3 τρόποι JavaScript μπορεί να παραβιάσει το απόρρητο και την ασφάλειά σας

Το JavaScript είναι ένα καλό πράγμα για το μεγαλύτερο μέρος, αλλά απλώς συμβαίνει να είναι τόσο ευέλικτο και τόσο ισχυρό ώστε η διατήρησή του υπό έλεγχο μπορεί να είναι δύσκολη. Εδώ είναι τι πρέπει να ξέρετε.

Το JavaScript είναι ένα καλό πράγμα για το μεγαλύτερο μέρος, αλλά απλώς συμβαίνει να είναι τόσο ευέλικτο και τόσο ισχυρό ώστε η διατήρησή του υπό έλεγχο μπορεί να είναι δύσκολη.  Εδώ είναι τι πρέπει να ξέρετε.
Διαφήμιση

Ίσως έχετε ακούσει ότι το JavaScript είναι επικίνδυνο. Λοιπόν, αυτό είναι εν μέρει σωστό. Το JavaScript μπορεί να είναι επικίνδυνο εάν δεν ληφθούν οι κατάλληλες προφυλάξεις. Μπορεί να χρησιμοποιηθεί για την προβολή ή την κλοπή προσωπικών δεδομένων χωρίς να συνειδητοποιήσετε ότι συμβαίνει αυτό. Και δεδομένου ότι η JavaScript είναι τόσο πανταχού παρούσα σε όλο τον ιστό, είμαστε όλοι ευάλωτοι.

Όλα καταλήγουν στο πώς λειτουργεί η JavaScript πραγματικά Τι είναι το JavaScript και πώς λειτουργεί; [Technology Explained] Τι είναι το JavaScript και πώς λειτουργεί; [Technology Explained] Διαβάστε περισσότερα. Το JavaScript είναι ένα καλό πράγμα για το μεγαλύτερο μέρος, αλλά απλώς συμβαίνει να είναι τόσο ευέλικτο και τόσο ισχυρό ώστε η διατήρησή του υπό έλεγχο μπορεί να είναι δύσκολη. Εδώ είναι τι πρέπει να ξέρετε.

Τα οφέλη της JavaScript

Πρώτα πράγματα πρώτα, η JavaScript είναι ένα καλό πράγμα . Σύμφωνα με το W3Techs, περίπου το 88, 1% όλων των ιστότοπων χρησιμοποιεί το JavaScript με τον ένα ή τον άλλο τρόπο. Οι περισσότερες από τις μεγάλες ιστοσελίδες με ονόματα - όπως το Amazon και το YouTube - δεν θα ήταν καθόλου χρήσιμες, αν το Διαδίκτυο ήταν μια ζώνη χωρίς JavaScript.

Για παράδειγμα, το JQuery είναι μια βιβλιοθήκη δέσμης ενεργειών από την πλευρά του πελάτη που χρησιμοποιεί σχεδόν κάθε σύγχρονη ιστοσελίδα - κάνει ιστοσελίδες διαδραστικό. Δεν είναι η μόνη βιβλιοθήκη Javascript, αλλά είναι η πιο ανεπτυγμένη, η πιο υποστηριζόμενη και η πιο διαδεδομένη .... Διαβάστε περισσότερα είναι μια δημοφιλής βιβλιοθήκη JavaScript που καθιστά εύκολη τη δημιουργία διαδραστικών ιστοσελίδων με στοιχεία που μπορούν να αλλάξουν χωρίς να χρειάζεται να φορτώσετε ξανά ολόκληρη τη σελίδα. Τοποθεσίες όπως το Facebook και το Twitter βασίζονται σε τεχνολογίες όπως το AJAX jQuery Tutorial (Μέρος 5): AJAX τους όλα! jQuery Tutorial (Μέρος 5): AJAX τους όλα! Καθώς πλησιάζουμε στο τέλος της σειράς mini-tutorial του jQuery, είναι καιρός να εξετάσουμε πιο προσεκτικά ένα από τα πιο χρησιμοποιημένα χαρακτηριστικά του jQuery. Το AJAX επιτρέπει σε έναν ιστότοπο να επικοινωνεί με ... Διαβάστε περισσότερα για να διατηρείτε τις ιστοσελίδες ενημερωμένες (π.χ. timestamps, # Likes κ.λπ.) χωρίς ανανέωση της σελίδας κάθε δευτερόλεπτο.

