3 способа JavaScript может нарушить вашу конфиденциальность и безопасность

Рекламное объявление

Вы, наверное, слышали, что JavaScript опасен. Ну, это отчасти правильно. JavaScript могу быть опасным, если не приняты надлежащие меры предосторожности. Его можно использовать для просмотра или кражи личных данных, даже не подозревая, что это происходит. А поскольку JavaScript так широко распространен в сети, мы все уязвимы.

Все сводится к как на самом деле работает JavaScript Что такое JavaScript и как он работает? [Технология объяснила] Подробнее . JavaScript по большей части хорош, но он настолько гибок и силен, что держать его под контролем может быть сложно. Вот что вам нужно знать.

Преимущества JavaScript

Перво-наперво, JavaScript это хорошая вещь. Согласно W3Techs, примерно 88,1% всех сайтов используют JavaScript так или иначе. Большинство известных сайтов, таких как Amazon и YouTube, не были бы столь полезными, если бы Интернет был зоной без JavaScript.

Например, JQuery Создание веб-интерактивности: введение в jQueryjQuery - это библиотека сценариев на стороне клиента, которую использует почти каждый современный веб-сайт - она ​​делает веб-сайты интерактивными. Это не единственная библиотека Javascript, но она наиболее развита, наиболее поддерживается и наиболее широко используется ...

Подробнее является популярной библиотекой JavaScript, которая позволяет легко создавать интерактивные веб-сайты с элементами, которые могут изменяться без перезагрузки всей страницы. Такие сайты, как Facebook и Twitter, используют такие технологии, как AJAX Учебник по jQuery (часть 5): AJAX Them All!Когда мы приближаемся к концу нашей серии мини-учебников по jQuery, самое время взглянуть на одну из наиболее часто используемых функций jQuery. AJAX позволяет веб-сайту общаться с ... Подробнее обновлять веб-страницы (например, временные метки, количество лайков и т. д.), не обновляя страницу каждую секунду.

Но, как мы скоро увидим, JavaScript не идеален. Этим злоупотребляют, и это злоупотребление приводит к сценариям, которые позволяют отслеживать вашу активность в Интернете и нарушать вашу конфиденциальность.

Один из распространенных, но ошибочных советов - полностью отключить JavaScript, но мы не рекомендуем его. Вы бы потеряли множество потрясающих веб-функций, таких как функция «бесконечной прокрутки», которая существует во многих блогах, социальных сетях и новостных сайтах.

Более того, некоторые браузерные эксплойты все еще возможны, даже если вы отключите JavaScript. Таким образом, отключение JavaScript из-за проблем безопасности похоже на ношение костюма-пузыря каждый раз, когда вы выходите на улицу, потому что вы боитесь получить травму. Это на самом деле не защитит вас от многого, но сделает вашу жизнь несчастной.

Snooping слова, которые вы вводите

В июле 2012 года пара исследователей взяла данные 5 миллионов пользователей Facebook в Америке и Великобритании. Что они искали? Самоцензура. В частности, они хотели знать, как часто пользователи начинают писать сообщения, но в конечном итоге удаляют их прежде чем он был на самом деле опубликован.

Они сделали это, внедрив немного JavaScript, который отслеживал текстовые поля, где пользователи могли делать обновления статуса, писать комментарии на стене и т. Д. Исследователи ясно дали понять, что они записывают только «наличие или отсутствие введенного текста», а не «нажатия клавиш или содержание», но смысл очевиден.

это было возможный отслеживать нажатия клавиш и контент. Они просто решили не делать этого.

Понятие страшно. Простой фрагмент встроенного JavaScript-кода - это все, что нужно для записи любого вида активности на веб-странице - даже если вы на самом деле этого не делаете Отправить что-нибудь! Веб-прокрутка, движения мыши, нажатия клавиш: все это можно отслеживать и записывать против вашей воли или знаний.

Отслеживание ваших привычек просмотра

Возможности отслеживания JavaScript не ограничиваются текстовыми полями. Через магию файлы cookie браузера Что такое печенье и какое отношение оно имеет к моей конфиденциальности? [MakeUseOf Объясняет]Большинство людей знают, что по всему Интернету разбросаны файлы cookie, готовые и желающие быть съеденными тем, кто сможет их найти первым. Чего ждать? Это не может быть правдой. Да, есть печенье ... Подробнее компании могут хранить все виды пользовательской информации: тип браузера, настройки, местоположение и т. д. Утверждение заключается в том, что этот вид отслеживания делается для того, чтобы обеспечить лучший пользовательский опыт (например, релевантные объявления), но это все еще похоже на нарушение.

Файлы cookie являются постоянными, то есть они продолжают существовать даже после того, как вы покинете веб-страницу или закроете браузер (если срок их действия не истек или вы не удалили их вручную). Вы видите растущую проблему? Если файл cookie сохраняется с веб-страницы на веб-страницу, компания может видеть, какие веб-сайты вы посещаете.

Это лучше всего объяснить на примере: кнопки социальных сетей. Рассмотрим кнопку «Нравится» Facebook, которая использует JavaScript для выполнения своих действий. Когда ваш браузер загружает страницу, он должен загрузить кнопку. Загрузка кнопки означает запрос в Facebook необходимого файла JavaScript. Этот запрос включает в себя такие данные, как ваш IP-адрес, веб-страницу, на которой вы находитесь, файлы cookie Facebook в вашей системе и т. Д.

