाता है।
सुरक्षा
वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:
- ऑपरेटिंग सिस्टम का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।[8]
- ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में एक मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
- मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
- ब्राउज़र घटक हैक किए जा सकते हैं।
- ब्राउजर प्लगइन्स हैक किए जा सकते हैं।
- मशीन के बाहर ब्राउजर नेटवर्क कम्युनिकेशन को इंटरसेप्ट किया जा सकता है।[9]
हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।
जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)[10] यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से एक जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।[11] एक बार एक अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।[12]
वेब ब्राउजर सुरक्षा के उल्लंघन आमतौर पर पॉप-अप विज्ञापन प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं[13] इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, वेबसाइट ट्रैकिंग या वेब एनालिटिक्स के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। वेब बग के रूप में, क्लिकजैकिंग, लाइकजैकिंग (जहां फेसबुक का लाइक बटन लक्षित है),[14][15][16][17] एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ);[2] एडवेयर इंस्टॉल करना, वायरस, स्पाइवेयर जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या मैन-इन-द-ब्राउज़र हमलों का उपयोग करके ऑनलाइन बैंकिंग चोरी सहित अन्य मैलवेयर।
क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, एक वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं।[18] इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।
वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है,[19] लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा।[20] ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज, [21][22][23] विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।
रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, एक रूटकिट (rootkit) कीस्ट्रोक को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। डीएनएस हाइजैकिंग या डीएनएस स्पूफिंग का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। आरएसप्लग जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।
ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए नेटवर्क संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:
- डीएनएस: डीएनएससेक (DNSSec) और डीएनएस क्रिप्ट (DNSCrypt), उदाहरण के लिए गैर-डिफॉल्ट डीएनएस सर्वर जैसे कि गूगल पब्लिक डीएनएस या ओपनडीएनएस (OpenDNS)।
- एचटीटीपी: एचटीटीपी सुरक्षित और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट (सार्वजनिक कुंजी प्रमाणपत्र) या विस्तारित मान्यता प्रमाणपत्र के साथ।
पेरिमीटर सुरक्षा, आमतौर पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले प्रॉक्सी सर्वर को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, आमतौर पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए एक सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।
ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,[24] ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .
प्लगइन्स और एक्सटेंशन
हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र प्लगइन्स और एक्सटेंशन अटैक की सतह का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन (Java plugin) और एक्टिवएक्स (ActiveX) में वल्नरेबिलिटी को अनावृत करते हैं जो आमतौर पर शोषित होते हैं। शोधकर्ताओं [25] ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को एक ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में एक ब्राउज़र सहायक वस्तु।[26] गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।
एडोब फ्लैश
सोशल साइंस रिसर्च नेटवर्क (सामाजिक विज्ञान अनुसंधान नेटवर्क) द्वारा अगस्त 2009 के एक अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी।[27] अधिकांश ब्राउज़रों के कैशे और इतिहास हटाने के प्रकार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं के अपने कैश पर लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय एचटीटीपी कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है।[28] इस प्रकार, जिन उपयोगकर्ताओं ने एचटीटीपी कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, फ़ायरफ़ॉक्स के लिए बेटरप्राइवेसी ऐड-ऑन फ्लैश कुकीज़ को हटा सकता है।[2] ऐडब्लॉक प्लस (Adblock Plus) का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है[13] और अन्यथा विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले एक विकल्प देने के लिए फ़्लैशब्लॉक का उपयोग किया जा सकता है।[29]