javascript-security-privacy-benefits

Αλλά όπως θα δούμε σύντομα, η JavaScript δεν είναι τέλεια. Μπορεί να καταστρατηγηθεί και αυτή η κατάχρηση οδηγεί σε σενάρια που επιτρέπουν την παρακολούθηση της δραστηριότητάς σας στο Διαδίκτυο και την παραβίαση του ιδιωτικού σας απορρήτου.

Μία κοινή αλλά λανθασμένη συμβουλή είναι να απενεργοποιήσετε πλήρως το JavaScript, αλλά δεν το συνιστούμε. Θα χάνατε πολλές χρήσιμες λειτουργίες ιστού, όπως η λειτουργία "άπειρη κύλιση" που υπάρχει σε πολλά ιστολόγια, κοινωνικά δίκτυα και ιστοτόπους ειδήσεων.

Ακόμη περισσότερο, ορισμένα προγράμματα περιήγησης είναι ακόμα δυνατά ακόμη και αν απενεργοποιήσετε το JavaScript. Έτσι, η απενεργοποίηση της JavaScript λόγω ανησυχιών σχετικά με την ασφάλεια είναι σαν να φοράτε ένα κοστούμι φούσκας κάθε φορά που βγαίνετε έξω επειδή φοβάστε να τραυματιστείτε. Δεν θα σας προστατεύσει πραγματικά από πολύ, αλλά θα κάνει τη ζωή σας άθλια.

Snooping Οι λέξεις που πληκτρολογείτε

Τον Ιούλιο του 2012, ένα ζευγάρι ερευνητών δειγματοληπτικά δεδομένα από 5 εκατομμύρια χρήστες του Facebook στην Αμερική και το Ηνωμένο Βασίλειο. Τι ψάχνουν; Αυτολογοκρισία. Πιο συγκεκριμένα, ήθελαν να μάθουν πόσο συχνά οι χρήστες θα αρχίσουν να γράφουν μια ανάρτηση, αλλά θα καταλήγουν να τις διαγράφουν προτού δημοσιευθούν.

Το έκαναν με την ενσωμάτωση κάποιου JavaScript που παρακολούθησε τα πλαίσια κειμένου όπου οι χρήστες μπορούσαν να κάνουν ενημερώσεις κατάστασης, να γράψουν σχόλια σε τοίχους κλπ. Οι ερευνητές κατέστησαν σαφές ότι καταγράφηκαν μόνο "η παρουσία ή η απουσία κειμένου που εισήχθη" αντί για "πληκτρολογήσεις ή περιεχόμενο, "Αλλά η συνέπεια είναι σαφής.

javascript-security-privacy-typing

Ήταν δυνατή η παρακολούθηση των πληκτρολογήσεων και του περιεχομένου. Απλώς επέλεξαν να μην.

Η ιδέα είναι τρομακτική. Ένα απλό κομμάτι ενσωματωμένου JavaScript είναι το μόνο που χρειάζεται για την καταγραφή οποιουδήποτε είδους δραστηριότητας σε μια ιστοσελίδα - ακόμη και αν δεν υποβάλλετε τίποτα! Περιήγηση στο Web, κινήσεις του ποντικιού, πληκτρολογήσεις: όλα μπορούν να ανιχνευθούν και να καταγραφούν εναντίον της θέλησής σας ή της γνώσης σας.

