Tarayıcı güvenliği, ağ bağlantılı verileri ve bilgisayar sistemlerini gizlilik ihlallerinden veya kötü amaçlı yazılımlardan korumak için İnternet güvenliğinin web tarayıcılarına uygulanmasıdır. Tarayıcıların güvenlik açıkları genellikle JavaScript ile bazen Adobe Flash kullanan ikincil bir yüke sahip siteler arası komut dosyası (XSS) kullanır. Güvenlik açıkları ayrıca tüm tarayıcılarda (Mozilla Firefox, Google Chrome,Opera, Microsoft Internet Explorer ve Safari dahil) yaygın olarak kullanılan güvenlik açıklarından (güvenlik açıkları) yararlanabilir. ).
Güvenlik
Web tarayıcıları, aşağıdaki yollardan biri veya daha fazlasıyla ihlal edilebilir:
- İşletim sistemi ihlal edildi ve kötü amaçlı yazılım ayrıcalık modunda tarayıcı bellek alanını okuyor/değiştiriyor
- İşletim sisteminde, ayrıcalıklı modda tarayıcı bellek alanını okuyan/değiştiren, arka plan işlemi olarak çalışan bir kötü amaçlı yazılım var
- Yürütülebilir ana tarayıcı hacklenebilir
- Tarayıcı bileşenleri saldırıya uğramış olabilir
- Tarayıcı eklentileri saldırıya uğrayabilir
- Tarayıcı ağ iletişimleri makinenin dışından kesilebilir
Tarayıcı, yukarıdaki ihlallerin hiçbirinden haberdar olmayabilir ve kullanıcıya güvenli bir bağlantı yapıldığını gösterebilir.
Bir tarayıcı bir web sitesiyle her iletişim kurduğunda, web sitesi bu iletişimin bir parçası olarak tarayıcı hakkında bazı bilgiler toplar (hiç değilse teslim edilecek sayfanın biçimlendirmesini işlemek için). Web sitesinin içeriğine kötü amaçlı kod eklenmişse veya en kötü senaryoda, söz konusu web sitesi özellikle kötü amaçlı kod barındırmak üzere tasarlanmışsa, belirli bir tarayıcıya özgü güvenlik açıkları, bu kötü amaçlı kodun tarayıcı uygulamasında işlemler yürütmesine izin verebilir. istenmeyen şekillerde (ve unutmayın, bir web sitesinin bir tarayıcı iletişiminden topladığı bilgi parçalarından biri de tarayıcının kimliğidir - belirli güvenlik açıklarının kullanılmasına izin verir). Bir saldırgan ziyaretçinin makinesinde işlemler çalıştırabildiğinde, bilinen güvenlik açıklarından yararlanmak saldırganın makinede ve hatta kurbanın tüm ağında çok daha çeşitli kötü amaçlı işlemler ve etkinlikler gerçekleştirmek için "virüslü" sisteme ayrıcalıklı erişim (tarayıcı zaten ayrıcalıklı erişimle çalışmıyorsa) elde etmesine olanak sağlayabilir
Web tarayıcısı güvenliğinin ihlali genellikle korumaları atlayarak pop-up reklamları görüntülemek, İnternet pazarlaması veya kimlik hırsızlığı için kişisel olarak tanımlanabilir bilgileri (PII) toplamak, web böcekleri, Clickjacking, Likejacking (Facebook'un beğen düğmesinin hedeflendiği yer), HTTP çerezleri, zombi çerezleri veya Flash çerezleri (Yerel Paylaşılan Nesneler veya LSO'lar) gibi araçları kullanarak bir kullanıcı hakkında kendi iradesi dışında web sitesi izleme veya web analizi yapmak amacıyla yapılır; reklam yazılımları, virüsler, Truva atları gibi casus yazılımlar (kırma yoluyla kullanıcıların kişisel bilgisayarlarına erişim sağlamak için) veya tarayıcıdaki adam saldırılarını kullanarak çevrimiçi bankacılık hırsızlığı dahil olmak üzere diğer kötü amaçlı yazılımları yüklemek.
Chromium web tarayıcısındaki güvenlik açıklarının derinlemesine incelenmesi, Güvenlik açıklarının en çok ortaya çıkan temel nedenlerinin Improper Input Validation (CWE-20) ve Improper Access Control (CWE-284) olduğunu göstermektedir. Ayrıca, bu çalışma sırasında incelenen güvenlik açıkları arasında, üçüncü taraf kitaplıkların savunmasız sürümlerinin yeniden kullanılması veya içe aktarılması nedeniyle Chromium'da 106 güvenlik açığı meydana geldi.
Web tarayıcı yazılımındaki güvenlik açıkları, tarayıcı yazılımı güncel tutularak en aza indirilebilir, ancak temeldeki işletim sisteminin, örneğin bir rootkit tarafından tehlikeye girmesi durumunda yeterli olmayacaktır. Komut dosyası oluşturma, eklentiler ve tanımlama bilgileri gibi tarayıcıların bazı alt bileşenleri özellikle savunmasızdır ("kafası karışmış vekil sorunu ") ve ayrıca ele alınması gerekir.
Derinlemesine savunma ilkesine uygun olarak, tamamen yamalı ve doğru şekilde yapılandırılmış bir tarayıcı, tarayıcıyla ilgili güvenlik sorunlarının ortaya çıkmamasını sağlamak için yeterli olmayabilir. Örneğin, bir rootkit, birisi bir bankacılık web sitesinde oturum açarken tuş vuruşlarını yakalayabilir veya bir web tarayıcısına gelen ve buradan gelen ağ trafiğini değiştirerek ortadaki adam saldırısı gerçekleştirebilir. DNS ele geçirme veya DNS sahtekarlığı, yanlış yazılan web sitesi adları için yanlış pozitifler döndürmek veya popüler arama motorları için arama sonuçlarını bozmak için kullanılabilir. RSPlug gibi kötü amaçlı yazılımlar, yalnızca bir sistemin yapılandırmasını hileli DNS sunucularını işaret edecek şekilde değiştirir.
