ब्राउज़र सुरक्षा: Difference between revisions

From Vigyanwiki
No edit summary
Line 3: Line 3:


ब्राउज़र सुरक्षा [[कंप्यूटर नेटवर्क|नेटवर्क]] डेटा और [[कंप्यूटर प्रणाली|कंप्यूटर सिस्टम]] को गोपनीयता या [[मैलवेयर]] के उल्लंघन से बचाने के लिए [[वेब ब्राउज़र]] पर [[इंटरनेट सुरक्षा]] का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर [[जावास्क्रिप्ट]] का उपयोग करते हैं, कभी-कभी [[क्रॉस साइट स्क्रिप्टिंग]] (एक्सएसएस)<ref name="mozilla-noscript">{{cite web
ब्राउज़र सुरक्षा [[कंप्यूटर नेटवर्क|नेटवर्क]] डेटा और [[कंप्यूटर प्रणाली|कंप्यूटर सिस्टम]] को गोपनीयता या [[मैलवेयर]] के उल्लंघन से बचाने के लिए [[वेब ब्राउज़र]] पर [[इंटरनेट सुरक्षा]] का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर [[जावास्क्रिप्ट]] का उपयोग करते हैं, कभी-कभी [[क्रॉस साइट स्क्रिप्टिंग]] (एक्सएसएस)<ref name="mozilla-noscript">{{cite web
|url=https://addons.mozilla.org/firefox/addon/noscript |title=नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Giorgio Maone |first=Giorgio |last=Maone |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> के साथ एडोब फ्लैश ([[Adobe Flash]]) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ।<ref name="mozilla-betterprivacy">{{cite web |url=https://addons.mozilla.org/firefox/addon/betterprivacy |title=बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|website=[[Mozilla Foundation]] }}{{Dead link|date=June 2019 |bot=InternetArchiveBot |fix-attempted=yes }}</ref> सुरक्षा शोषण [[भेद्यता (कंप्यूटिंग)|भेद्यता]] (सुरक्षा छेद) का भी लाभ उठा सकता है जो आमतौर पर सभी ब्राउज़रों ([[मोज़िला फ़ायरफ़ॉक्स]],<ref name="Firefox vulnerability confirmed">Keizer, Greg. [http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html Firefox 3.5 Vulnerability Confirmed] {{webarchive|url=https://web.archive.org/web/20101028041630/http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html |date=28 October 2010 }}. Retrieved 19 November 2010.</ref> [[गूगल क्रोम]],<ref name="Chrome dirty dozen">Messmer, Ellen and NetworkWorld. [https://www.pcworld.com/article/210797/google_chrome_tops_dirty_dozen_vulnerable_apps_list.html "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"]. Retrieved 19 November 2010.</ref> [[ओपेरा (वेब ​​ब्राउज़र)|ओपेरा]],<ref name="Opera severe hole">Skinner, Carrie-Ann. [http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html Opera Plugs "Severe" Browser Hole] {{webarchive |url=https://web.archive.org/web/20090520070700/http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html |date=20 May 2009 }}. Retrieved 19 November 2010.</ref> [[माइक्रोसॉफ्ट अंतर्जाल अन्वेषक|माइक्रोसॉफ्ट]] इंटरनेट एक्सप्लोरर,<ref name="time to drop IE6">Bradly, Tony. [https://www.pcworld.com/article/191356/its_time_to_finally_drop_internet_explorer_6.html "It's Time to Finally Drop Internet Explorer 6" ] {{webarchive|url=https://web.archive.org/web/20121015135539/http://www.pcworld.com/article/191356/Its_Time_to_Finally_Drop_Internet_Explorer_6.html |date=15 October 2012 }}. Retrieved 19 November 2010.</ref> और [[सफारी (वेब ​​​​ब्राउज़र)|सफारी]]<ref>{{cite web|url=http://mashable.com/follow/topics/browser/|title=ब्राउज़र|publisher=[[Mashable]]|access-date=2 September 2011|url-status=live|archive-url=https://web.archive.org/web/20110902145020/http://mashable.com/follow/topics/browser/|archive-date=2 September 2011|df=dmy-all}}</ref> सहित में शोषण किया जाता है।
|url=https://addons.mozilla.org/firefox/addon/noscript |title=नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Giorgio Maone |first=Giorgio |last=Maone |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> के साथ एडोब फ्लैश ([[Adobe Flash]]) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ।<ref name="mozilla-betterprivacy">{{cite web |url=https://addons.mozilla.org/firefox/addon/betterprivacy |title=बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|website=[[Mozilla Foundation]] }}{{Dead link|date=June 2019 |bot=InternetArchiveBot |fix-attempted=yes }}</ref> सुरक्षा शोषण [[भेद्यता (कंप्यूटिंग)|भेद्यता]] (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतया पर सभी ब्राउज़रों ([[मोज़िला फ़ायरफ़ॉक्स]],<ref name="Firefox vulnerability confirmed">Keizer, Greg. [http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html Firefox 3.5 Vulnerability Confirmed] {{webarchive|url=https://web.archive.org/web/20101028041630/http://www.pcworld.com/article/168461/firefox_35_vulnerability_confirmed.html |date=28 October 2010 }}. Retrieved 19 November 2010.</ref> [[गूगल क्रोम]],<ref name="Chrome dirty dozen">Messmer, Ellen and NetworkWorld. [https://www.pcworld.com/article/210797/google_chrome_tops_dirty_dozen_vulnerable_apps_list.html "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"]. Retrieved 19 November 2010.</ref> [[ओपेरा (वेब ​​ब्राउज़र)|ओपेरा]],<ref name="Opera severe hole">Skinner, Carrie-Ann. [http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html Opera Plugs "Severe" Browser Hole] {{webarchive |url=https://web.archive.org/web/20090520070700/http://www.pcworld.com/article/155854/opera_plugs_severe_browser_hole.html |date=20 May 2009 }}. Retrieved 19 November 2010.</ref> [[माइक्रोसॉफ्ट अंतर्जाल अन्वेषक|माइक्रोसॉफ्ट]] इंटरनेट एक्सप्लोरर,<ref name="time to drop IE6">Bradly, Tony. [https://www.pcworld.com/article/191356/its_time_to_finally_drop_internet_explorer_6.html "It's Time to Finally Drop Internet Explorer 6" ] {{webarchive|url=https://web.archive.org/web/20121015135539/http://www.pcworld.com/article/191356/Its_Time_to_Finally_Drop_Internet_Explorer_6.html |date=15 October 2012 }}. Retrieved 19 November 2010.</ref> और [[सफारी (वेब ​​​​ब्राउज़र)|सफारी]]<ref>{{cite web|url=http://mashable.com/follow/topics/browser/|title=ब्राउज़र|publisher=[[Mashable]]|access-date=2 September 2011|url-status=live|archive-url=https://web.archive.org/web/20110902145020/http://mashable.com/follow/topics/browser/|archive-date=2 September 2011|df=dmy-all}}</ref> सहित में शोषण किया जाता है।