Παρακολούθηση των συνήθων περιήγησης

Οι δυνατότητες παρακολούθησης του JavaScript δεν σταματούν μόνο στα πλαίσια κειμένου. Μέσω της μαγείας των cookies του προγράμματος περιήγησης Τι είναι το cookie & τι έχει να κάνει με την προστασία προσωπικών δεδομένων; [MakeUseOf Εξηγεί] Τι είναι ένα cookie & τι έχει να κάνει με την ιδιωτικότητά μου; [MakeUseOf Εξηγεί] Οι περισσότεροι άνθρωποι γνωρίζουν ότι υπάρχουν μπισκότα διάσπαρτα σε όλο το Διαδίκτυο, έτοιμα και πρόθυμα να καταναλωθούν από όποιον μπορεί να τα βρει πρώτα. ΟΠΑ, τι? Αυτό δεν μπορεί να είναι σωστό. Ναι, υπάρχουν cookies ... Διαβάστε περισσότερα, οι εταιρείες μπορούν να αποθηκεύουν κάθε είδους πληροφορίες για τον χρήστη: τύπος προγράμματος περιήγησης, προτιμήσεις, τοποθεσία κ.λπ. Ο ισχυρισμός είναι ότι αυτό το είδος παρακολούθησης γίνεται για να προσφέρει καλύτερη εμπειρία χρήστη (π.χ. διαφημίσεις), αλλά εξακολουθεί να αισθάνεται σαν παραβίαση.

Τα cookies είναι επίμονα, πράγμα που σημαίνει ότι εξακολουθούν να υπάρχουν ακόμη και μετά την αναχώρηση από την ιστοσελίδα ή το κλείσιμο του προγράμματος περιήγησής σας (εκτός εάν λήξει ή διαγραφεί με μη αυτόματο τρόπο). Βλέπετε το αυξανόμενο πρόβλημα; Εάν ένα cookie επιμένει από μια ιστοσελίδα σε μια ιστοσελίδα, είναι πιθανό μια εταιρεία να δει ποιοι ιστότοποι επισκέπτεστε.

javascript-security-privacy-social

Αυτό εξηγείται καλύτερα με ένα παράδειγμα: κουμπιά κοινής χρήσης κοινωνικής δικτύωσης. Σκεφτείτε το κουμπί Facebook Like, το οποίο χρησιμοποιεί το JavaScript για να εκτελέσει τη δράση του. Όταν το πρόγραμμα περιήγησής σας φορτώνει τη σελίδα, πρέπει να φορτώσει το κουμπί. Τοποθέτηση του κουμπιού σημαίνει την υποβολή αιτήματος στο Facebook για το απαραίτητο αρχείο JavaScript. Αυτό το αίτημα περιλαμβάνει δεδομένα όπως τη διεύθυνση IP, την ιστοσελίδα που βρίσκεστε, τυχόν cookie Facebook στο σύστημά σας κ.λπ.

Για να είμαστε σαφείς, δεν χρειάζεται να κάνετε κλικ στο κουμπί για να το παρακολουθείτε. Η πράξη φόρτωσης είναι αρκετή για αυτά τα widget κοινής χρήσης να συγκεντρώνουν δεδομένα σχετικά με εσάς.

Αυτό λέγεται ότι τα κουμπιά κοινής χρήσης είναι μόνο ένας από τους πολλούς τρόπους με τους οποίους οι εταιρείες μπορούν να παρακολουθήσουν τις συνήθειες περιήγησής σας. 4 Φαινομενικά αθώες διαδικτυακές δραστηριότητες που παρακολουθούν τη συμπεριφορά σας 4 Φαινομενικά αθώες διαδικτυακές δραστηριότητες που παρακολουθούν τη συμπεριφορά σας Διαβάστε περισσότερα. Άλλα παραδείγματα περιλαμβάνουν τα προφίλ online dating, τα σχόλια Disqus και οι ιστότοποι που χρησιμοποιούν τις δωρεάν γραμματοσειρές Ιστού της Google Πώς να χρησιμοποιήσετε τις γραμματοσειρές Google στο επόμενο πρόγραμμά σας στο Web και γιατί θα έπρεπε να χρησιμοποιήσετε τις γραμματοσειρές Google στο επόμενο πρόγραμμα Web & ολοκληρωμένη απόφαση σχεδιασμού σε οποιονδήποτε ιστότοπο, αλλά τις περισσότερες φορές είμαστε ικανοποιημένοι με την ίδια παλιά serif και την οικογένεια sans-serif. Ενώ το κύριο σώμα του κειμένου πρέπει πάντα να είναι κάτι ... Διαβάστε περισσότερα.

