امنیت مرورگرهای اینترنتی

مرورگرهای اینترنتی یکی از پرمصرف‌ترین نرم‌افزا‌رهای کامپیوتری هستند. این مرورگرها هستند که به کاربران امکان مرور صفحات اینترنتی را می‌دهند و نقش مترجم را بین کاربران و سرویس‌دهنده‌های اینترنتی دارند. مرور وب برای کاربران شاید کار آسان و ساده‌ای به نظر بیاید ولی مرورگرهای اینترنتی هستند که کدها، عکسها، ویدیو‌های سرویس‌دهنده را به نمایه‌های بصری تبدیل می‌کنند. امروزه به خاطر حجم عظیم و گسترده اطلاعات در اینترنت، استفاده‌های مختلفی از آن می‌شود. از جمله:

• اقتصادی: خرید و فروش اینترنتی، خدمات آنلاین بانکی
• تفریحی: بازی‌های اینترنتی تحت وب، شبکه‌های اجتماعی
• تحقیقی: گردآوری اطلاعات
• سیاسی: بیان کردن و اعلان تفکر سیاسی
• اجتماعی: گردآوری نیروی انسانی برای کمک‌های اجتماعی و یا استخدام نیروی کاری

مثال‌های بالا فقط بخش کوچکی از فعالیت‌های اینترنتی هستند. با در نظر گرفتن تمام فواید اینترنتی و این حقیقت که شما می‌توانید به راحتی از یک نقطه دنیا به سرویس‌هایی در نقطه دیگر دنیا دسترسی پیدا کنید، حتی بدون اینکه از خانه و یا اتاق خود خارج شوید، و با درنظر گرفتن حجم و نوع اطلاعات ردوبدل شده در اینترنت، این دنیای بدون مرز به بستری برای اتفاقات خوب و تبدیل شده است. در این بستر کاربران به راحتی با چشم پوشی از خطرات ممکن است حریم خصوصی خود را به راحتی از دست و یا حتی واگذار کنند، و یا با سهل‌انگاری اطلاعات شخصی خود را بدون دردسر به افراد و یا سازمان‌های سواستفاده کننده دهند. در حقیقت، امروز اینترنت بستری برای کشمکش و جنگ کاربران و هکرهای انفرادی، تیمی و یا حتی حکومتی شده است.

در این بستر ترسناکی که ما برای شما ترسیم کردیم، ترسیدن تنها جلوی پیشرفت شما را می‌گیرد ولی آگاه بودن و مواظب بودن به شما کمک می‌کند تا به راحتی به دام سودجویان اینترنتی نیفتید.

امروزه تعداد روزافزونی از حملات اینترنتی از آسیب‌پذیر بودن مرورگرهای اینترنتی سواستفاده می‌کنند. سایت‌های هک شده و سایت‌های مخرب از آسیب پذیری نرم‌افزارهای نصب شده روی کامپیوترها به وسیله مرورگرها سو استفاده می‌کنند. این مشکلات با درنظر گرفتن فاکتورهای زیر بدتر هم می‌شوند:

• کاربران بدون توجه لازم روی هر لینکی کلیک می‌کنند.
• هکرها می‌توانند آدرس‌های اصلی اینترنتی را از چشم شما پنهان کنند و شما را به سایت‌های دور از انتظار و یا ناخواسته ببرند.
• خیلی از مرورگرهای اینترنتی با تنظیمات کارخانه خود کارآیی را فدای امنیت می‌کنند.
• آسیبهای نرم‌افزاری اغلب بعد از به بازارآمدن‌ نرم‌افزارها نمایان می‌شوند.
• بعضی از نرم‌افزارهای نصب شده هیچگاه توسط شرکت منتشر کرده به روز نمی‌شوند.
• بعضی از سایت‌های اینترنتی از کاربران خود می‌خواهند که نرم‌افزار بخصوصی را برای دسترسی به درگاه وب‌سایت نصب کنند که همین معمولا باعث باز شدن مرورگر اینترنتی و حتی آسیب پذیری کامپیوتر کاربر می‌شود.
• خیلی از کاربران آگاهی کامل را برای امن کردن مرورگر خود ندارند.
• خیلی از کاربران دوست ندارند که تنظیمات مرورگر خود را عوض کنند تا مرورگرشان امن بماند.