Tarayıcılar, bu saldırılardan bazılarını önlemeye yardımcı olmak için daha güvenli ağ iletişimi yöntemleri kullanabilir:
- DNS : DNSSec ve DNSCrypt, örneğin Google Public DNS veya OpenDNS gibi varsayılan olmayan DNS sunucularıyla .
- HTTP : Dijital olarak imzalanmış ortak anahtar sertifikaları veya Genişletilmiş Doğrulama Sertifikaları ile HTTP Secure ve SPDY .
Genellikle güvenlik duvarları ve kötü amaçlı web sitelerini engelleyen ve herhangi bir dosya indirme işleminde antivirüs taramaları gerçekleştiren filtreleme proxy sunucularının kullanımı yoluyla çevre savunmaları, büyük kuruluşlarda kötü amaçlı ağ trafiğini bir tarayıcıya ulaşmadan önce engellemek için genellikle en iyi uygulama olarak uygulanır.
Tarayıcı güvenliği konusu, görünüşte tarayıcıları ve ağ sistemlerini güvenlik açıkları için test etmek amacıyla tarayıcı güvenliğini ihlal edecek araçları toplamak için platformlar oluşturan The Browser Exploitation Framework Project gibi tüm kuruluşların oluşturulması noktasına kadar büyüdü.
Eklentiler ve uzantılar
Kendi başına tarayıcının bir parçası olmasa da, tarayıcı eklentileri ve uzantıları saldırı yüzeyini genişleterek Adobe Flash Player, Adobe (Acrobat) Reader, Java eklentisi ve ActiveX'te yaygın olarak kullanılan güvenlik açıklarını ortaya çıkarır. Araştırmacılar özellikle tak ve çalıştır tasarımlarına dayanan çeşitli web tarayıcılarının güvenlik mimarisini kapsamlı bir şekilde incelediler. Bu çalışma, 16 yaygın güvenlik açığı türü ve 19 potansiyel hafifletme yöntemi belirlemiştir. Kötü amaçlı yazılım, Internet Explorer durumunda bir tarayıcı yardımcı nesnesi gibi bir tarayıcı uzantısı olarak da uygulanabilir. Orijinal görünmek üzere tasarlanmış ve kötü amaçlı yazılım yüklerini yerlerine indirmek için görsel ipuçları olarak tasarlanmış hileli 'Adobe Flash'ı güncelle' açılır pencerelerini içeren çeşitli diğer istismar web sitelerinde.Google Chrome ve Mozilla Firefox gibi bazı tarayıcılar, güvenli olmayan eklentileri engelleyebilir veya kullanıcıları uyarabilir.
Adobe Flash
Social Science Research Network tarafından Ağustos 2009'da yapılan bir araştırma, Flash kullanan web sitelerinin %50'sinin aynı zamanda Flash tanımlama bilgileri kullandığını, ancak gizlilik politikalarının bunları nadiren ifşa ettiğini ve gizlilik tercihleri için kullanıcı denetimlerinin eksik olduğunu ortaya koydu. Çoğu tarayıcının önbellek ve geçmiş silme işlevleri, Flash Player'ın Yerel Paylaşılan Nesneleri kendi önbelleğine yazmasını etkilemez ve kullanıcı topluluğu, Flash tanımlama bilgilerinin varlığından ve işlevinden HTTP tanımlama bilgilerine göre çok daha az haberdardır. Bu nedenle, HTTP tanımlama bilgilerini silen ve tarayıcı geçmişi dosyalarını ve önbelleklerini temizleyen kullanıcılar, aslında Flash tarama geçmişi kalırken bilgisayarlarındaki tüm izleme verilerini temizlediklerine inanabilirler. Firefox için BetterPrivacy eklentisi, elle kaldırmanın yanı sıra Flash tanımlama bilgilerini de kaldırabilir. Adblock Plus, belirli tehditleri filtrelemek için kullanılabilir ve Flashblock, normalde güvenilen sitelerdeki içeriğe izin vermeden önce bir seçenek sunmak için kullanılabilir.
Charlie Miller, CanSecWest bilgisayar güvenliği konferansında "Flash'ın yüklenmemesini" önerdi. Diğer birkaç güvenlik uzmanı da Adobe Flash Player'ı yüklememeyi veya engellemeyi önerir.
Parola güvenlik modeli
Bir web sayfasının içeriği isteğe bağlıdır ve adres çubuğunda görüntülenen alan adının sahibi olan varlık tarafından kontrol edilir. HTTPS kullanılıyorsa, ağa erişimi olan saldırganların yol boyunca sayfa içeriğini değiştirmesine karşı koruma sağlamak için şifreleme kullanılır. Bir web sayfasında bir şifre alanı sunulduğunda, kullanıcının adres çubuğundaki alan adının şifreyi göndermek için doğru yer olup olmadığını belirlemek için adres çubuğuna bakması gerekir. Örneğin, Google'ın tek oturum açma sistemi için (örneğin youtube.com'da kullanılır), kullanıcı şifresini girmeden önce her zaman adres çubuğunda " https://accounts.google.com " yazdığını kontrol etmelidir.
Güvenliğinden ödün verilmemiş bir tarayıcı, adres çubuğunun doğru olduğunu garanti eder. Bu garanti, tarayıcıların genellikle tam ekran moduna girerken adres çubuğunun normalde olacağı yerde bir uyarı görüntülemesinin bir nedenidir, böylece tam ekran bir web sitesi sahte bir adres çubuğuyla sahte bir tarayıcı kullanıcı arabirimi oluşturamaz.
