Ви, напевно, чули, що JavaScript небезпечний. Ну, це частково правильно. JavaScript може бути небезпечним, якщо не буде вжито належних запобіжних заходів. Його можна використовувати для перегляду або крадіжки особистих даних, навіть не підозрюючи, що це відбувається. А оскільки JavaScript так широко поширений в Інтернеті, ми всі вразливі.
- Переваги JavaScript
- Snooping слова, які ви вводите
- Відстеження ваших звичок перегляду
- Ін "єкція шкідливого коду
- Що можна зробити для захисту від атак на основі JavaScript?
- Ви коли-небудь стикалися з проблемами JavaScript? Ви практикуєте безпечні звички для безпеки і конфіденційності? Розкажіть нам про свій досвід у коментарях нижче!
Все зводиться до того, як насправді працює JavaScript здебільшого хороший, але він настільки гнучкий і сильний, що тримати його під контролем може бути складно. Ось що вам потрібно знати.
Переваги JavaScript
Першо-напершо, JavaScript це добре. Згідно з W3Techs, приблизно 88,1% всіх сайтів так чи інакше використовують JavaScript. Більшість відомих сайтів, таких як Amazon і YouTube, не були б настільки корисними, якби Інтернет був зоною без JavaScript.
Наприклад, JQuery - це популярна бібліотека JavaScript, яка дозволяє легко створювати інтерактивні веб-сайти з елементами, які можуть змінюватися без необхідності перезавантажувати вся сторінка Такі сайти, як Facebook і Twitter, використовують такі технології, як AJAX щоб оновлювати веб-сторінки (наприклад, позначки часу, кількість лайків і т. Д.), Не оновлюючи сторінку кожну секунду.
Але, як ми скоро побачимо, JavaScript не ідеальний. Цим зловживають, і це зловживання призводить до сценаріїв, які дозволяють відстежувати вашу активність в Інтернеті і порушувати вашу конфіденційність.
Одна з поширених, але помилкових порад - повністю відключити JavaScript, але ми його не рекомендуємо. Ви б втратили безліч приголомшливих веб-функцій, таких як функція «нескінченної прокрутки», яка існує в багатьох блогах, соціальних мережах і новинних сайтах.
Крім того, деякі переглядачі переглядачів ще можливі, навіть якщо ви вимкнете JavaScript. Таким чином, відключення JavaScript через проблеми безпеки схоже на носіння костюма-міхура кожен раз, коли ви виходите на вулицю, тому що ви боїтеся отримати травму. Це насправді не захистить вас від багатьох, але зробить ваше життя нещасним.
Snooping слова, які ви вводите
У липні 2012 року пара дослідників взяла дані від 5 мільйонів користувачів Facebook в Америці і Великобританії. Що вони шукали? Самоцензура. Зокрема, вони хотіли знати, як часто користувачі почнуть писати повідомлення, але зрештою видалять їх до того, як вони будуть опубліковані.
Вони зробили це, впровадивши трохи JavaScript, який відстежував текстові поля, де користувачі могли робити оновлення статусу, писати коментарі на стіні і т. д. Дослідники ясно дали зрозуміти, що вони записують тільки «наявність або відсутність введеного тексту», а не «натискання клавіш або контент». ", Але суть очевидна.
Можна було відстежувати натискання клавіш і контент. Вони просто вирішили не робити цього.
Поняття страшне. Простий фрагмент вбудованого JavaScript - це все, що потрібно для запису будь-якого виду активності на веб-сторінці - навіть якщо ви насправді нічого не відправляєте! Веб-прокрутка, рухи миші, натискання клавіш: все це можна відстежувати і записувати проти вашої волі або знань.
Відстеження ваших звичок перегляду
Можливості відстеження JavaScript не обмежуються лише текстовими полями. За допомогою магії файлів куки браузера, компанії можуть зберігати всі види інформації користувача: тип браузера, переваги, місце розташування і т. Д. Твердження полягає в тому, що цей вид відстеження робиться для забезпечення кращої взаємодії з користувачем (наприклад, релевантний реклама), але це все ще схоже на порушення.
Файли куки є постійними, тобто вони продовжують існувати навіть після того, як ви залишите веб-сторінку або закриєте браузер (якщо термін їх дії не закінчився або ви не видалили їх вручну). Ви бачите зростаючу проблему? Якщо файл cookie зберігається з веб-сторінки на веб-сторінці, компанія може побачити, які веб-сайти ви відвідуєте.
Це найкраще пояснити на прикладі: кнопки соціальних мереж. Розглянемо кнопку «Подобається» Facebook, яка використовує JavaScript для виконання своїх дій. Якщо ваш переглядач завантажує сторінку, він повинен завантажити кнопку. Завантаження кнопки означає запит у Facebook необхідного файла JavaScript. Цей запит включає такі дані, як ваша IP-адреса, веб-сторінку, на якій ви перебуваєте, файли cookie Facebook у вашій системі тощо.
Просто щоб бути зрозумілим, вам не потрібно натискати кнопку, щоб відстежувати вас. Акт завантаження достатньо, щоб ці спільні віджети збирали дані про вас.
При цьому кнопки соціальних мереж - це лише один з багатьох способів, за допомогою яких компанії можуть відстежувати ваші звички перегляду. Інші приклади включають профілі онлайн-знайомств, коментарі Disqus і веб-сайти, які використовують безкоштовні веб-шрифти.
Ін "єкція шкідливого коду
Одне з найпідступніших застосувань JavaScript відбувається у формі міжсайтових сценаріїв (XSS). Простіше кажучи, XSS - це вразливість, яка дозволяє хакерам вбудовувати шкідливий код JavaScript в легітимний веб-сайт, який в кінцевому підсумку виконується в браузері користувача, який відвідує сайт.
Якщо це відбувається на веб-сайті, який обробляє конфіденційну інформацію користувача, таку, як фінансові дані, зловмисний код може потенційно відстежити і вкрасти цю інформацію. Іншими словами, XSS можна використовувати для поширення вірусів і шкідливих програм. Саме це сталося, коли Twitter був заражений хробаком StalkDaily.
XSS також можна використовувати для чогось, званого отруєнням пошукової системи. отруєння. Коротше кажучи, виробники шкідливого ПЗ можуть використовувати JavaScript для зараження веб-сайтів з високим рейтингом результатів пошуку таким чином, що замість цього користувачі, які намагаються відвідати ці сайти, перенаправляються на заражені шкідливим ПО веб-сайти.
І ще є щось, зване підробкою міжсайтових запитів (CSRF), яке є протилежністю XSS. Цей вид шкідливого коду JavaScript може використовувати переглядач користувача, файли cookie та дозволи безпеки для виконання дій на окремому веб-сайті.
Що можна зробити для захисту від атак на основі JavaScript?
Зрештою, відповідальність за забезпечення чистоти і безпеки веб-сайтів лежить на веб-розробниках. Однак, як кінцевому користувачеві, ви завжди повинні підтримувати свої браузери в актуальному стані і регулярно перевіряти їх на наявність шкідливих програм.
Ось що потрібно зробити, якщо ви виявите в своїй системі шкідливе ПЗ.
При цьому я можу розраховувати з одного боку, скільки разів я стикався з вищевказаними проблемами. JavaScript є важливою частиною сучасного Інтернету. Це принесло нам більше користі, ніж шкоди, і воно тут, щоб залишитися. Зацікавлені в тому, щоб стати розробником JavaScript,? Почніть використовувати ці безкоштовні навчальні ресурси