به خاطر تمام موارد بالا سواستفاده از آسیب‌پذیری‌های مختلف به وسیله مرورگرها به روشی متداول برای حمله به کامپیوترها تبدیل شده است.

بسیار مهم است که شما بر کارایی مرورگر خود واقف باشید. فعال‌سازی بعضی از کارایی‌های مرورگر اینترنتی امنیت مرورگر را پایین میاورد. همانطور که گفته شد، شرکت‌های سازنده مرورگر اینترنتی با تنظیمات کارخانه کارایی را فدای امنیت مرورگرها می‌کنند که معمولا این تنظیمات ریسک آسیب‌رسانی کامپیوتر شما را بالا می‌برند. هکرها معمولا با سو‌استفاده از آسیب‌پذیری سرویس‌گیرنده (Client) سعی می‌کنند به اطلاعات آن سیستم دسترسی پیدا کنند. هکرها می‌توانند با سواستفاده از این آسیب‌پذیری‌ها کنترل کامپیوترتان را در اختیار بگیرند و یا اطلاعات شما را بدزدند، فایلهای شما را خراب یا حذف کنند، از کامپیوتر شما استفاده کنند تا به کامپیوتر دیگری دسترسی پیدا کنند. ارزان ترین راه رخنه به کامپیوتر شما استفاده از آسیب‌پذیری مرورگر شماست. یک هکر به‌راحتی می‌تواند وب‌سایتی درست کند که می‌تواند با استفاده از آسیب‌پذیری مرورگر شما و بدون این که شما متوجه شوید بدافزار جاسوسی و یا تروجان نصب کند و اطلاعات شما را بدزدد. با این کار به جای این که هکر به صورت فعال و مشخص کامپیوترها را مورد حمله قرار دهد، این وب‌سایت قلابی می‌تواند این کار را برای هکر انجام دهد.

در اینجا به صورت مختصر بعضی از کارآیی‌ها و ریسک آسیب‌پذیری مربوط به آن را در مرورگرهای امروزی توضیح می‌دهیم:

ActiveX: تکنولوژی استفاده شده در مرورگر Internet Explorer در سیستم عامل‌های Microsoft Windows است. این تکنولوژی به مرورگر امکان استفاده از نرم‌افزارهای نصب شده را می‌دهد. صفحه اینترنتی می تواند از اجزا نصب شده در سیستم عامل شما استفاده کند و یا اجزایی برای نصب و اجرا در اختیار مرورگر شما قرار دهد و این قابلیت‌های زیادی به مرورگر شما خواهد داد، ولی باعث پیدا شدن حفره‌های امنیتی بسیار خطرناکی خواهد شد، اگر با بی‌توجهی استفاده شود. ActiveX همواره دست به گریبان بسیاری از مشکلات اجرایی و امنیتی بوده. یکی از اشکالات بسیار مهم استفاده از این تکنولوژی در مرورگرها افزایش خطر مورد حمله قرار گرفتن است. با استفاده از معایب و حفره‌های امنیتی ActiveX در مرورگر Internet Explorer میتوان نرم‌افزارهایی را اجرا کرد که اصلا برای اجرا در محیط اینترنتی ساخته نشده‌اند.

Java: زبان برنامه‌نویسی شی‌گرایی که می‌تواند برای ساخت محتویات فعال یا دینامیک مورد استفاده قرار گیرد. Java Virtual Machine یا JVM برای اجرای کدهای جاوا یا همان “اپلت‌ها” (Applets) استفاده می‌شود. اپلت‌های جاوا معمولا در محیط کنترل شدهای به نام Sandbox اجرا می‌شوند که این محیط اجازه تبادل اطلاعات با سیستم عامل شما را محدود می‌کند. هرچند که در برخی از پیاده‌سازیهای JVM به اپلت‌ها اجازه داده می‌شود که این محدودیت‌ها را دور بزنند. اپلتهای رسمی(Signed) جاوا با اجازه کاربر می‌توانند از محوطه مجازی Sandbox خارج شوند.