== सुरक्षा ==
== सुरक्षा ==
Line 18: Line 18:
जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)<ref>{{cite web | url=http://oreilly.com/catalog/httppr/chapter/http_pkt.html | title=HTTP लेनदेन| author=Clinton Wong | publisher=O'Reilly | archive-url=https://web.archive.org/web/20130613235658/http://oreilly.com/catalog/httppr/chapter/http_pkt.html | archive-date=13 June 2013 | df=dmy-all }}</ref> यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से एक जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।<ref>{{cite web |  url=http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  title=9 Ways to Know Your PC is Infected with Malware |  archive-url=https://web.archive.org/web/20131111192509/http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  archive-date=11 November 2013 |  df=dmy-all }}</ref> एक बार एक अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।<ref>{{cite web | url=http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | title=सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र| url-status=live | archive-url=https://web.archive.org/web/20130609070315/http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | archive-date=9 June 2013 | df=dmy-all }}</ref>
जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)<ref>{{cite web | url=http://oreilly.com/catalog/httppr/chapter/http_pkt.html | title=HTTP लेनदेन| author=Clinton Wong | publisher=O'Reilly | archive-url=https://web.archive.org/web/20130613235658/http://oreilly.com/catalog/httppr/chapter/http_pkt.html | archive-date=13 June 2013 | df=dmy-all }}</ref> यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से एक जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।<ref>{{cite web |  url=http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  title=9 Ways to Know Your PC is Infected with Malware |  archive-url=https://web.archive.org/web/20131111192509/http://www.ebernieinc.com/9-ways-to-know-your-pc-is-infected-with-malware/ |  archive-date=11 November 2013 |  df=dmy-all }}</ref> एक बार एक अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।<ref>{{cite web | url=http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | title=सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र| url-status=live | archive-url=https://web.archive.org/web/20130609070315/http://www.symantec.com/security_response/whitepapers.jsp?inid=us_sr_flyout_publications_security | archive-date=9 June 2013 | df=dmy-all }}</ref>


