平静网页下的隐私围猎,你可以选择奋起反击

2019-07-20 17:48:39

除了大多数网站都在做的隐私收集外,还存在其他更多的风险,详见下文。这些隐私收集和风险来源的主要途径就是JavaScript

HTML  JavaScript  电脑  黑客  

来源: https://www.toutiao.com/i6657738279988757003/

一、引言

当你浏览网页的时候,看似平静的网页下面,你的隐私正在被围猎。除了大多数网站都在做的隐私收集外,还存在其他更多的风险,详见下文。这些隐私收集和风险来源的主要途径就是JavaScript。本文将介绍JavaScript是什么,它带来哪些风险,及如何应对。如果你觉得本文有些内容比较难懂,可跳过,或直接看末尾的"结论及建议"。

如果你觉得保护个人隐私没有必要,或保护隐私是做不到的,则下文可免看。

如果你对网页上能获取的隐私信息不以为然,请马上在电脑或手机上访问以下网址,你看看通过JavaScript可以拿到你的哪些信息:https://ipleak.net

通过此测试,可以看到Jsp不仅可以获取你的IP,还可以得到你位置的经纬度。还有你的浏览器信息、电脑信息、显示器信息等等很多,不要以为这些信息无关紧要。可以用这些信息生成针对你的浏览器指纹,并以此进行广告轰炸。获取这些信息,是大多数正规网站的常规动作,尤其在中国。其实这对JavaScript来说只是小儿科,它可以做的事情远不止这些,下面做简要介绍。

二、简介

JavaScript(也叫"脚本","活动脚本")是互联网内容制作的基本核心技术之一,它与HTML和CSS一起,可以让网站与你互动和展示动态内容,并可提供视频游戏等在线应用。当前几乎所有网站的网页都会用到JavaScript。

过去的多年中,利用JavaScript通过"跨站点脚本攻击",导致了互联网上约84%的安全漏洞。此攻击允许攻击者将恶意脚本注入用户网页,导致用户的访问被重定向到收集登录凭证、银行帐户、个人信息或其他敏感数据,以进行网络攻击的恶意网站,并盗取用户数据。类似的,JavaScript还可以通过网络主机用来访问关于用户的浏览器,桌面设置,操作系统和硬件规格,用以形成的用户的独特数字指纹的信息,并通过该指纹锁定用户。

三、JavaScript攻击分类

虽然JavaScript对于全功能的浏览体验至关重要,但是以下几类依靠JavaScript的攻击通常非常有效:

· 跨站点脚本:

自20世纪90年代以来,该攻击已经可以往JavaScript客户端注入基于Web的应用程序、服务器或插件系统,并绕过同源策略。成功注入后,访问受感染网站的用户将被提供恶意内容,这些恶意内容被浏览器认为是来自受信任的来源而毫无防范。然后,攻击者即可以访问用户的敏感页面内容、cookie和其他敏感信息。

· 跨站点请求伪造:

即由受信任的Web应用程序从用户端传输未经授权的命令。为了达到此目的,恶意网站可以使用特制的图像标记、隐藏的表单和JavaScript XMLHttpRequests。根据特定的漏洞,当用户毫不知情的单击这些元素时,就会触发攻击,攻击者就可能做到:

1. 使用管理员权限执行远程代码。

2. 伪造登录请求并查看私人信息。

3. 更改个人信息或获取在线帐户。

4. 进行非法汇款。

5. 几乎可实现登录用户的所有操作权限。

· 偷渡式下载攻击:

当用户访问受恶意代码感染的网站时,用户被重定向到攻击者控制的另一站点。然后攻击者在受害者的Web浏览器中运行代码,该代码加载一个漏洞利用工具包,探测用户的操作系统、浏览器和软件以查找漏洞。然后根据漏洞下载恶意软件、访问个人数据、加密计算机或其他犯罪活动。你的计算机被黑客加密后,你的数据将不能访问,除非破财让黑客为你解密。

· 恶意JavaScript电子邮件附件:

当用户打开邮件附件文档时,勒索软件会下载到你的硬盘,稍后加密计算机并勒索钱财以解锁文件。

· 通用跨站点脚本:

即利用浏览器或插件中的漏洞来控制网络。例如很多浏览器,以及Flash和ActiveX控件等插件都有缺陷,可能导致缓冲区溢出。这些通常可通过JavaScript实现,并允许攻击者以管理员权限访问操作系统的应用程序编程接口(API)。

四、会话重播脚本(黑客犹如看你电脑操作的录屏视频)

启用Javascript不仅可以被获取有关你系统的各种信息,还会提高浏览器被恶意利用的可能性。如果你不幸浏览了Alexa排名前50000中的近500个网站中的一个,这个网站的JavaScript还可以让你在网页上的所有操作被完整记录,就像录下了你的屏幕,然后他人可以无限次重播:

您可能知道大多数网站都有第三方分析脚本,可记录您访问的页面和您进行的搜索。但最近,越来越多的网站使用"会话重播"脚本。这些脚本记录您的击键,鼠标移动和滚动行为,以及您访问的页面的全部内容,并将它们发送到第三方服务器。与提供聚合统计信息的典型分析服务不同,这些脚本用于记录和回放单个浏览会话,就像有人正在盯着您看一样。如同你的操作被录成视频,被他人重播一遍。

现有的法规允许公司在网站上嵌入Javascript功能,以便记录高度个人化的信息。包括键入的内容,鼠标的精确移动,甚至是"共同浏览",即看不见的入侵者可以实时观察它的内容,而无需任何形式的通知。收获的数据几乎没有限制。姓名、电子邮件、电话号码、地址、社会安全号码和出生日期都被像FullStory、Hotjar和Smartlook等公司视为正常动作。许多服务商还提供了将录制记录链接到真实身份的选项。

跟踪服务公司经常使用不安全的HTTP(而非https)页面来提供录制回放或发布者页面内容,为高级攻击者提供诱人的"中间人攻击"机会。

幸运的是,禁用Javascript足以完全阻止此活动,并且广告屏蔽列表也可用于防止数据泄露。但用户不应仅仅依靠广告拦截器进行跟踪保护,因为已经出现的恶意工具已经可以成功击败最流行的扩展插件,包括Adblock Plus,Adblocker Ultimate,Ghostery和uBlock Origin等。

五、结论及建议

启用或禁用JavaScript?需要权衡!