Просто чтобы быть ясно, вам не нужно щелчок кнопка для его отслеживания. Акт погрузка достаточно, чтобы эти общие виджеты собирали данные о вас.

Тем не менее, кнопки социальных сетей являются лишь одним из многие способы, которыми компании могут отслеживать ваши привычки просмотра 4 кажущихся невинными онлайн-активности, которые отслеживают ваше поведение Подробнее . Другие примеры включают онлайн-профили знакомств, комментарии Disqus и веб-сайты, которые используют Бесплатные веб-шрифты Google Как использовать Google Fonts в вашем следующем веб-проекте и почему вы должныВыбор шрифта является неотъемлемым дизайнерским решением для любого веб-сайта, но в большинстве случаев мы довольствуемся тем же старым семейством засечек и засечек. Хотя основная часть текста всегда должна быть чем-то ... Подробнее .

Инъекция вредоносного кода

Одно из самых коварных применений JavaScript происходит в форме межсайтовых скриптов (XSS). Проще говоря, XSS - это уязвимость, которая позволяет хакерам встраивать вредоносный код JavaScript в в противном случае законный веб-сайт, который в конечном итоге выполняется в браузере пользователя, который посещает сайт.

Если это происходит на веб-сайте, который обрабатывает конфиденциальную информацию пользователя, такую ​​как финансовые данные, злонамеренный код может потенциально отследить и украсть эту информацию. Сделанный еще один шаг вперед, XSS можно использовать для распространения вирусов и вредоносных программ, что и произошло, когда Twitter был заражен червем StalkDaily Что такое межсайтовый скриптинг (XSS) и почему это угроза безопасностиУязвимости межсайтового скриптинга являются сегодня самой большой проблемой безопасности сайта. Исследования показали, что они поразительно распространены - 55% веб-сайтов содержали уязвимости XSS в 2011 году, согласно последнему отчету White Hat Security, опубликованному в июне ... Подробнее .

XSS также может быть использован для чего-то под названием поисковое отравление Что такое отравление в поисковых системах и как оно распространяет вредоносное ПО [MakeUseOf Explains]Если вы думали, что всплывающие окна с вредоносными программами и постоянный спам в электронной почте были худшими, подумайте еще раз. На сцене появился новый соперник, который распространяет вредоносные программы, такие как масло в жару в пустыне. Это называется поисковая система ... Подробнее . Короче говоря, производители вредоносного ПО могут использовать JavaScript для заражения сайтов с высоким рейтингом в результатах поиска. таким образом, что пользователи, которые пытаются посетить эти сайты, перенаправляются на сайты, зараженные вредоносным ПО вместо.

А затем есть нечто, называемое подделкой межсайтовых запросов (CSRF), которая является обратной стороной XSS. Этот вид вредоносного кода JavaScript может использовать браузер пользователя, файлы cookie и разрешения безопасности для выполнения действий на отдельном веб-сайте.

Что вы можете сделать для защиты от атак на основе JavaScript?

В конечном счете, ответственность за обеспечение чистоты и безопасности веб-сайтов лежит на веб-разработчиках. Однако, как конечный пользователь, вы всегда должны поддерживать свои браузеры в актуальном состоянии и регулярно сканировать на наличие вредоносных программ Защищайтесь от любого типа вредоносных программ с помощью бесплатного антивируса AvastКомплексная защита от вредоносных программ не должна стоить целое состояние. Многие авторитетные бесплатные антивирусные программы одинаково эффективны, как платные, так и avast! Free Antivirus стоит с лучшими антивирусами Windows. Подробнее .

Вот что делать, если вы делаете найти вредоносное ПО в вашей системе 10 шагов, которые нужно предпринять, когда вы обнаруживаете вредоносное ПО на вашем компьютереМы хотели бы думать, что Интернет - это безопасное место для нашего времени (кашель), но мы все знаем, что есть риски на каждом шагу. Электронная почта, социальные сети, вредоносные сайты, которые работали ... Подробнее .

При этом я могу рассчитывать с одной стороны, сколько раз я сталкивался с вышеуказанными проблемами. JavaScript является важной частью современного Интернета. Это принесло нам больше пользы, чем вреда, и оно здесь, чтобы остаться. Увлекающийся стать разработчиком JavaScript Какой язык программирования выучить - веб-программированиеСегодня мы собираемся взглянуть на различные языки веб-программирования, которые питают Интернет. Это четвертая часть серии программ для начинающих. В части 1 мы изучили основы ... Подробнее ? Начните с этих бесплатные учебные ресурсы Начните кодировать JavaScript прямо сейчас с помощью этих 5 великолепных бесплатных ресурсов Подробнее .

Вы когда-нибудь сталкивались с проблемами JavaScript? Вы практикуете безопасные привычки для безопасности и конфиденциальности? Расскажите нам о своем опыте в комментариях ниже!

Кредиты изображений: Уведомления Facebook через Shutterstock, Ввод руки через Shutterstock, Кнопки социальных сетей через Shutterstock