Donanım tarayıcısı
Yazılamaz, salt okunur dosya sistemlerinden çalışan donanım tabanlı tarayıcıları pazarlama girişimleri olmuştur. Veriler cihazda depolanamaz ve ortamın üzerine yazılamaz, bu da her yüklendiğinde temiz bir yürütülebilir dosya sunar. Bu türden ilk cihaz, 2013'ün sonlarında piyasaya sürülen ZeusGard Secure Hardware Browser. 2016 yılının ortasından beri çalışmıyor. Başka bir cihaz, iCloak web sitesinden 12 Ocak 2019 tarihinde Wayback Machine sitesinde . iCloak® Stik, bilgisayarın tüm işletim sistemini tamamen değiştiren ve salt okunur sistemden iki web tarayıcısı sunan eksiksiz bir Canlı İşletim Sistemi sağlar. iCloak ile, anonim tarama için Tor tarayıcısının yanı sıra anonim olmayan tarama için normal bir Firefox tarayıcısı sağlarlar. Güvenli olmayan herhangi bir web trafiği (örneğin, https kullanılmayan), yine de ortadaki adam değişikliğine veya diğer ağ trafiğine dayalı manipülasyonlara tabi olabilir.
Canlı CD
Yazılabilir olmayan bir kaynaktan işletim sistemi çalıştıran LiveCD'ler, genellikle varsayılan görüntülerinin bir parçası olarak Web tarayıcılarıyla birlikte gelir. Orijinal LiveCD görüntüsünde kötü amaçlı yazılım yoksa, Web tarayıcısı da dahil olmak üzere kullanılan tüm yazılımlar, LiveCD görüntüsü her başlatıldığında kötü amaçlı yazılımdan arındırılmış olarak yüklenir.
Tarayıcı güçlendirme
En az ayrıcalıklı bir kullanıcı hesabı olarak (yani yönetici ayrıcalıkları olmaksızın) İnternette gezinmek, bir web tarayıcısındaki bir güvenlik açığının tüm işletim sistemini tehlikeye atmasını sınırlar.
Internet Explorer 4 ve sonraki sürümleri, ActiveX denetimlerinin, eklentilerinin ve tarayıcı uzantılarının kara listeye alınmasına ve beyaz listeye alınmasına çeşitli şekillerde izin verir.
Internet Explorer 7, Windows Vista'nın Zorunlu Bütünlük Denetimi adı verilen bir güvenlik korumalı alan oluşturma özelliğinin uygulanmasıyla tarayıcıyı güçlendiren bir teknoloji olan "korumalı mod" ekledi.Google Chrome, işletim sistemine web sayfası erişimini sınırlamak için bir korumalı alan sağlar.
Google'a bildirilen ve Google tarafından onaylanan şüpheli kötü amaçlı yazılım siteleri, belirli tarayıcılarda kötü amaçlı yazılım barındırıyor olarak işaretlenir.
En yeni tarayıcıları bile güçlendirmek için üçüncü taraf uzantılar ve eklentiler mevcuttur ve bazıları daha eski tarayıcılar ve işletim sistemleri için. NoScript gibi beyaz liste tabanlı yazılımlar, gizliliğe yönelik çoğu saldırıda kullanılan JavaScript ve Adobe Flash'ı engelleyerek kullanıcıların yalnızca güvenli olduğunu bildikleri siteleri seçmelerine olanak tanır - AdBlock Plus ayrıca, hem yazılımın kendisi hem de filtreleme listesi koruyucuları, varsayılan olarak bazı sitelerin önceden ayarlanmış filtreleri geçmesine izin verdiği için tartışma konusu oldu. US-CERT, NoScript kullanarak Flash'ın engellenmesini önerir.
Fuzzing
Modern web tarayıcıları, güvenlik açıklarını ortaya çıkarmak için kapsamlı bir şekilde bulanıklaştırılır. Google Chrome'un Chromium kodu, 15.000 çekirdeğe sahip Chrome Güvenlik Ekibi tarafından sürekli olarak belirsizleştirilir.Microsoft Edge ve Internet Explorer için Microsoft, ürün geliştirme sırasında 670 makine yılı ile bulanık test gerçekleştirerek 1 milyar HTML dosyasından 400 milyardan fazla DOM manipülasyonu oluşturdu.
En iyi yöntem
- Temiz yazılım yükleyin: Temiz olduğu bilinen bir Web tarayıcısına sahip olduğu bilinen temiz bir işletim sisteminden önyükleme yapın
- Kaynaklar Arası Kaynak Paylaşımı (CORS) güvenlik açığına 29 Ocak 2020 tarihinde Wayback Machine sitesinde . karşı yeterli önlemleri alın (örnek yamalar WebKit tabanlı tarayıcılar için sağlanmıştır)
- Üçüncü taraf yazılımlar aracılığıyla saldırıları önleyin: Güçlendirilmiş bir Web tarayıcısı veya eklentisiz tarama modu kullanın
- DNS manipülasyonunu önleyin: Güvenilir ve güvenli DNS kullanın
- Web sitesi tabanlı istismarlardan kaçının: İnternet güvenlik yazılımlarında yaygın olarak bulunan bağlantı denetleme tarayıcı eklentilerini kullanın
- Kötü amaçlı içerikten kaçının: Çevre savunmaları ve kötü amaçlı yazılımdan koruma yazılımı kullanın
Ayrıca bakınız
- Filtre balonu
- Frame enjeksiyonu
- Kimlik odaklı ağ
- İnternet güvenliği
- Ağ güvenlik politikası
- Uygulama güvenliği
Kaynakça
- ^ . . Mozilla Foundation. 11 Mayıs 2011 tarihinde kaynağından arşivlendi. Yazar
|ad1=
eksik|soyadı1=
() - ^ Messmer, Ellen and NetworkWorld. "Google Chrome Tops 'Dirty Dozen' Vulnerable Apps List"[]. Retrieved 19 November 2010.