चार्ली मिलर ने कंप्यूटर सुरक्षा सम्मेलन कैनसेकवेस्ट में "फ़्लैश स्थापित न करने"[30] की अनुशंसा की। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो अडोब फ्लैश प्लेयर को इंस्टॉल न करें या इसे ब्लॉक कर दें।[31]
पासवर्ड सुरक्षा मॉडल
एक वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस (HTTPS ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।[32] उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "https://accounts.google.com" है या नहीं।
एक असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र आमतौर पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय एक चेतावनी प्रदर्शित करते हैं, जहां पता बार आमतौर पर स्थित होता है, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।[33]
हार्डवेयर ब्राउज़र
गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। एक अन्य उपकरण, iCloak वेबसाइट से iCloak® Stik एक पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।
लाइवसीडी
लाइव सीडी, जो एक गैर-लिखने योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाते हैं, आमतौर पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में एक वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।
ब्राउजर हार्डनिंग
कम से कम-विशेषाधिकार वाले उपयोगकर्ता खाते के रूप में इंटरनेट ब्राउज़ करना (अर्थात् बिना प्रशासक विशेषाधिकारों के) एक वेब ब्राउज़र में पूरे ऑपरेटिंग सिस्टम से समझौता करने से सुरक्षा शोषण की क्षमता को सीमित करता है।[34]
इंटरनेट एक्सप्लोरर 4 और बाद के संस्करण विभिन्न तरीकों से एक्टिवेक्स नियंत्रणों, ऐड-ऑन और ब्राउज़र एक्सटेंशन को ब्लैकलिस्टिंग[35][36][37] और व्हाइटलिस्टिंग[38][39] की अनुमति देता है।
इंटरनेट एक्सप्लोरर 7 ने "संरक्षित मोड" जोड़ा, एक ऐसी तकनीक जो विंडोज विस्टा (Windows Vista) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।[40] ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम एक सैंडबॉक्स प्रदान करता है।[41]
गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,[42] और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।[43]
यहां तक कि नवीनतम ब्राउज़रों,[44] और कुछ पुराने ब्राउज़रों और ऑपरेटिंग सिस्टमों के लिए भी कठोर (हार्डनिंग) करने के लिए थर्ड पार्टी एक्सटेंशन और प्लगइन्स उपलब्ध हैं। नोस्क्रिप्ट जैसे वाइट लिस्ट (श्वेतसूची)-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - एडब्लॉक प्लस भी श्वेतसूची विज्ञापन फ़िल्टरिंग नियमों की सदस्यता का उपयोग करता है, हालाँकि सॉफ़्टवेयर और स्वयं दोनों ही फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की डिफ़ॉल्ट रूप से अनुमति देने के लिए विवादों में आ गए हैं।[45] यूएस-सीईआरटी (यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम) की नोस्क्रिप्ट का उपयोग करके फ़्लैश को अवरुद्ध करने की अनुशंसा की है।[46]
फज़िंग
आधुनिक वेब ब्राउज़र वल्नरेबिलिटी को उजागर करने के लिए व्यापक फ़ज़िंग से गुज़रते हैं। गूगल क्रोम का क्रोमियम कोड 15,000 कोर के साथ क्रोम सुरक्षा टीम द्वारा लगातार फ़ज़ किया जाता है।[47] माइक्रोसॉफ्ट एज और इंटरनेट एक्स्प्लोरर के लिए, माइक्रोसॉफ्ट ने उत्पाद विकास के दौरान 670 मशीन वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन एचटीएमएल फ़ाइलों से 400 बिलियन से अधिक डीओएम जोड़-तोड़ उत्पन्न हुए [48][47]
सर्वोत्तम अभ्यास
This section does not cite any sources. (April 2019) (Learn how and when to remove this template message) |
- क्लीन सॉफ़्टवेयर लोड करें: ज्ञात क्लीन ओएस से ज्ञात क्लीन वेब ब्राउज़र से बूट करें
- क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (सीओआरएस) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (उदाहरण पैच वेबकिट-आधारित ब्राउज़र के लिए प्रदान किए गए हैं)
- थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
- डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें[49]
- वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में आमतौर पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
- विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें
यह भी देखें
- फ़िल्टर बबल
- फ्रेम इंजेक्शन
- पहचान संचालित नेटवर्किंग (आइडेंटिटी ड्रिवेन नेटवर्किंग)
- इंटरनेट सुरक्षा
- नेटवर्क सुरक्षा नीति
- एप्लीकेशन सिक्योरिटी
संदर्भ
- ↑ Maone, Giorgio. "नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
- ↑ 2.0 2.1 2.2 "बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Foundation.[permanent dead link]
- ↑ Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Archived 28 October 2010 at the Wayback Machine. Retrieved 19 November 2010.