Plugins یا افزونه‌ها: نرم‌افزارهایی هستند که برای استفاده در مرورگرها ساخته می‌شوند. افزونه‌ها مانند برنامه‌های ActiveX هستند ولی با این تفاوت که نمی‌توانند خارج از مرورگر اجرا شوند. Adobe Flash Player یکی از اینگونه افزونه‌ها است.

Cookies یا فایل‌های کوچک اینترنتی: فایل‌هایی هستند که در کامپیوتر شما ذخیره می‌شوند تا اطلاعاتی در مورد صفحه اینترنتی را ذخیره کنند. این فایل‌ها می‌توانند شامل هرگونه اطلاعاتی که صفحه اینترنتی معین کرده‌اند باشند. می‌توانند شامل صفحه‌های بازدید شده و حتی اسم کاربر یا رمز کاربری شما هم باشند. این فایل‌های اینترنتی معمولا طوری طراحی می‌شوند که فقط به وسیله همان صفحه اینترنتی قابل بازخوانی باشند.

برخی از فایل‌های اینترنتی به نام “فایلهای موقت‌” (Session Cookies): با بسته شدن مرورگر از بین می‌روند و فایل‌های دیگر به نام “فایل‌های دوره‌ای” (Persistent Cookies) تا زمان تاریخ انقضایی که برای آنها تعیین شده در کامپیوتر شما ذخیره خواهند شد. فایلهای اینترنتی به صورت مشخص بازدیدکنندگان را تمیز می‌دهند، به همین خاطر بعضی این را نقض حریم خصوصی می‌دانند. اگر صفحه‌ای از فایل‌های اینترنتی برای ثبت ورود کاربری (Authentication) استفاده کند، حمله کننده می‌تواند با دسترسی به آن فایل اینترنتی به صورت غیر مجاز به صفحه اینترنتی دسترسی پیدا کند. فایلهای دوره‌ای (Persistent Cookies) خطرات بیشتری دارند، چون برای زمان طولانی‌تری روی کامپیوتر شما ذخیره می‌شوند.

JavaScript: یکی از انواع زبا‌ن‌های برنامه‌نویسی که برای ساختن صفحات فعال و دینامیک اینترنتی است. استاندارد‌هایی که در این زبان به کار گرفته شده است از کاربرد بعضی از امکانات این زبان جلوگیری می‌کند.

VBScript: زبان برنامه‌نویسی صفحات اینترنتی که مخصوص به Internet Explorer محصول شرکت Microsoft است. VBScript مانند JavaScript است ولی به خاطره محدودیت و اختصاصی بودن آن زیاد کاربرد ندارد. قابلیت اجرای زبان‌های اجرایی در مرورگرها (Scripting Language) مانند JavaScript و VBScript توانایی‌های فوق‌العاده یی برای ایجاد صفحات اینترنتی در اختیار خالقان این صفحات قرار داده است. هرچند که همین قابلیت‌ها می‌توانند به حمله کنندگان اجازه مانور بیشتری بدهند.

چگونه مرورگر خود را امن کنیم:

همانطور که در ابتدای این مقاله ذکر شد، بعضی نرم‌افزارها قابلیت‌های بیشتری به مرورگرها می‌دهند مانند ,ActiveX, Java و زبانهای کدگذاری (…,VBScript, JavaScript) ولی در عین حال باعث بروز ضعف‌های امنیت نیز می‌شوند. این ضعف‌های امنیتی ممکن است به خاطر به‌کارگیری، طراحی و یا تنظیمات ضعیف این دسته از نرم افزارها باشند. به خاطر همین شما باید بدانید که کدام مرورگر کدام قابلیت را پشتیبانی می‌کند و چه خطرات امنیتی را به همراه دارد. برخی از مرورگرها به شما امکان از کار انداختن به کل این قابلیت‌ها را می‌دهند در حالی که در برخی دیگر مرورگرها این تنظیمات برای هر صفحه اینترنتی جداگانه اعمال می‌شوند.