- ^ . Mashable. 2 Eylül 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 2 Eylül 2011.
- ^ . IBT Media Inc. 21 Mart 2013. 24 Mart 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 21 Mart 2013. Yazar
|ad1=
eksik|soyadı1=
() - ^ . . 28 Eylül 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 26 Eylül 2011. Yazar
|ad1=
eksik|soyadı1=
() - ^ Clinton Wong. . O'Reilly. 13 Haziran 2013 tarihinde kaynağından arşivlendi.
- ^ . 11 Kasım 2013 tarihinde kaynağından arşivlendi.
- ^ . 9 Haziran 2013 tarihinde kaynağından arşivlendi.
- ^ a b . . Mozilla Foundation. 7 Ağustos 2011 tarihinde kaynağından arşivlendi. Yazar
|ad1=
eksik|soyadı1=
() - ^ . CBC News. 23 Eylül 2010. 26 Haziran 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Ağustos 2011.
- ^ . PC Magazine. 19 Ağustos 2011. 29 Mart 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 24 Ağustos 2011. Birden fazla yazar-name-list parameters kullanıldı (); Yazar
|ad1=
eksik|soyadı1=
() - ^ . . 2 Haziran 2010. 5 Aralık 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 19 Aralık 2011. Birden fazla yazar-name-list parameters kullanıldı (); Yazar
|ad1=
eksik|soyadı1=
() - ^ Santos (April 2017). "Understanding Software Vulnerabilities Related to Architectural Security Tactics: An Empirical Investigation of Chromium, PHP and Thunderbird". 2017 IEEE International Conference on Software Architecture (ICSA): 69-78. doi:10.1109/ICSA.2017.39. ISBN .
- ^ State of Vermont. . 13 Şubat 2012 tarihinde kaynağından arşivlendi. Erişim tarihi: 11 Nisan 2012.
- ^ (PDF). Symantec. 16 Mayıs 2013 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 20 Nisan 2013.
- ^ . 15 Mayıs 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mayıs 2013.
- ^ Lenny Zeltser. . 7 Mayıs 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mayıs 2013.
- ^ Dan Goodin (14 Mart 2013). . 15 Mayıs 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Mayıs 2013.
- ^ . 11 Ağustos 2011 tarihinde kaynağından arşivlendi.
- ^ Santos (2019). "Achilles' Heel of plug-and-Play Software Architectures: A Grounded Theory Based Approach". Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering. ESEC/FSE 2019. New York, NY, US: ACM: 671-682. doi:10.1145/3338906.3338969. ISBN .
- ^ . Symantec.com. 14 Mayıs 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 12 Nisan 2012.
- ^ Aggarwal (30 Nisan 2021). "Breaking: Fake sites of 50 Indian News portals luring gullible readers". Economic Times CIO. 26 Şubat 2023 tarihinde kaynağından . Erişim tarihi: 26 Şubat 2023.
- ^ . Electronic Privacy Information Center. 21 Temmuz 2005. 16 Nisan 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 8 Mart 2010.
- ^ "Flashblock :: Add-ons for Firefox". . Mozilla Foundation. 15 Nisan 2013 tarihinde kaynağından arşivlendi. Yazar
|ad1=
eksik|soyadı1=
() - ^ . 1 Mart 2010. 24 Nisan 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Mart 2010.
- ^ . 12 Kasım 2009. 26 Nisan 2011 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Mart 2010.
- ^ John C. Mitchell. (PDF). 20 Haziran 2015 tarihinde kaynağından (PDF) arşivlendi.
- ^ . feross.org. 25 Aralık 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 7 Mayıs 2018.
- ^ . Microsoft. 6 Mart 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Nisan 2013.
- ^ . Microsoft. 2 Aralık 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Kasım 2014.
- ^ . Microsoft. 2 Aralık 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Kasım 2014.
- ^ . Microsoft. 29 Kasım 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Kasım 2014.
- ^ . Microsoft. 29 Kasım 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Kasım 2014.
- ^ . Microsoft. 2 Aralık 2014 tarihinde kaynağından arşivlendi. Erişim tarihi: 22 Kasım 2014.
- ^ Matthew Conover. (PDF). Symantec Corporation. 16 Mayıs 2008 tarihinde kaynağından (PDF) arşivlendi. Erişim tarihi: 8 Ekim 2007.
- ^ . 11 Kasım 2013 tarihinde kaynağından arşivlendi.
- ^ . 12 Eylül 2014 tarihinde kaynağından arşivlendi.
- ^ . 14 Eylül 2014 tarihinde kaynağından arşivlendi.
- ^ . . 8 Mayıs 2014. 7 Eylül 2014 tarihinde kaynağından arşivlendi.
- ^ . Siliconfilter.com. 12 Aralık 2011. 30 Ocak 2013 tarihinde kaynağından arşivlendi. Erişim tarihi: 20 Nisan 2013.
- ^ . 26 Mart 2010 tarihinde kaynağından arşivlendi. Erişim tarihi: 27 Mart 2010.
- ^ a b (PDF). X41D SEC GmbH. 19 Eylül 2017. 19 Eylül 2017 tarihinde kaynağından (PDF) arşivlendi.
- ^ (İngilizce). Microsoft. 15 Ekim 2017. 8 Ağustos 2017 tarihinde kaynağından arşivlendi. Erişim tarihi: 31 Ağustos 2018.