Έξοδος κακόβουλου κώδικα

Μια από τις πιο ύπουλες χρήσεις της JavaScript συμβαίνει με τη μορφή cross-site scripting (XSS). Με απλά λόγια, το XSS είναι μια ευπάθεια που επιτρέπει στους hackers να ενσωματώσουν κακόβουλο κώδικα JavaScript σε έναν κατά τα άλλα νόμιμο ιστότοπο, ο οποίος εκτελείται τελικά στο πρόγραμμα περιήγησης ενός χρήστη που επισκέπτεται τον ιστότοπο.

Αν συμβεί κάτι τέτοιο σε έναν ιστότοπο που χειρίζεται ευαίσθητες πληροφορίες χρήστη, όπως οικονομικά δεδομένα, ο κακόβουλος κώδικας θα μπορούσε ενδεχομένως να υποστεί και να κλέψει τις πληροφορίες αυτές. Το XSS μπορεί να χρησιμοποιηθεί για να πολλαπλασιάσει τους ιούς και το κακόβουλο λογισμικό, κάτι που συνέβη όταν το Twitter ήταν μολυσμένο με το σκουλήκι StalkDaily. Τι είναι το Cross-Site Scripting (XSS) και γιατί είναι μια απειλή για την ασφάλεια Τι είναι Cross-Site Scripting (XSS ), & Γιατί είναι μια απειλή για την ασφάλεια Τα τρωτά σημεία σενάριο cross-site είναι το μεγαλύτερο πρόβλημα ασφάλειας ιστότοπου σήμερα. Οι μελέτες έχουν διαπιστώσει ότι είναι συγκλονιστικά συχνές - το 55% των ιστότοπων περιείχε ευπάθειες XSS το 2011, σύμφωνα με την τελευταία έκθεση της White Hat Security, που κυκλοφόρησε τον Ιούνιο ... Περισσότερα.

javascript-security-privacy-malicious

Το XSS μπορεί επίσης να χρησιμοποιηθεί για κάτι που ονομάζεται δηλητηρίαση μηχανών αναζήτησης Τι δηλητηρίαση μηχανών αναζήτησης είναι & πώς εκπέμπει κακόβουλο λογισμικό [Τι κάνει το Exploring] Πώς η δηλητηρίαση από την μηχανή αναζήτησης είναι & πώς εκπέμπει κακόβουλο λογισμικό [MakeUseOf εξηγεί] Αν σκεφτήκατε κακόβουλα popups και ανελέητα μηνύματα spam ήταν το χειρότερο από αυτό, ξανασκεφτείτε. Υπάρχει ένας νέος υποψήφιος στη σκηνή και εξάπλωση κακόβουλου λογισμικού όπως το βούτυρο σε θερμότητα στην έρημο. Ονομάζεται μηχανή αναζήτησης ... Διαβάστε περισσότερα. Οι παραγωγοί κακόβουλου λογισμικού μπορούν να χρησιμοποιήσουν το JavaScript για να μολύνουν ιστότοπους με υψηλή κατάταξη αποτελεσμάτων αναζήτησης με τέτοιο τρόπο ώστε οι χρήστες που προσπαθούν να επισκεφθούν αυτούς τους ιστότοπους μεταφέρονται αντί για ιστότοπους με κακόβουλο λογισμικό.

Και έπειτα υπάρχει κάτι που ονομάζεται παρακαταθήκη αίτησης μεταξύ ιστότοπων (CSRF), το οποίο είναι το αντίστροφο ενός XSS. Αυτό το είδος κακόβουλου κώδικα JavaScript μπορεί να εκμεταλλευτεί το πρόγραμμα περιήγησης, τα cookies και τα δικαιώματα ασφαλείας ενός χρήστη, προκειμένου να εκτελέσει ενέργειες σε έναν ξεχωριστό ιστότοπο.