वेब ब्राउजर सुरक्षा के उल्लंघन आमतौर पर [[पॉप-अप विज्ञापन]] प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं<ref name="mozilla-adblock-plus">{{cite web |url=https://addons.mozilla.org/firefox/addon/adblock-plus |title=एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Wladimir Palant |first=Wladimir |last=Palant |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, [[वेबसाइट ट्रैकिंग]] या [[वेब विश्लेषिकी|वेब एनालिटिक्स]] के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। [[वेब बग]] के रूप में, [[क्लिकजैकिंग]], लाइकजैकिंग (जहां [[फेसबुक]] का लाइक [[बटन की तरह|बटन]] लक्षित है),<ref>{{cite news|url=http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|title='लाइक' आमंत्रणों पर फेसबुक की निजता की जांच|date=23 September 2010|work=CBC News|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120626205135/http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|archive-date=26 June 2012|df=dmy-all}}</ref><ref>{{cite news|url=https://www.pcmag.com/article2/0,2817,2391440,00.asp|title=जर्मन एजेंसियां ​​फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन|last=Albanesius|first=Chloe|date=19 August 2011|work=[[PC Magazine]]|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120329043111/http://www.pcmag.com/article2/0,2817,2391440,00.asp |archive-date=29 March 2012|df=dmy-all}}</ref><ref name="cnet-privacy-scrutiny">{{cite news
वेब ब्राउजर सुरक्षा के उल्लंघन सामान्यतया पर [[पॉप-अप विज्ञापन]] प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं<ref name="mozilla-adblock-plus">{{cite web |url=https://addons.mozilla.org/firefox/addon/adblock-plus |title=एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन|author-link=Wladimir Palant |first=Wladimir |last=Palant |work=[[Mozilla Add-ons]] |publisher=[[Mozilla Foundation]]}}</ref> इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, [[वेबसाइट ट्रैकिंग]] या [[वेब विश्लेषिकी|वेब एनालिटिक्स]] के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। [[वेब बग]] के रूप में, [[क्लिकजैकिंग]], लाइकजैकिंग (जहां [[फेसबुक]] का लाइक [[बटन की तरह|बटन]] लक्षित है),<ref>{{cite news|url=http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|title='लाइक' आमंत्रणों पर फेसबुक की निजता की जांच|date=23 September 2010|work=CBC News|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120626205135/http://www.cbc.ca/news/technology/story/2010/09/23/facebook-like-invitations.html|archive-date=26 June 2012|df=dmy-all}}</ref><ref>{{cite news|url=https://www.pcmag.com/article2/0,2817,2391440,00.asp|title=जर्मन एजेंसियां ​​फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन|last=Albanesius|first=Chloe|date=19 August 2011|work=[[PC Magazine]]|access-date=24 August 2011|url-status=live|archive-url=https://web.archive.org/web/20120329043111/http://www.pcmag.com/article2/0,2817,2391440,00.asp |archive-date=29 March 2012|df=dmy-all}}</ref><ref name="cnet-privacy-scrutiny">{{cite news
  |last        = McCullagh
  |last        = McCullagh
  |first      = Declan
  |first      = Declan
Line 43: Line 43:
*[[एचटीटीपी]]: एचटीटीपी [[HTTP सुरक्षित|सुरक्षित]] और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट ([[सार्वजनिक कुंजी प्रमाणपत्र]]) या विस्तारित मान्यता प्रमाणपत्र के साथ।
*[[एचटीटीपी]]: एचटीटीपी [[HTTP सुरक्षित|सुरक्षित]] और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट ([[सार्वजनिक कुंजी प्रमाणपत्र]]) या विस्तारित मान्यता प्रमाणपत्र के साथ।


पेरिमीटर सुरक्षा, आमतौर पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले [[प्रॉक्सी सर्वर]] को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, आमतौर पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए एक सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।
पेरिमीटर सुरक्षा, सामान्यतया पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले [[प्रॉक्सी सर्वर]] को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, सामान्यतया पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए एक सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।


ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,<ref>{{cite web|url=http://बीफप्रोजेक्ट.कॉम/|title=बीफप्रोजेक्ट.कॉम|url-status=live|archive-url=https://web.archive.org/web/20110811035950/http://बीफप्रोजेक्ट.कॉम/ |archive-date=11 August 2011|df=dmy-all}}</ref> ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .
ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,<ref>{{cite web|url=http://बीफप्रोजेक्ट.कॉम/|title=बीफप्रोजेक्ट.कॉम|url-status=live|archive-url=https://web.archive.org/web/20110811035950/http://बीफप्रोजेक्ट.कॉम/ |archive-date=11 August 2011|df=dmy-all}}</ref> ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .


=== प्लगइन्स और एक्सटेंशन ===
=== प्लगइन्स और एक्सटेंशन ===
हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र [[प्लग-इन (कंप्यूटिंग)|प्लगइन्स]] और [[ब्राउज़र एक्सटेंशन|एक्सटेंशन]] अटैक की [[हमले की सतह|सतह]] का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन ([[Java plugin]]) और एक्टिवएक्स ([[ActiveX]]) में वल्नरेबिलिटी को अनावृत करते हैं जो आमतौर पर शोषित होते हैं। शोधकर्ताओं <ref>{{Cite journal|last1=Santos|first1=Joanna C. S.|last2=Sejfia|first2=Adriana|last3=Corrello|first3=Taylor|last4=Gadenkanahalli|first4=Smruthi|last5=Mirakhorli|first5=Mehdi|date=2019|title=एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच|url=https://www.researchgate.net/publication/334130422|journal=Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering|series=ESEC/FSE 2019|location=New York, NY, USA|publisher=ACM|pages=671–682|doi=10.1145/3338906.3338969|isbn=978-1-4503-5572-8|s2cid=199501995}}</ref> ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को एक ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में एक [[ब्राउज़र सहायक वस्तु]]।<ref>{{cite web|url=http://www.symantec.com/business/support/index?page=content&id=TECH94965|title=सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं|publisher=Symantec.com|access-date=12 April 2012|url-status=live|archive-url=https://web.archive.org/web/20130514095634/http://www.symantec.com/business/support/index?page=content&id=TECH94965|archive-date=14 May 2013|df=dmy-all}}</ref> गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।
हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र [[प्लग-इन (कंप्यूटिंग)|प्लगइन्स]] और [[ब्राउज़र एक्सटेंशन|एक्सटेंशन]] अटैक की [[हमले की सतह|सतह]] का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन ([[Java plugin]]) और एक्टिवएक्स ([[ActiveX]]) में वल्नरेबिलिटी को अनावृत करते हैं जो सामान्यतया पर शोषित होते हैं। शोधकर्ताओं <ref>{{Cite journal|last1=Santos|first1=Joanna C. S.|last2=Sejfia|first2=Adriana|last3=Corrello|first3=Taylor|last4=Gadenkanahalli|first4=Smruthi|last5=Mirakhorli|first5=Mehdi|date=2019|title=एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच|url=https://www.researchgate.net/publication/334130422|journal=Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering|series=ESEC/FSE 2019|location=New York, NY, USA|publisher=ACM|pages=671–682|doi=10.1145/3338906.3338969|isbn=978-1-4503-5572-8|s2cid=199501995}}</ref> ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को एक ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में एक [[ब्राउज़र सहायक वस्तु]]।<ref>{{cite web|url=http://www.symantec.com/business/support/index?page=content&id=TECH94965|title=सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं|publisher=Symantec.com|access-date=12 April 2012|url-status=live|archive-url=https://web.archive.org/web/20130514095634/http://www.symantec.com/business/support/index?page=content&id=TECH94965|archive-date=14 May 2013|df=dmy-all}}</ref> गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।