- ^ Global Measurement of {DNS} Manipulation (İngilizce). 2017. ss. 307-323. ISBN .
İleri okumalar
- (PDF). X41D SEC GmbH. 19 Eylül 2017. 19 Eylül 2017 tarihinde kaynağından (PDF) arşivlendi.
- (PDF). Cure53. 29 Kasım 2017. 19 Eylül 2017 tarihinde kaynağından (PDF) arşivlendi.
wikipedia, wiki, viki, vikipedia, oku, kitap, kütüphane, kütübhane, ara, ara bul, bul, herşey, ne arasanız burada,hikayeler, makale, kitaplar, öğren, wiki, bilgi, tarih, yukle, izle, telefon için, turk, türk, türkçe, turkce, nasıl yapılır, ne demek, nasıl, yapmak, yapılır, indir, ücretsiz, ücretsiz indir, bedava, bedava indir, mp3, video, mp4, 3gp, jpg, jpeg, gif, png, resim, müzik, şarkı, film, film, oyun, oyunlar, mobil, cep telefonu, telefon, android, ios, apple, samsung, iphone, xiomi, xiaomi, redmi, honor, oppo, nokia, sonya, mi, pc, web, computer, bilgisayar
Tarayici guvenligi ag baglantili verileri ve bilgisayar sistemlerini gizlilik ihlallerinden veya kotu amacli yazilimlardan korumak icin Internet guvenliginin web tarayicilarina uygulanmasidir Tarayicilarin guvenlik aciklari genellikle JavaScript ile bazen Adobe Flash kullanan ikincil bir yuke sahip siteler arasi komut dosyasi XSS kullanir Guvenlik aciklari ayrica tum tarayicilarda Mozilla Firefox Google Chrome Opera Microsoft Internet Explorer ve Safari dahil yaygin olarak kullanilan guvenlik aciklarindan guvenlik aciklari yararlanabilir GuvenlikWeb tarayicilari asagidaki yollardan biri veya daha fazlasiyla ihlal edilebilir Isletim sistemi ihlal edildi ve kotu amacli yazilim ayricalik modunda tarayici bellek alanini okuyor degistiriyor Isletim sisteminde ayricalikli modda tarayici bellek alanini okuyan degistiren arka plan islemi olarak calisan bir kotu amacli yazilim var Yurutulebilir ana tarayici hacklenebilir Tarayici bilesenleri saldiriya ugramis olabilir Tarayici eklentileri saldiriya ugrayabilir Tarayici ag iletisimleri makinenin disindan kesilebilir Tarayici yukaridaki ihlallerin hicbirinden haberdar olmayabilir ve kullaniciya guvenli bir baglanti yapildigini gosterebilir Bir tarayici bir web sitesiyle her iletisim kurdugunda web sitesi bu iletisimin bir parcasi olarak tarayici hakkinda bazi bilgiler toplar hic degilse teslim edilecek sayfanin bicimlendirmesini islemek icin Web sitesinin icerigine kotu amacli kod eklenmisse veya en kotu senaryoda soz konusu web sitesi ozellikle kotu amacli kod barindirmak uzere tasarlanmissa belirli bir tarayiciya ozgu guvenlik aciklari bu kotu amacli kodun tarayici uygulamasinda islemler yurutmesine izin verebilir istenmeyen sekillerde ve unutmayin bir web sitesinin bir tarayici iletisiminden topladigi bilgi parcalarindan biri de tarayicinin kimligidir belirli guvenlik aciklarinin kullanilmasina izin verir Bir saldirgan ziyaretcinin makinesinde islemler calistirabildiginde bilinen guvenlik aciklarindan yararlanmak saldirganin makinede ve hatta kurbanin tum aginda cok daha cesitli kotu amacli islemler ve etkinlikler gerceklestirmek icin viruslu sisteme ayricalikli erisim tarayici zaten ayricalikli erisimle calismiyorsa elde etmesine olanak saglayabilir Web tarayicisi guvenliginin ihlali genellikle korumalari atlayarak pop up reklamlari goruntulemek Internet pazarlamasi veya kimlik hirsizligi icin kisisel olarak tanimlanabilir bilgileri PII toplamak web bocekleri Clickjacking Likejacking Facebook un begen dugmesinin hedeflendigi yer HTTP cerezleri zombi cerezleri veya Flash cerezleri Yerel Paylasilan Nesneler veya LSO lar gibi araclari kullanarak bir kullanici hakkinda kendi iradesi disinda web sitesi izleme veya web analizi yapmak amaciyla yapilir reklam yazilimlari virusler Truva atlari gibi casus yazilimlar kirma yoluyla kullanicilarin kisisel bilgisayarlarina erisim saglamak icin veya tarayicidaki adam saldirilarini kullanarak cevrimici bankacilik hirsizligi dahil olmak uzere diger kotu amacli yazilimlari yuklemek Chromium web tarayicisindaki guvenlik aciklarinin derinlemesine incelenmesi Guvenlik aciklarinin en cok ortaya cikan temel nedenlerinin Improper Input Validation CWE 20 ve Improper Access Control CWE 284 oldugunu gostermektedir Ayrica bu calisma sirasinda incelenen guvenlik aciklari arasinda ucuncu taraf kitapliklarin savunmasiz surumlerinin yeniden kullanilmasi veya ice aktarilmasi nedeniyle Chromium da 106 guvenlik acigi meydana geldi Web tarayici yazilimindaki guvenlik aciklari tarayici yazilimi guncel tutularak en aza indirilebilir ancak temeldeki isletim sisteminin ornegin bir rootkit tarafindan tehlikeye girmesi durumunda yeterli olmayacaktir Komut dosyasi olusturma eklentiler ve tanimlama bilgileri gibi tarayicilarin bazi alt bilesenleri ozellikle