一、引言
当你浏览网页的时候,看似平静的网页下面,你的隐私正在被围猎。除了大多数网站都在做的隐私收集外,还存在其他更多的风险,详见下文。这些隐私收集和风险来源的主要途径就是JavaScript。本文将介绍JavaScript是什么,它带来哪些风险,及如何应对。如果你觉得本文有些内容比较难懂,可跳过,或直接看末尾的"结论及建议"。
如果你觉得保护个人隐私没有必要,或保护隐私是做不到的,则下文可免看。
如果你对网页上能获取的隐私信息不以为然,请马上在电脑或手机上访问以下网址,你看看通过JavaScript可以拿到你的哪些信息:https://ipleak.net
通过此测试,可以看到Jsp不仅可以获取你的IP,还可以得到你位置的经纬度。还有你的浏览器信息、电脑信息、显示器信息等等很多,不要以为这些信息无关紧要。可以用这些信息生成针对你的浏览器指纹,并以此进行广告轰炸。获取这些信息,是大多数正规网站的常规动作,尤其在中国。其实这对JavaScript来说只是小儿科,它可以做的事情远不止这些,下面做简要介绍。
二、简介
JavaScript(也叫"脚本","活动脚本")是互联网内容制作的基本核心技术之一,它与HTML和CSS一起,可以让网站与你互动和展示动态内容,并可提供视频游戏等在线应用。当前几乎所有网站的网页都会用到JavaScript。
过去的多年中,利用JavaScript通过"跨站点脚本攻击",导致了互联网上约84%的安全漏洞。此攻击允许攻击者将恶意脚本注入用户网页,导致用户的访问被重定向到收集登录凭证、银行帐户、个人信息或其他敏感数据,以进行网络攻击的恶意网站,并盗取用户数据。类似的,JavaScript还可以通过网络主机用来访问关于用户的浏览器,桌面设置,操作系统和硬件规格,用以形成的用户的独特数字指纹的信息,并通过该指纹锁定用户。
三、JavaScript攻击分类
虽然JavaScript对于全功能的浏览体验至关重要,但是以下几类依靠JavaScript的攻击通常非常有效:
· 跨站点脚本:
自20世纪90年代以来,该攻击已经可以往JavaScript客户端注入基于Web的应用程序、服务器或插件系统,并绕过同源策略。成功注入后,访问受感染网站的用户将被提供恶意内容,这些恶意内容被浏览器认为是来自受信任的来源而毫无防范。然后,攻击者即可以访问用户的敏感页面内容、cookie和其他敏感信息。
· 跨站点请求伪造:
即由受信任的Web应用程序从用户端传输未经授权的命令。为了达到此目的,恶意网站可以使用特制的图像标记、隐藏的表单和JavaScript XMLHttpRequests。根据特定的漏洞,当用户毫不知情的单击这些元素时,就会触发攻击,攻击者就可能做到:
1. 使用管理员权限执行远程代码。
2. 伪造登录请求并查看私人信息。
3. 更改个人信息或获取在线帐户。
4. 进行非法汇款。
5. 几乎可实现登录用户的所有操作权限。
· 偷渡式下载攻击:
当用户访问受恶意代码感染的网站时,用户被重定向到攻击者控制的另一站点。然后攻击者在受害者的Web浏览器中运行代码,该代码加载一个漏洞利用工具包,探测用户的操作系统、浏览器和软件以查找漏洞。然后根据漏洞下载恶意软件、访问个人数据、加密计算机或其他犯罪活动。你的计算机被黑客加密后,你的数据将不能访问,除非破财让黑客为你解密。
· 恶意JavaScript电子邮件附件:
当用户打开邮件附件文档时,勒索软件会下载到你的硬盘,稍后加密计算机并勒索钱财以解锁文件。
· 通用跨站点脚本:
即利用浏览器或插件中的漏洞来控制网络。例如很多浏览器,以及Flash和ActiveX控件等插件都有缺陷,可能导致缓冲区溢出。这些通常可通过JavaScript实现,并允许攻击者以管理员权限访问操作系统的应用程序编程接口(API)。
四、会话重播脚本(黑客犹如看你电脑操作的录屏视频)