Τι μπορείτε να κάνετε για να προστατεύσετε από επιθέσεις που βασίζονται σε JavaScript;

Τελικά, η ευθύνη έγκειται στους υπεύθυνους ανάπτυξης ιστού για να βεβαιωθείτε ότι οι ιστότοποί τους είναι καθαροί και ασφαλείς. Ως τελικός χρήστης πρέπει πάντοτε να ενημερώνετε τα προγράμματα περιήγησης και να ελέγχετε τακτικά για κακόβουλο λογισμικό Μείνετε προστατευμένοι από κάθε είδος κακόβουλου λογισμικού με το Avast Free Antivirus Διατηρείτε την προστασία από κάθε είδος κακόβουλου λογισμικού με το Avast Free Antivirus Η ολοκληρωμένη προστασία από κακόβουλα προγράμματα δεν χρειάζεται να κοστίσει μια περιουσία. Πολλά αξιόπιστα δωρεάν προγράμματα προστασίας από ιούς είναι εξίσου αποτελεσματικά με αυτά που πληρώνονται, και το avast! Το Free Antivirus στέκεται με τα καλύτερα προγράμματα προστασίας από ιούς των Windows. Διαβάστε περισσότερα .

Εδώ είναι τι να κάνετε σε περίπτωση που βρείτε κακόβουλο λογισμικό στο σύστημά σας 10 βήματα για να πάρετε όταν ανακαλύψετε κακόβουλο λογισμικό στον υπολογιστή σας 10 βήματα για να πάρετε όταν ανακαλύψετε Malware στον υπολογιστή σας Θα θέλαμε να σκεφτούμε ότι το Διαδίκτυο είναι ένα ασφαλές μέρος για να περάσετε (βήχας), αλλά όλοι γνωρίζουμε ότι υπάρχουν κίνδυνοι γύρω από κάθε γωνία. Email, κοινωνικά μέσα ενημέρωσης, κακόβουλες ιστοσελίδες που έχουν εργαστεί ... Διαβάστε περισσότερα.

Τούτου λεχθέντος, μπορώ να υπολογίζω στο ένα χέρι τον αριθμό των φορών που έχω αντιμετωπίσει τα παραπάνω προβλήματα. Το JavaScript είναι ένα σημαντικό μέρος του σύγχρονου ιστού. Έχει κάνει περισσότερο καλό για μας από ό, τι κακό και είναι εδώ για να μείνει. Ενδιαφέρεστε να γίνετε προγραμματιστής JavaScript Ποια γλώσσα προγραμματισμού για να μάθετε - Προγραμματισμός ιστού Ποια γλώσσα προγραμματισμού για να μάθετε - Προγραμματισμός Web Σήμερα πρόκειται να ρίξουμε μια ματιά στις διάφορες γλώσσες προγραμματισμού στο διαδίκτυο που τροφοδοτούν το Διαδίκτυο. Αυτό είναι το τέταρτο μέρος σε μια σειρά αρχαρίων προγραμματισμού. Στο μέρος 1, μάθαμε τις βασικές ... Διαβάστε περισσότερα; Ξεκινήστε με αυτούς τους ελεύθερους πόρους εκμάθησης Ξεκινήστε τον κώδικα JavaScript ακριβώς τώρα με αυτές τις 5 μεγάλες δωρεάν πηγές Ξεκινήστε την κωδικοποίηση JavaScript ακριβώς τώρα με αυτές τις 5 μεγάλες δωρεάν πηγές Διαβάστε περισσότερα.

Έχετε αντιμετωπίσει ποτέ προβλήματα JavaScript; Ασκείτε ασφαλείς συνήθειες για την ασφάλεια και την ιδιωτικότητα; Πείτε μας για τις εμπειρίες σας στα σχόλια παρακάτω!

Εικόνες Credits: Facebook ειδοποιήσεις μέσω Shutterstock, πληκτρολογώντας τα χέρια μέσω Shutterstock, κουμπιά κοινής χρήσης μέσω shutterstock

In this article