- ↑ Messmer, Ellen and NetworkWorld. "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List". Retrieved 19 November 2010.
- ↑ Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Archived 20 May 2009 at the Wayback Machine. Retrieved 19 November 2010.
- ↑ Bradly, Tony. "It's Time to Finally Drop Internet Explorer 6" Archived 15 October 2012 at the Wayback Machine. Retrieved 19 November 2010.
- ↑ "ब्राउज़र". Mashable. Archived from the original on 2 September 2011. Retrieved 2 September 2011.
- ↑ Smith, Dave (21 March 2013). "योंटू ट्रोजन: नया मैक ओएस एक्स मैलवेयर एडवेयर के जरिए गूगल क्रोम, फायरफॉक्स और सफारी ब्राउजर्स को संक्रमित करता है". IBT Media Inc. Archived from the original on 24 March 2013. Retrieved 21 March 2013.
- ↑ Goodin, Dan. "MySQL.com उल्लंघन आगंतुकों को मैलवेयर के संपर्क में छोड़ देता है". The Register. Archived from the original on 28 September 2011. Retrieved 26 September 2011.
- ↑ Clinton Wong. "HTTP लेनदेन". O'Reilly. Archived from the original on 13 June 2013.
- ↑ "9 Ways to Know Your PC is Infected with Malware". Archived from the original on 11 November 2013.
- ↑ "सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र". Archived from the original on 9 June 2013.
- ↑ 13.0 13.1 Palant, Wladimir. "एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
- ↑ "'लाइक' आमंत्रणों पर फेसबुक की निजता की जांच". CBC News. 23 September 2010. Archived from the original on 26 June 2012. Retrieved 24 August 2011.
- ↑ Albanesius, Chloe (19 August 2011). "जर्मन एजेंसियां फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन". PC Magazine. Archived from the original on 29 March 2012. Retrieved 24 August 2011.
{{cite news}}
: zero width space character in|title=
at position 17 (help) - ↑ McCullagh, Declan (2 June 2010). "Facebook 'Like' button draws privacy scrutiny". CNET News. Archived from the original on 5 December 2011. Retrieved 19 December 2011.
- ↑ Roosendaal, Arnold (30 November 2010). "फेसबुक हर किसी को ट्रैक और ट्रेस करता है: इसे लाइक करें!". SSRN 1717563.
- ↑ Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "आर्किटेक्चरल सिक्योरिटी टैक्टिक्स से संबंधित सॉफ्टवेयर कमजोरियों को समझना: क्रोमियम, पीएचपी और थंडरबर्ड की एक अनुभवजन्य जांच". 2017 IEEE International Conference on Software Architecture (ICSA): 69–78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
- ↑ State of Vermont. "वेब ब्राउजर अटैक". Archived from the original on 13 February 2012. Retrieved 11 April 2012.
- ↑ "विंडोज रूटकिट अवलोकन" (PDF). Symantec. Archived from the original (PDF) on 16 May 2013. Retrieved 20 April 2013.
- ↑ "क्रॉस साइट स्क्रिप्टिंग अटैक". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
- ↑ Lenny Zeltser. "वेब ब्राउज़र और ऐड-ऑन पर हमलों को कम करना". Archived from the original on 7 May 2013. Retrieved 20 May 2013.
- ↑ Dan Goodin (14 March 2013). "एसएसएल डिक्रिप्ट प्रमाणीकरण कुकीज़ पर दो नए हमले". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
- ↑ "बीफप्रोजेक्ट.कॉम". Archived from the original on 11 August 2011.
{{cite web}}
: Check|url=
value (help) - ↑ Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, USA: ACM: 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
- ↑ "सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं". Symantec.com. Archived from the original on 14 May 2013. Retrieved 12 April 2012.