启用Javascript不仅可以被获取有关你系统的各种信息,还会提高浏览器被恶意利用的可能性。如果你不幸浏览了Alexa排名前50000中的近500个网站中的一个,这个网站的JavaScript还可以让你在网页上的所有操作被完整记录,就像录下了你的屏幕,然后他人可以无限次重播:
您可能知道大多数网站都有第三方分析脚本,可记录您访问的页面和您进行的搜索。但最近,越来越多的网站使用"会话重播"脚本。这些脚本记录您的击键,鼠标移动和滚动行为,以及 您访问的页面的全部内容,并将它们发送到第三方服务器。与提供聚合统计信息的典型分析服务不同,这些脚本用于记录和回放单个浏览会话, 就像有人正在盯着您看一样。如同你的操作被录成视频,被他人重播一遍。
现有的法规允许公司在网站上嵌入Javascript功能,以便记录高度个人化的信息。包括键入的内容,鼠标的精确移动,甚至是"共同浏览",即看不见的入侵者可以实时观察它的内容,而无需任何形式的通知。收获的数据几乎没有限制。姓名、电子邮件、电话号码、地址、社会安全号码和出生日期都被像FullStory、Hotjar和Smartlook等公司视为正常动作。许多服务商还提供了将录制记录链接到真实身份的选项。
跟踪服务公司经常使用不安全的HTTP(而非https)页面来提供录制回放或发布者页面内容,为高级攻击者提供诱人的"中间人攻击"机会。
幸运的是,禁用Javascript足以完全阻止此活动,并且广告屏蔽列表也可用于防止数据泄露。但用户不应仅仅依靠广告拦截器进行跟踪保护,因为已经出现的恶意工具已经可以成功击败最流行的扩展插件,包括Adblock Plus,Adblocker Ultimate,Ghostery和uBlock Origin等。
五、结论及建议
启用或禁用JavaScript?需要权衡!
启用JavaScript会提高网页浏览体验,但增加隐私泄露风险。禁用,会提高浏览安全性,但会降低浏览体验。不过,对于文字浏览,如看新闻等无太大影响。要玩网页游戏或看网页视频则必须启用JavaScript。好在,有兼顾的解决方案:
1. 普通方案:
采用FireFox(火狐)浏览器,并安装NoScript插件,默认禁用所有JavaScript,当你确信你正在访问的网页是安全的时,可以点击插件图标,有选择的开启该网页的JavaScript。这样既可以保证安全,也不影响体验。对于懂技术的用户,建议同时安装uMatrix插件,以进行更精确的控制。除了以上插件,建议同时安装uBlock Origin拦截广告跟踪。
此方案适合大多数人。
2. 进阶方案:
使用Tor浏览器,该浏览器与FireFox一样由非营利基金会Mozilla开发,Mozilla的宗旨是为用户网络活动提供隐私保护。Tor浏览器的隐私保护功能,在所有浏览器中属于顶尖,无出其右者。Tor浏览器默认阻止大多数危险技术,它可以让你实现网络匿名,让你的网络活动无法被追踪,犹如隐身。但Tor在提供超强隐私保护的同时,因为多次中转的原因,浏览速度会变慢。虽慢,但也足以看网络视频。此方案适合对安全性要求较高,对网速要求不高的用户。
3. 高级方案:
使用Whonix系统,该系统默认使用Tor网络,在Tor的基础上,提供了更强的额外安全保护。关于Whonix的详细信息,可自行搜索。
4. 终极方案:
使用Qubes操作系统+Whonix(内置Tor)。Qubes是面向安全的Linux操作系统,采用虚拟机隔离的方案实现最强操作系统级安全保护。目前Qubes是已知方案中最强的隐私和安全解决方案,宇宙第一。使用它,黑客和FBI都拿你毫无办法。此方案仅适用于对隐私和安全要求极高,且动手能力很强的电脑高手。
新奇界J,专注信息技术和互联网隐私保护。欢迎关注、交流,后续还有更多类似文章。
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