=== एडोब फ्लैश ===
=== एडोब फ्लैश ===
Line 59: Line 59:
एक वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस ([[HTTPS]] ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।<ref>{{cite web|title=ब्राउज़र सुरक्षा मॉडल|url=https://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|author=John C. Mitchell|url-status=live|archive-url=https://web.archive.org/web/20150620051731/http://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|archive-date=20 June 2015|df=dmy-all|author-link=John C. Mitchell}}</ref> उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "<nowiki>https://accounts.google.com</nowiki>" है या नहीं।
एक वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस ([[HTTPS]] ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।<ref>{{cite web|title=ब्राउज़र सुरक्षा मॉडल|url=https://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|author=John C. Mitchell|url-status=live|archive-url=https://web.archive.org/web/20150620051731/http://crypto.stanford.edu/cs155old/cs155-spring11/lectures/08-browser-sec-model.pdf|archive-date=20 June 2015|df=dmy-all|author-link=John C. Mitchell}}</ref> उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "<nowiki>https://accounts.google.com</nowiki>" है या नहीं।


एक असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र आमतौर पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय एक चेतावनी प्रदर्शित करते हैं, जहां पता बार आमतौर पर स्थित होता है, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।<ref>{{cite web|url=http://feross.org/html5-fullscreen-api-attack/|title=फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org|website=feross.org|access-date=7 May 2018|url-status=live|archive-url=https://web.archive.org/web/20171225134343/https://feross.org/html5-fullscreen-api-attack/|archive-date=25 December 2017|df=dmy-all}}</ref>
एक असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र सामान्यतया पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय एक चेतावनी प्रदर्शित करते हैं, जहां पता बार सामान्यतया पर स्थित होता है, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।<ref>{{cite web|url=http://feross.org/html5-fullscreen-api-attack/|title=फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org|website=feross.org|access-date=7 May 2018|url-status=live|archive-url=https://web.archive.org/web/20171225134343/https://feross.org/html5-fullscreen-api-attack/|archive-date=25 December 2017|df=dmy-all}}</ref>
== हार्डवेयर ब्राउज़र ==
== हार्डवेयर ब्राउज़र ==
गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। एक अन्य उपकरण, [https://www.iCloak.me iCloak] वेबसाइट से iCloak® Stik एक पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।
गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। एक अन्य उपकरण, [https://www.iCloak.me iCloak] वेबसाइट से iCloak® Stik एक पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।


== लाइवसीडी ==
== लाइवसीडी ==
[[लाइव सीडी की सूची|लाइव सीडी]], जो एक गैर-लिखने योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाते हैं, आमतौर पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में एक वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।
[[लाइव सीडी की सूची|लाइव सीडी]], जो एक गैर-लिखने योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाते हैं, सामान्यतया पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में एक वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।


== ब्राउजर हार्डनिंग ==
== ब्राउजर हार्डनिंग ==
Line 84: Line 84:
*थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
*थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
*डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें<ref>{{Cite book|last1=Pearce|first1=Paul|last2=Jones|first2=Ben|last3=Li|first3=Frank|last4=Ensafi|first4=Roya|last5=Feamster|first5=Nick|last6=Weaver|first6=Nick|last7=Paxson|first7=Vern|date=2017|title={DNS} हेरफेर का वैश्विक मापन|url=https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/pearce|language=en|pages=307–323|isbn=978-1-931971-40-9}}</ref>  
*डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें<ref>{{Cite book|last1=Pearce|first1=Paul|last2=Jones|first2=Ben|last3=Li|first3=Frank|last4=Ensafi|first4=Roya|last5=Feamster|first5=Nick|last6=Weaver|first6=Nick|last7=Paxson|first7=Vern|date=2017|title={DNS} हेरफेर का वैश्विक मापन|url=https://www.usenix.org/conference/usenixsecurity17/technical-sessions/presentation/pearce|language=en|pages=307–323|isbn=978-1-931971-40-9}}</ref>  
* वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में आमतौर पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
* वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में सामान्यतया पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
* विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें
* विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें



Revision as of 13:06, 22 December 2022

ब्राउज़र सुरक्षा नेटवर्क डेटा और कंप्यूटर सिस्टम को गोपनीयता या मैलवेयर के उल्लंघन से बचाने के लिए वेब ब्राउज़र पर इंटरनेट सुरक्षा का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर जावास्क्रिप्ट का उपयोग करते हैं, कभी-कभी क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस)[1] के साथ एडोब फ्लैश (Adobe Flash) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ।[2] सुरक्षा शोषण भेद्यता (सुरक्षा छेद) का भी लाभ उठा सकता है जो सामान्यतया पर सभी ब्राउज़रों (मोज़िला फ़ायरफ़ॉक्स,[3] गूगल क्रोम,[4] ओपेरा,[5] माइक्रोसॉफ्ट इंटरनेट एक्सप्लोरर,[6] और सफारी[7] सहित में शोषण किया जाता है।

सुरक्षा

वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:

  • ऑपरेटिंग सिस्टम का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।[8]
  • ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में एक मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
  • मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
  • ब्राउज़र घटक हैक किए जा सकते हैं।
  • ब्राउजर प्लगइन्स हैक किए जा सकते हैं।
  • मशीन के बाहर ब्राउजर नेटवर्क कम्युनिकेशन को इंटरसेप्ट किया जा सकता है।[9]

हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।

जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।)[10] यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से एक जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)।[11] एक बार एक अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।[12]

वेब ब्राउजर सुरक्षा के उल्लंघन सामान्यतया पर पॉप-अप विज्ञापन प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं[13] इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, वेबसाइट ट्रैकिंग या वेब एनालिटिक्स के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। वेब बग के रूप में, क्लिकजैकिंग, लाइकजैकिंग (जहां फेसबुक का लाइक बटन लक्षित है),[14][15][16][17] एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ);[2] एडवेयर इंस्टॉल करना, वायरस, स्पाइवेयर जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या मैन-इन-द-ब्राउज़र हमलों का उपयोग करके ऑनलाइन बैंकिंग चोरी सहित अन्य मैलवेयर।

क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, एक वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं।[18] इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।

वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है,[19] लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा।[20] ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज, [21][22][23] विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।

रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, एक रूटकिट (rootkit) कीस्ट्रोक को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। डीएनएस हाइजैकिंग या डीएनएस स्पूफिंग का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। आरएसप्लग जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।

ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए नेटवर्क संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:

  • डीएनएस: डीएनएससेक (DNSSec) और डीएनएस क्रिप्ट (DNSCrypt), उदाहरण के लिए गैर-डिफॉल्ट डीएनएस सर्वर जैसे कि गूगल पब्लिक डीएनएस या ओपनडीएनएस (OpenDNS)।
  • एचटीटीपी: एचटीटीपी सुरक्षित और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट (सार्वजनिक कुंजी प्रमाणपत्र) या विस्तारित मान्यता प्रमाणपत्र के साथ।

पेरिमीटर सुरक्षा, सामान्यतया पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले प्रॉक्सी सर्वर को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, सामान्यतया पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए एक सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।

ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट,[24] ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए .

प्लगइन्स और एक्सटेंशन

हालांकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र प्लगइन्स और एक्सटेंशन अटैक की सतह का विस्तार करते हैं, एडोब फ्लैश प्लेयर, एडोब (एक्रोबैट) रीडर, जावा प्लगइन (Java plugin) और एक्टिवएक्स (ActiveX) में वल्नरेबिलिटी को अनावृत करते हैं जो सामान्यतया पर शोषित होते हैं। शोधकर्ताओं [25] ने विभिन्न वेब ब्राउज़रों की सुरक्षा संरचना का बड़े पैमाने पर अध्ययन किया है, विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर भरोसा करने वाले। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित कमियों की पहचान की है। मैलवेयर को एक ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे कि इंटरनेट एक्सप्लोरर के मामले में एक ब्राउज़र सहायक वस्तु[26] गूगल क्रोम और मोज़िला फ़ायरफ़ॉक्स जैसे ब्राउज़र असुरक्षित प्लगइन्स को अवरोधित कर सकते हैं—या उपयोगकर्ताओं को चेतावनी दे सकते हैं।

एडोब फ्लैश

सोशल साइंस रिसर्च नेटवर्क (सामाजिक विज्ञान अनुसंधान नेटवर्क) द्वारा अगस्त 2009 के एक अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी।[27] अधिकांश ब्राउज़रों के कैशे और इतिहास हटाने के प्रकार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं के अपने कैश पर लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय एचटीटीपी कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है।[28] इस प्रकार, जिन उपयोगकर्ताओं ने एचटीटीपी कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, फ़ायरफ़ॉक्स के लिए बेटरप्राइवेसी ऐड-ऑन फ्लैश कुकीज़ को हटा सकता है।[2] ऐडब्लॉक प्लस (Adblock Plus) का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है[13] और अन्यथा विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले एक विकल्प देने के लिए फ़्लैशब्लॉक का उपयोग किया जा सकता है।[29]