启用JavaScript会提高网页浏览体验,但增加隐私泄露风险。禁用,会提高浏览安全性,但会降低浏览体验。不过,对于文字浏览,如看新闻等无太大影响。要玩网页游戏或看网页视频则必须启用JavaScript。好在,有兼顾的解决方案:

1. 普通方案:

采用FireFox(火狐)浏览器,并安装NoScript插件,默认禁用所有JavaScript,当你确信你正在访问的网页是安全的时,可以点击插件图标,有选择的开启该网页的JavaScript。这样既可以保证安全,也不影响体验。对于懂技术的用户,建议同时安装uMatrix插件,以进行更精确的控制。除了以上插件,建议同时安装uBlock Origin拦截广告跟踪。

此方案适合大多数人。

2. 进阶方案:

使用Tor浏览器,该浏览器与FireFox一样由非营利基金会Mozilla开发,Mozilla的宗旨是为用户网络活动提供隐私保护。Tor浏览器的隐私保护功能,在所有浏览器中属于顶尖,无出其右者。Tor浏览器默认阻止大多数危险技术,它可以让你实现网络匿名,让你的网络活动无法被追踪,犹如隐身。但Tor在提供超强隐私保护的同时,因为多次中转的原因,浏览速度会变慢。虽慢,但也足以看网络视频。此方案适合对安全性要求较高,对网速要求不高的用户。

3. 高级方案:

使用Whonix系统,该系统默认使用Tor网络,在Tor的基础上,提供了更强的额外安全保护。关于Whonix的详细信息,可自行搜索。

4. 终极方案:

使用Qubes操作系统+Whonix(内置Tor)。Qubes是面向安全的Linux操作系统,采用虚拟机隔离的方案实现最强操作系统级安全保护。目前Qubes是已知方案中最强的隐私和安全解决方案,宇宙第一。使用它,黑客和FBI都拿你毫无办法。此方案仅适用于对隐私和安全要求极高,且动手能力很强的电脑高手。

新奇界J,专注信息技术和互联网隐私保护。欢迎关注、交流,后续还有更多类似文章。

二号老头 - 2019-07-20 17:48:39

HTML  JavaScript  电脑  黑客  Qati  百度爬虫  

312019-08
高三学生自学编程 盗取上亿条个人信息公开售卖amip

自学软件编程技术,研发黑客软件利用网站注册漏洞疯狂盗取公民个人信息上亿条,在境内外网络公开售卖...

122019-08
优衣库遭到黑客攻击,超过46万用户数据泄漏amip

日本最大的服装连锁Fast Retailing(迅销集团)发布消息称,优衣库以及GU品牌的在线商城遭到黑客攻击,约46万用户的数据泄漏,包括用户个人信息、电子邮件、地址以...

222019-07
Chrome和Firefox插件让数以百万计用户隐私数据泄露amip

流行浏览器诸如广告拦截等扩展功能,已经遭利用而让数以百万计使用Chrome和火狐(Firefox)的消费者个人数据泄露...

222019-07
剖析隐私安全的奥秘amip

个人隐私、安全、秘密最不为过。谈及到隐私和数据安全,可以分为很多很多种,今天我们主要来探索社会工程学的奥秘...

222019-07
浅谈互联网隐私安全amip

互联网已经与我们的生活密切融合,我们的一举一动都会在网络上留下蛛丝马迹,而这些数据的泄露往往会带来很多麻烦事。本文将简要介绍大数据时代给个人隐私保护所带来的挑战,看看会有...

202019-07
两大社交平台WhatsApp、Telegram媒体文件可被黑客篡改amip

由于安卓操作系统允许应用访问外部存储中的文件,用户通过 WhatsApp 和 Telegram 消息应用传输的媒体文件可被黑客篡改...

202019-07
保加利亚五百万公民信息被盗,“黑客”疑为20岁电脑程序员amip

保加利亚警方7月17日宣布,造成近乎所有保加利亚成年公民信息失窃案的嫌疑人已被捕,嫌疑人为一名20岁的电脑程序员。该案件被认为是巴尔干半岛个人信息失窃数量最大的一起...

202019-07
这些危险密码,你还在用吗?amip

2018年2月到10月期间苹果手机用户大量AppleID和密码被盗,并出现大量人员被盗刷现金。经专业人士分析,这些AppleID被盗可能使用了撞库手段,只有弱密码才容易撞...

172019-07
保加利亚超70%个人隐私信息被盗 黑客还是阿桑奇的粉丝amip

一黑客组织窃取了数百万保加利亚人的个人信息,并通过电子邮件将盗取的数据的下载链接发送给当地媒体...

142019-07
黑客泄露德国数百名政客个人数据 包括总理默克尔amip

黑客日前泄露了包括总理默克尔在内的数百名德国政客的机密数据...