savunmasizdir kafasi karismis vekil sorunu ve ayrica ele alinmasi gerekir Derinlemesine savunma ilkesine uygun olarak tamamen yamali ve dogru sekilde yapilandirilmis bir tarayici tarayiciyla ilgili guvenlik sorunlarinin ortaya cikmamasini saglamak icin yeterli olmayabilir Ornegin bir rootkit birisi bir bankacilik web sitesinde oturum acarken tus vuruslarini yakalayabilir veya bir web tarayicisina gelen ve buradan gelen ag trafigini degistirerek ortadaki adam saldirisi gerceklestirebilir DNS ele gecirme veya DNS sahtekarligi yanlis yazilan web sitesi adlari icin yanlis pozitifler dondurmek veya populer arama motorlari icin arama sonuclarini bozmak icin kullanilabilir RSPlug gibi kotu amacli yazilimlar yalnizca bir sistemin yapilandirmasini hileli DNS sunucularini isaret edecek sekilde degistirir Tarayicilar bu saldirilardan bazilarini onlemeye yardimci olmak icin daha guvenli ag iletisimi yontemleri kullanabilir DNS DNSSec ve DNSCrypt ornegin Google Public DNS veya OpenDNS gibi varsayilan olmayan DNS sunuculariyla HTTP Dijital olarak imzalanmis ortak anahtar sertifikalari veya Genisletilmis Dogrulama Sertifikalari ile HTTP Secure ve SPDY Genellikle guvenlik duvarlari ve kotu amacli web sitelerini engelleyen ve herhangi bir dosya indirme isleminde antivirus taramalari gerceklestiren filtreleme proxy sunucularinin kullanimi yoluyla cevre savunmalari buyuk kuruluslarda kotu amacli ag trafigini bir tarayiciya ulasmadan once engellemek icin genellikle en iyi uygulama olarak uygulanir Tarayici guvenligi konusu gorunuste tarayicilari ve ag sistemlerini guvenlik aciklari icin test etmek amaciyla tarayici guvenligini ihlal edecek araclari toplamak icin platformlar olusturan The Browser Exploitation Framework Project gibi tum kuruluslarin olusturulmasi noktasina kadar buyudu Eklentiler ve uzantilar Kendi basina tarayicinin bir parcasi olmasa da tarayici eklentileri ve uzantilari saldiri yuzeyini genisleterek Adobe Flash Player Adobe Acrobat Reader Java eklentisi ve ActiveX te yaygin olarak kullanilan guvenlik aciklarini ortaya cikarir Arastirmacilar ozellikle tak ve calistir tasarimlarina dayanan cesitli web tarayicilarinin guvenlik mimarisini kapsamli bir sekilde incelediler Bu calisma 16 yaygin guvenlik acigi turu ve 19 potansiyel hafifletme yontemi belirlemistir Kotu amacli yazilim Internet Explorer durumunda bir tarayici yardimci nesnesi gibi bir tarayici uzantisi olarak da uygulanabilir Orijinal gorunmek uzere tasarlanmis ve kotu amacli yazilim yuklerini yerlerine indirmek icin gorsel ipuclari olarak tasarlanmis hileli Adobe Flash i guncelle acilir pencerelerini iceren cesitli diger istismar web sitelerinde Google Chrome ve Mozilla Firefox gibi bazi tarayicilar guvenli olmayan eklentileri engelleyebilir veya kullanicilari uyarabilir Adobe Flash Social Science Research Network tarafindan Agustos 2009 da yapilan bir arastirma Flash kullanan web sitelerinin 50 sinin ayni zamanda Flash tanimlama bilgileri kullandigini ancak gizlilik politikalarinin bunlari nadiren ifsa ettigini ve gizlilik tercihleri icin kullanici denetimlerinin eksik oldugunu ortaya koydu Cogu tarayicinin onbellek ve gecmis silme islevleri Flash Player in Yerel Paylasilan Nesneleri kendi onbellegine yazmasini etkilemez ve kullanici toplulugu Flash tanimlama bilgilerinin varligindan ve islevinden HTTP tanimlama bilgilerine gore cok daha az haberdardir Bu nedenle HTTP tanimlama bilgilerini silen ve tarayici gecmisi dosyalarini ve onbelleklerini temizleyen kullanicilar aslinda Flash tarama gecmisi kalirken bilgisayarlarindaki tum izleme verilerini temizlediklerine inanabilirler Firefox icin BetterPrivacy eklentisi elle kaldirmanin yani sira Flash tanimlama bilgilerini de kaldirabilir Adblock Plus belirli tehditleri filtrelemek icin kullanilabilir ve Flashblock normalde guvenilen sitelerdeki icerige izin vermeden once bir secenek sunmak icin kullanilabilir Charlie Miller CanSecWest bilgisayar guvenligi konferansinda Flash in yuklenmemesini onerdi Diger birkac guvenlik uzmani da Adobe Flash Player i yuklememeyi veya engellemeyi onerir Parola guvenlik modeliBir web sayfasinin icerigi istege baglidir ve adres cubugunda goruntulenen alan adinin sahibi olan varlik tarafindan kontrol edilir HTTPS kullaniliyorsa aga erisimi olan saldirganlarin yol boyunca sayfa icerigini degistirmesine karsi koruma saglamak icin sifreleme kullanilir Bir web sayfasinda bir sifre alani sunuldugunda kullanicinin adres cubugundaki alan adinin sifreyi gondermek icin dogru yer olup olmadigini belirlemek icin adres cubuguna bakmasi gerekir Ornegin Google in tek oturum acma sistemi icin ornegin youtube com da kullanilir