این قسمت به شما نشان می‌دهد که چگونه می‌توانید اکثر مرورگرهای معروف اینترنتی را به صورت امن تنظیم کنید و همچنین چگونه تنظیماتی که ممکن است مخاطرات امنیتی به وجود آورد را غیر‌فعال کنید. اما قبل از اینکه بطور مجزا به این مرورگرها بپردازیم باید یک اصل اولیه و مهم امنیت تمام مرورگرها را به شما خاطرنشان کنیم.

بروزرسانی مرورگر اینترنتی:

با پیشرفت روز به روز اینترنت و ظهور تکنولوژی‌های جدید، شرکت‌های تولید کننده مرورگرهای اینترنتی نرم‌افزارهای خود را به‌روز می‌کنند تا تکنولوژیهای جدیدی مانند الگوریتمهای رمزگذاری‌، بستن حفره‌های امنیتی پیدا شده و… به نرمافزار خود اضافه کنند. شما ممکن است چندین مرورگر اینترنتی بر روی کامپیوتر خود نصب کرده باشید. بعضی از نرم‌افزارهای نصب شده روی کامپیوتر شما مثل نرم‌افزار ارتباط ایمیل (email client) و یا نرم‌افزارهای ویرایش‌گری که با آنها مستندات خود را باز میکنید ممکن است که مرورگرهای متفاوتی را نسبت به آنچه شما برای مرور صفحات اینترنتی استفاده می‌کنید به کار ببرند. همچنین ممکن است که برخی از فایل‌های کامپیوتری به طوری تنظیم شده باشند که هریک با مرورگر بخصوصی باز شوند. استفاده از یک مرورگر برای دسترسی به صفحات اینترنتی لزوما به معنای آن نیست که بقیه نرم افزارها هم از آن مرورگر استفاده خواهند کرد. به خاطره همین اعمال تنظیمات امنیتی برای هرکدام از مرورگرهایی که روی کامپیوتر شما نصب شده‌اند اهمیت دارد. یکی از مزایای داشتن چندین مرورگر اینترنتی این است که شما می‌توانید از یکی برای کارهای حساس مانند سرزدن به حساب بانکی و از دیگری برای کارهای روزمره استفاده کنید. این کار می‌تواند احتمال لو رفتن اطلاعات مهم به وسیله حفره امنیتی مرورگر، صفحه اینترنتی و یا نرم‌افزارهای مرتبط را کم کند.

مرورگر Internet Explorer یکی از اجزا سیستم‌های عامل ویندوز است. علاوه بر پشتیبانی از زبان‌های برنامه‌نویسی مانند جاوا و انواع کدگذاری‌های اینترنتی (scripting) این مرورگر بالاخص از تکنولوژی ActiveX پشتیبانی می‌کند. هرچند که نرم‌افزارها در برابر حملات اینترنتی آسیب پذیر می‌توانند باشند ولی ActiveX به تنهایی می‌تواند دریچه‌های بیشتری را برای حمله‌کنندگان باز کند. استفاده نکردن از Internet Explorer می‌تواند این خطرات را حذف کند ولی در عین حال شما ممکن است که امکانات‌ ارائه شده توسط برخی از صفحات‌ اینترنتی را از دست بدهید.

در انتها از شما می‌خواهیم تا بسته به مرورگر دلخواه خود به لینک‌های زیر سر‌زده و تنظیمات پیشنهادی شرکت‌های مرورگر را روی مرورگر خود تنظیم کنید.

تنظیمات پیشنهادی امن مرورگر Internet Explorer را می‌توانید در سایت Microsoft پیدا کنید.

تنظیمات پیشنهادی امن مرورگر FireFox را می‌توانید در سایت Mozilla پیدا کنید.

تنظیمات پیشنهادی امن مرورگر Chrome را می‌توانید در سایت Google پیدا کنید