चार्ली मिलर ने कंप्यूटर सुरक्षा सम्मेलन कैनसेकवेस्ट में "फ़्लैश स्थापित न करने"[30] की अनुशंसा की। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो अडोब फ्लैश प्लेयर को इंस्टॉल न करें या इसे ब्लॉक कर दें।[31]

पासवर्ड सुरक्षा मॉडल

एक वेब पेज की कंटेन्ट्स मनमाने ढंग से और एड्रेस बार में प्रदर्शित डोमेन नाम की इकाई द्वारा नियंत्रित होती है। यदि एचटीटीपीएस (HTTPS ) का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग नेटवर्क तक पहुंच वाले हमलावरों को रास्ते में पृष्ठ सामग्री को बदलने से सुरक्षित करने के लिए किया जाता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए पता बार को देखना चाहिए कि क्या पता बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है।[32] उदाहरण के लिए, गूगल के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह देखना चाहिए कि एड्रेस बार "https://accounts.google.com" है या नहीं।

एक असम्बद्ध ब्राउज़र यह गारंटी देता है कि एड्रेस बार सही है। यह गारंटी एक कारण है कि ब्राउज़र सामान्यतया पर पूर्णस्क्रीन (फुल स्क्रीन) मोड में प्रवेश करते समय एक चेतावनी प्रदर्शित करते हैं, जहां पता बार सामान्यतया पर स्थित होता है, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र यूजर इंटरफेस नहीं बना सके।[33]

हार्डवेयर ब्राउज़र

गैर-लिखने योग्य, केवल-पढ़ने के लिए फ़ाइल सिस्टम चलाने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डेटा को डिवाइस पर संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक साफ निष्पादन योग्य प्रस्तुत किया जाता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जिसे 2013 के अंत में जारी किया गया था। ज़ीउसगार्ड वेबसाइट 2016 के मध्य से काम नहीं कर रही है। एक अन्य उपकरण, iCloak वेबसाइट से iCloak® Stik एक पूर्ण Live OS प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और केवल पढ़ने के लिए सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लॉक के साथ, वे अनाम ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-गुमनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, एचटीटीपीएस का उपयोग नहीं करना), अभी भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।

लाइवसीडी

लाइव सीडी, जो एक गैर-लिखने योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाते हैं, सामान्यतया पर उनकी डिफ़ॉल्ट इमेज के हिस्से के रूप में एक वेब ब्राउज़र के साथ आते हैं। यदि मूल लाइवसीडी मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, लाइवसीडी इमेज के बूट होने पर हर बार मैलवेयर से मुक्त लोड होंगे।

ब्राउजर हार्डनिंग

कम से कम-विशेषाधिकार वाले उपयोगकर्ता खाते के रूप में इंटरनेट ब्राउज़ करना (अर्थात् बिना प्रशासक विशेषाधिकारों के) एक वेब ब्राउज़र में पूरे ऑपरेटिंग सिस्टम से समझौता करने से सुरक्षा शोषण की क्षमता को सीमित करता है।[34]

इंटरनेट एक्सप्लोरर 4 और बाद के संस्करण विभिन्न तरीकों से एक्टिवेक्स नियंत्रणों, ऐड-ऑन और ब्राउज़र एक्सटेंशन को ब्लैकलिस्टिंग[35][36][37] और व्हाइटलिस्टिंग[38][39] की अनुमति देता है।

इंटरनेट एक्सप्लोरर 7 ने "संरक्षित मोड" जोड़ा, एक ऐसी तकनीक जो विंडोज विस्टा (Windows Vista) की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को सख्त करती है जिसे अनिवार्य अखंडता नियंत्रण कहा जाता है।[40] ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए गूगल क्रोम एक सैंडबॉक्स प्रदान करता है।[41]

गूगल को रिपोर्ट की गई संदिग्ध मैलवेयर साइट,[42] और गूगल द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में चिह्नित की जाती हैं।[43]

यहां तक कि नवीनतम ब्राउज़रों,[44] और कुछ पुराने ब्राउज़रों और ऑपरेटिंग सिस्टमों के लिए भी कठोर (हार्डनिंग) करने के लिए थर्ड पार्टी एक्सटेंशन और प्लगइन्स उपलब्ध हैं। नोस्क्रिप्ट जैसे वाइट लिस्ट (श्वेतसूची)-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - एडब्लॉक प्लस भी श्वेतसूची विज्ञापन फ़िल्टरिंग नियमों की सदस्यता का उपयोग करता है, हालाँकि सॉफ़्टवेयर और स्वयं दोनों ही फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की डिफ़ॉल्ट रूप से अनुमति देने के लिए विवादों में आ गए हैं।[45] यूएस-सीईआरटी (यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम) की नोस्क्रिप्ट का उपयोग करके फ़्लैश को अवरुद्ध करने की अनुशंसा की है।[46]