kullanici sifresini girmeden once her zaman adres cubugunda https accounts google com yazdigini kontrol etmelidir Guvenliginden odun verilmemis bir tarayici adres cubugunun dogru oldugunu garanti eder Bu garanti tarayicilarin genellikle tam ekran moduna girerken adres cubugunun normalde olacagi yerde bir uyari goruntulemesinin bir nedenidir boylece tam ekran bir web sitesi sahte bir adres cubuguyla sahte bir tarayici kullanici arabirimi olusturamaz Donanim tarayicisiYazilamaz salt okunur dosya sistemlerinden calisan donanim tabanli tarayicilari pazarlama girisimleri olmustur Veriler cihazda depolanamaz ve ortamin uzerine yazilamaz bu da her yuklendiginde temiz bir yurutulebilir dosya sunar Bu turden ilk cihaz 2013 un sonlarinda piyasaya surulen ZeusGard Secure Hardware Browser 2016 yilinin ortasindan beri calismiyor Baska bir cihaz iCloak web sitesinden 12 Ocak 2019 tarihinde Wayback Machine sitesinde iCloak Stik bilgisayarin tum isletim sistemini tamamen degistiren ve salt okunur sistemden iki web tarayicisi sunan eksiksiz bir Canli Isletim Sistemi saglar iCloak ile anonim tarama icin Tor tarayicisinin yani sira anonim olmayan tarama icin normal bir Firefox tarayicisi saglarlar Guvenli olmayan herhangi bir web trafigi ornegin https kullanilmayan yine de ortadaki adam degisikligine veya diger ag trafigine dayali manipulasyonlara tabi olabilir Canli CDYazilabilir olmayan bir kaynaktan isletim sistemi calistiran LiveCD ler genellikle varsayilan goruntulerinin bir parcasi olarak Web tarayicilariyla birlikte gelir Orijinal LiveCD goruntusunde kotu amacli yazilim yoksa Web tarayicisi da dahil olmak uzere kullanilan tum yazilimlar LiveCD goruntusu her baslatildiginda kotu amacli yazilimdan arindirilmis olarak yuklenir Tarayici guclendirmeEn az ayricalikli bir kullanici hesabi olarak yani yonetici ayricaliklari olmaksizin Internette gezinmek bir web tarayicisindaki bir guvenlik aciginin tum isletim sistemini tehlikeye atmasini sinirlar Internet Explorer 4 ve sonraki surumleri ActiveX denetimlerinin eklentilerinin ve tarayici uzantilarinin kara listeye alinmasina ve beyaz listeye alinmasina cesitli sekillerde izin verir Internet Explorer 7 Windows Vista nin Zorunlu Butunluk Denetimi adi verilen bir guvenlik korumali alan olusturma ozelliginin uygulanmasiyla tarayiciyi guclendiren bir teknoloji olan korumali mod ekledi Google Chrome isletim sistemine web sayfasi erisimini sinirlamak icin bir korumali alan saglar Google a bildirilen ve Google tarafindan onaylanan supheli kotu amacli yazilim siteleri belirli tarayicilarda kotu amacli yazilim barindiriyor olarak isaretlenir En yeni tarayicilari bile guclendirmek icin ucuncu taraf uzantilar ve eklentiler mevcuttur ve bazilari daha eski tarayicilar ve isletim sistemleri icin NoScript gibi beyaz liste tabanli yazilimlar gizlilige yonelik cogu saldirida kullanilan JavaScript ve Adobe Flash i engelleyerek kullanicilarin yalnizca guvenli oldugunu bildikleri siteleri secmelerine olanak tanir AdBlock Plus ayrica hem yazilimin kendisi hem de filtreleme listesi koruyuculari varsayilan olarak bazi sitelerin onceden ayarlanmis filtreleri gecmesine izin verdigi icin tartisma konusu oldu US CERT NoScript kullanarak Flash in engellenmesini onerir FuzzingModern web tarayicilari guvenlik aciklarini ortaya cikarmak icin kapsamli bir sekilde bulaniklastirilir Google Chrome un Chromium kodu 15 000 cekirdege sahip Chrome Guvenlik Ekibi tarafindan surekli olarak belirsizlestirilir Microsoft Edge ve Internet Explorer icin Microsoft urun gelistirme sirasinda 670 makine yili ile bulanik test gerceklestirerek 1 milyar HTML dosyasindan 400 milyardan fazla DOM manipulasyonu olusturdu En iyi yontemTemiz yazilim yukleyin Temiz oldugu bilinen bir Web tarayicisina sahip oldugu bilinen temiz bir isletim sisteminden onyukleme yapin Kaynaklar Arasi Kaynak Paylasimi CORS guvenlik acigina 29 Ocak 2020 tarihinde Wayback Machine sitesinde karsi yeterli onlemleri alin ornek yamalar WebKit tabanli tarayicilar icin saglanmistir Ucuncu taraf yazilimlar araciligiyla saldirilari onleyin Guclendirilmis bir Web tarayicisi veya eklentisiz tarama modu kullanin DNS manipulasyonunu onleyin Guvenilir ve guvenli DNS kullanin Web sitesi tabanli istismarlardan kacinin Internet guvenlik yazilimlarinda yaygin olarak bulunan baglanti denetleme tarayici eklentilerini kullanin Kotu amacli icerikten kacinin Cevre savunmalari ve kotu amacli yazilimdan koruma yazilimi kullaninAyrica bakinizFiltre balonu Frame enjeksiyonu Kimlik odakli ag Internet guvenligi Ag guvenlik politikasi Uygulama guvenligiKaynakca Mozilla Foundation 11 Mayis 2011 tarihinde kaynagindan