- ↑ Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10 August 2009). "सोल्टानी, अशकान, कैंटी, शैनन, मेयो, क्वेंटिन, थॉमस, लॉरेन और हूफनागल, क्रिस जे: फ्लैश कुकीज़ और गोपनीयता". SSRN 1446862.
- ↑ "स्थानीय साझा वस्तु -- "फ्लैश कुकीज़"". Electronic Privacy Information Center. 21 July 2005. Archived from the original on 16 April 2010. Retrieved 8 March 2010.
- ↑ Chee, Philip. "फ्लैशब्लॉक :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation. Archived from the original on 15 April 2013.
- ↑ "Pwn2Own 2010: चार्ली मिलर के साथ साक्षात्कार". 1 March 2010. Archived from the original on 24 April 2011. Retrieved 27 March 2010.
- ↑ "विशेषज्ञ का कहना है कि Adobe Flash नीति जोखिम भरी है". 12 November 2009. Archived from the original on 26 April 2011. Retrieved 27 March 2010.
- ↑ John C. Mitchell. "ब्राउज़र सुरक्षा मॉडल" (PDF). Archived (PDF) from the original on 20 June 2015.
- ↑ "फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org". feross.org. Archived from the original on 25 December 2017. Retrieved 7 May 2018.
- ↑ "कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता खाते का उपयोग करना". Microsoft. Archived from the original on 6 March 2013. Retrieved 20 April 2013.
- ↑ "Internet Explorer में ActiveX नियंत्रण को चलने से कैसे रोकें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
- ↑ "उन्नत उपयोगकर्ताओं के लिए Internet Explorer सुरक्षा क्षेत्र रजिस्ट्री प्रविष्टियाँ". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
- ↑ "आउट-ऑफ़-डेट एक्टिवएक्स कंट्रोल ब्लॉकिंग". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
- ↑ "इंटरनेट एक्सप्लोरर ऐड-ऑन प्रबंधन और क्रैश डिटेक्शन". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
- ↑ "Windows XP सर्विस पैक 2 में Internet Explorer ऐड-ऑन कैसे प्रबंधित करें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
- ↑ Matthew Conover. "Windows Vista सुरक्षा मॉडल का विश्लेषण" (PDF). Symantec Corporation. Archived from the original (PDF) on 16 May 2008. Retrieved 8 October 2007.
- ↑ "ब्राउज़र सुरक्षा: Google Chrome से सीखे". Archived from the original on 11 November 2013.
- ↑ "Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें". Archived from the original on 12 September 2014.
- ↑ "Google सुरक्षित ब्राउज़िंग". Archived from the original on 14 September 2014.
- ↑ "अपने वेब ब्राउज़र को सुरक्षित करने के 5 तरीके". ZoneAlarm. 8 May 2014. Archived from the original on 7 September 2014.
- ↑ "एडब्लॉक प्लस जल्द ही कम विज्ञापनों को ब्लॉक करेगा - सिलिकॉनफिल्टर". Siliconfilter.com. 12 December 2011. Archived from the original on 30 January 2013. Retrieved 20 April 2013.
- ↑ "अपने वेब ब्राउज़र को सुरक्षित करना". Archived from the original on 26 March 2010. Retrieved 27 March 2010.
- ↑ 47.0 47.1 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 September 2017). "ब्राउज़र सुरक्षा श्वेतपत्र" (PDF). X41D SEC GmbH.
- ↑ "Microsoft Edge के लिए सुरक्षा संवर्द्धन (IT पेशेवरों के लिए Microsoft Edge)" (in English). Microsoft. 15 October 2017. Retrieved 31 August 2018.
- ↑ Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weaver, Nick; Paxson, Vern (2017). {DNS} हेरफेर का वैश्विक मापन (in English). pp. 307–323. ISBN 978-1-931971-40-9.
अग्रिम पठन
- Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 September 2017). "Browser Security White Paper" (PDF). X41D SEC GmbH.
- Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolai; Kinugawa, Masato (29 November 2017). "Cure53 Browser Security White Paper" (PDF). Cure53.