फज़िंग

आधुनिक वेब ब्राउज़र वल्नरेबिलिटी को उजागर करने के लिए व्यापक फ़ज़िंग से गुज़रते हैं। गूगल क्रोम का क्रोमियम कोड 15,000 कोर के साथ क्रोम सुरक्षा टीम द्वारा लगातार फ़ज़ किया जाता है।[47] माइक्रोसॉफ्ट एज और इंटरनेट एक्स्प्लोरर के लिए, माइक्रोसॉफ्ट ने उत्पाद विकास के दौरान 670 मशीन वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन एचटीएमएल फ़ाइलों से 400 बिलियन से अधिक डीओएम जोड़-तोड़ उत्पन्न हुए [48][47]

सर्वोत्तम अभ्यास

  • क्लीन सॉफ़्टवेयर लोड करें: ज्ञात क्लीन ओएस से ज्ञात क्लीन वेब ब्राउज़र से बूट करें
  • क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (सीओआरएस) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (उदाहरण पैच वेबकिट-आधारित ब्राउज़र के लिए प्रदान किए गए हैं)
  • थर्ड पार्टी सॉफ़्टवेयर के माध्यम से अटैक्स को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
  • डीएनएस हेरफेर को रोकें: विश्वसनीय और सुरक्षित डीएनएस का उपयोग करें[49]
  • वेबसाइट-आधारित कारनामों से बचें: इंटरनेट सुरक्षा सॉफ़्टवेयर में सामान्यतया पर पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
  • विद्वेषपूर्ण कंटेंट से बचें: पेरीमीटर सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें

यह भी देखें

संदर्भ

  1. Maone, Giorgio. "नोस्क्रिप्ट :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
  2. 2.0 2.1 2.2 "बेटरप्राइवेसी :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Foundation.[permanent dead link]
  3. Keizer, Greg. Firefox 3.5 Vulnerability Confirmed Archived 28 October 2010 at the Wayback Machine. Retrieved 19 November 2010.
  4. Messmer, Ellen and NetworkWorld. "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List". Retrieved 19 November 2010.
  5. Skinner, Carrie-Ann. Opera Plugs "Severe" Browser Hole Archived 20 May 2009 at the Wayback Machine. Retrieved 19 November 2010.
  6. Bradly, Tony. "It's Time to Finally Drop Internet Explorer 6" Archived 15 October 2012 at the Wayback Machine. Retrieved 19 November 2010.
  7. "ब्राउज़र". Mashable. Archived from the original on 2 September 2011. Retrieved 2 September 2011.
  8. Smith, Dave (21 March 2013). "योंटू ट्रोजन: नया मैक ओएस एक्स मैलवेयर एडवेयर के जरिए गूगल क्रोम, फायरफॉक्स और सफारी ब्राउजर्स को संक्रमित करता है". IBT Media Inc. Archived from the original on 24 March 2013. Retrieved 21 March 2013.
  9. Goodin, Dan. "MySQL.com उल्लंघन आगंतुकों को मैलवेयर के संपर्क में छोड़ देता है". The Register. Archived from the original on 28 September 2011. Retrieved 26 September 2011.
  10. Clinton Wong. "HTTP लेनदेन". O'Reilly. Archived from the original on 13 June 2013.
  11. "9 Ways to Know Your PC is Infected with Malware". Archived from the original on 11 November 2013.
  12. "सिमेंटेक सुरक्षा प्रतिक्रिया श्वेतपत्र". Archived from the original on 9 June 2013.
  13. 13.0 13.1 Palant, Wladimir. "एडब्लॉक प्लस :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation.
  14. "'लाइक' आमंत्रणों पर फेसबुक की निजता की जांच". CBC News. 23 September 2010. Archived from the original on 26 June 2012. Retrieved 24 August 2011.
  15. Albanesius, Chloe (19 August 2011). "जर्मन एजेंसियां ​​फेसबुक का इस्तेमाल करने से प्रतिबंधित, 'लाइक' बटन". PC Magazine. Archived from the original on 29 March 2012. Retrieved 24 August 2011. {{cite news}}: zero width space character in |title= at position 17 (help)
  16. McCullagh, Declan (2 June 2010). "Facebook 'Like' button draws privacy scrutiny". CNET News. Archived from the original on 5 December 2011. Retrieved 19 December 2011.
  17. Roosendaal, Arnold (30 November 2010). "फेसबुक हर किसी को ट्रैक और ट्रेस करता है: इसे लाइक करें!". SSRN 1717563.
  18. Santos, J. C. S.; Peruma, A.; Mirakhorli, M.; Galstery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "आर्किटेक्चरल सिक्योरिटी टैक्टिक्स से संबंधित सॉफ्टवेयर कमजोरियों को समझना: क्रोमियम, पीएचपी और थंडरबर्ड की एक अनुभवजन्य जांच". 2017 IEEE International Conference on Software Architecture (ICSA): 69–78. doi:10.1109/ICSA.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
  19. State of Vermont. "वेब ब्राउजर अटैक". Archived from the original on 13 February 2012. Retrieved 11 April 2012.
  20. "विंडोज रूटकिट अवलोकन" (PDF). Symantec. Archived from the original (PDF) on 16 May 2013. Retrieved 20 April 2013.
  21. "क्रॉस साइट स्क्रिप्टिंग अटैक". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
  22. Lenny Zeltser. "वेब ब्राउज़र और ऐड-ऑन पर हमलों को कम करना". Archived from the original on 7 May 2013. Retrieved 20 May 2013.
  23. Dan Goodin (14 March 2013). "एसएसएल डिक्रिप्ट प्रमाणीकरण कुकीज़ पर दो नए हमले". Archived from the original on 15 May 2013. Retrieved 20 May 2013.
  24. "बीफप्रोजेक्ट.कॉम". Archived from the original on 11 August 2011. {{cite web}}: Check |url= value (help)
  25. Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "एच्लीस' हील ऑफ प्लग-एंड-प्ले सॉफ्टवेयर आर्किटेक्चर: एक ग्राउंडेड थ्योरी बेस्ड एप्रोच". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, USA: ACM: 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
  26. "सिमेंटेक एंडपॉइंट प्रोटेक्शन में ब्राउज़र हेल्पर ऑब्जेक्ट्स को ब्लॉक या लॉग करने वाला नियम कैसे बनाएं". Symantec.com. Archived from the original on 14 May 2013. Retrieved 12 April 2012.
  27. Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10 August 2009). "सोल्टानी, अशकान, कैंटी, शैनन, मेयो, क्वेंटिन, थॉमस, लॉरेन और हूफनागल, क्रिस जे: फ्लैश कुकीज़ और गोपनीयता". SSRN 1446862.
  28. "स्थानीय साझा वस्तु -- "फ्लैश कुकीज़"". Electronic Privacy Information Center. 21 July 2005. Archived from the original on 16 April 2010. Retrieved 8 March 2010.
  29. Chee, Philip. "फ्लैशब्लॉक :: फ़ायरफ़ॉक्स के लिए ऐड-ऑन". Mozilla Add-ons. Mozilla Foundation. Archived from the original on 15 April 2013.
  30. "Pwn2Own 2010: चार्ली मिलर के साथ साक्षात्कार". 1 March 2010. Archived from the original on 24 April 2011. Retrieved 27 March 2010.
  31. "विशेषज्ञ का कहना है कि Adobe Flash नीति जोखिम भरी है". 12 November 2009. Archived from the original on 26 April 2011. Retrieved 27 March 2010.
  32. John C. Mitchell. "ब्राउज़र सुरक्षा मॉडल" (PDF). Archived (PDF) from the original on 20 June 2015.
  33. "फ़िशिंग हमलों के लिए HTML5 फ़ुलस्क्रीन API का उपयोग करना » Feross.org". feross.org. Archived from the original on 25 December 2017. Retrieved 7 May 2018.
  34. "कम से कम विशेषाधिकार प्राप्त उपयोगकर्ता खाते का उपयोग करना". Microsoft. Archived from the original on 6 March 2013. Retrieved 20 April 2013.
  35. "Internet Explorer में ActiveX नियंत्रण को चलने से कैसे रोकें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  36. "उन्नत उपयोगकर्ताओं के लिए Internet Explorer सुरक्षा क्षेत्र रजिस्ट्री प्रविष्टियाँ". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  37. "आउट-ऑफ़-डेट एक्टिवएक्स कंट्रोल ब्लॉकिंग". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
  38. "इंटरनेट एक्सप्लोरर ऐड-ऑन प्रबंधन और क्रैश डिटेक्शन". Microsoft. Archived from the original on 29 November 2014. Retrieved 22 November 2014.
  39. "Windows XP सर्विस पैक 2 में Internet Explorer ऐड-ऑन कैसे प्रबंधित करें". Microsoft. Archived from the original on 2 December 2014. Retrieved 22 November 2014.
  40. Matthew Conover. "Windows Vista सुरक्षा मॉडल का विश्लेषण" (PDF). Symantec Corporation. Archived from the original (PDF) on 16 May 2008. Retrieved 8 October 2007.
  41. "ब्राउज़र सुरक्षा: Google Chrome से सीखे". Archived from the original on 11 November 2013.
  42. "Google को दुर्भावनापूर्ण सॉफ़्टवेयर (URL) की रिपोर्ट करें". Archived from the original on 12 September 2014.
  43. "Google सुरक्षित ब्राउज़िंग". Archived from the original on 14 September 2014.
  44. "अपने वेब ब्राउज़र को सुरक्षित करने के 5 तरीके". ZoneAlarm. 8 May 2014. Archived from the original on 7 September 2014.
  45. "एडब्लॉक प्लस जल्द ही कम विज्ञापनों को ब्लॉक करेगा - सिलिकॉनफिल्टर". Siliconfilter.com. 12 December 2011. Archived from the original on 30 January 2013. Retrieved 20 April 2013.
  46. "अपने वेब ब्राउज़र को सुरक्षित करना". Archived from the original on 26 March 2010. Retrieved 27 March 2010.
  47. 47.0 47.1 Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19 September 2017). "ब्राउज़र सुरक्षा श्वेतपत्र" (PDF). X41D SEC GmbH.
  48. "Microsoft Edge के लिए सुरक्षा संवर्द्धन (IT पेशेवरों के लिए Microsoft Edge)" (in English). Microsoft. 15 October 2017. Retrieved 31 August 2018.
  49. Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weaver, Nick; Paxson, Vern (2017). {DNS} हेरफेर का वैश्विक मापन (in English). pp. 307–323. ISBN 978-1-931971-40-9.

अग्रिम पठन