arsivlendi Yazar ad1 eksik soyadi1 yardim Messmer Ellen and NetworkWorld Google Chrome Tops Dirty Dozen Vulnerable Apps List olu kirik baglanti Retrieved 19 November 2010 Mashable 2 Eylul 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 2 Eylul 2011 IBT Media Inc 21 Mart 2013 24 Mart 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 21 Mart 2013 Yazar ad1 eksik soyadi1 yardim 28 Eylul 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 26 Eylul 2011 Yazar ad1 eksik soyadi1 yardim Clinton Wong O Reilly 13 Haziran 2013 tarihinde kaynagindan arsivlendi 11 Kasim 2013 tarihinde kaynagindan arsivlendi 9 Haziran 2013 tarihinde kaynagindan arsivlendi a b Mozilla Foundation 7 Agustos 2011 tarihinde kaynagindan arsivlendi Yazar ad1 eksik soyadi1 yardim CBC News 23 Eylul 2010 26 Haziran 2012 tarihinde kaynagindan arsivlendi Erisim tarihi 24 Agustos 2011 PC Magazine 19 Agustos 2011 29 Mart 2012 tarihinde kaynagindan arsivlendi Erisim tarihi 24 Agustos 2011 Birden fazla yazar name list parameters kullanildi yardim Yazar ad1 eksik soyadi1 yardim 2 Haziran 2010 5 Aralik 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 19 Aralik 2011 Birden fazla yazar name list parameters kullanildi yardim Yazar ad1 eksik soyadi1 yardim Santos April 2017 Understanding Software Vulnerabilities Related to Architectural Security Tactics An Empirical Investigation of Chromium PHP and Thunderbird 2017 IEEE International Conference on Software Architecture ICSA 69 78 doi 10 1109 ICSA 2017 39 ISBN 978 1 5090 5729 0 State of Vermont 13 Subat 2012 tarihinde kaynagindan arsivlendi Erisim tarihi 11 Nisan 2012 PDF Symantec 16 Mayis 2013 tarihinde kaynagindan PDF arsivlendi Erisim tarihi 20 Nisan 2013 15 Mayis 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 20 Mayis 2013 Lenny Zeltser 7 Mayis 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 20 Mayis 2013 Dan Goodin 14 Mart 2013 15 Mayis 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 20 Mayis 2013 11 Agustos 2011 tarihinde kaynagindan arsivlendi Santos 2019 Achilles Heel of plug and Play Software Architectures A Grounded Theory Based Approach Proceedings of the 2019 27th ACM Joint Meeting on European Software Engineering Conference and Symposium on the Foundations of Software Engineering ESEC FSE 2019 New York NY US ACM 671 682 doi 10 1145 3338906 3338969 ISBN 978 1 4503 5572 8 Symantec com 14 Mayis 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 12 Nisan 2012 Aggarwal 30 Nisan 2021 Breaking Fake sites of 50 Indian News portals luring gullible readers Economic Times CIO 26 Subat 2023 tarihinde kaynagindan Erisim tarihi 26 Subat 2023 Electronic Privacy Information Center 21 Temmuz 2005 16 Nisan 2010 tarihinde kaynagindan arsivlendi Erisim tarihi 8 Mart 2010 Flashblock Add ons for Firefox Mozilla Foundation 15 Nisan 2013 tarihinde kaynagindan arsivlendi Yazar ad1 eksik soyadi1 yardim 1 Mart 2010 24 Nisan 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 27 Mart 2010 12 Kasim 2009 26 Nisan 2011 tarihinde kaynagindan arsivlendi Erisim tarihi 27 Mart 2010 John C Mitchell PDF 20 Haziran 2015 tarihinde kaynagindan PDF arsivlendi feross org 25 Aralik 2017 tarihinde kaynagindan arsivlendi Erisim tarihi 7 Mayis 2018 Microsoft 6 Mart 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 20 Nisan 2013 Microsoft 2 Aralik 2014 tarihinde kaynagindan arsivlendi Erisim tarihi 22 Kasim 2014 Microsoft 2 Aralik 2014 tarihinde kaynagindan arsivlendi Erisim tarihi 22 Kasim 2014 Microsoft 29 Kasim 2014 tarihinde kaynagindan arsivlendi Erisim tarihi 22 Kasim 2014 Microsoft 29 Kasim 2014 tarihinde kaynagindan arsivlendi Erisim tarihi 22 Kasim 2014 Microsoft 2 Aralik 2014 tarihinde kaynagindan arsivlendi Erisim tarihi 22 Kasim 2014 Matthew Conover PDF Symantec Corporation 16 Mayis 2008 tarihinde kaynagindan PDF arsivlendi Erisim tarihi 8 Ekim 2007 11 Kasim 2013 tarihinde kaynagindan arsivlendi 12 Eylul 2014 tarihinde kaynagindan arsivlendi 14 Eylul 2014 tarihinde kaynagindan arsivlendi 8 Mayis 2014 7 Eylul 2014 tarihinde kaynagindan arsivlendi Siliconfilter com 12 Aralik 2011 30 Ocak 2013 tarihinde kaynagindan arsivlendi Erisim tarihi 20 Nisan 2013 26 Mart 2010 tarihinde kaynagindan arsivlendi Erisim tarihi 27 Mart 2010 a b PDF X41D SEC GmbH 19 Eylul 2017 19 Eylul 2017 tarihinde kaynagindan PDF arsivlendi Ingilizce Microsoft 15 Ekim 2017 8 Agustos 2017 tarihinde kaynagindan arsivlendi Erisim tarihi 31 Agustos 2018 Global Measurement of DNS Manipulation Ingilizce 2017 ss 307 323 ISBN 978 1 931971 40 9 Ileri okumalar PDF X41D SEC GmbH 19 Eylul 2017 19 Eylul 2017 tarihinde kaynagindan PDF arsivlendi PDF Cure53 29 Kasim 2017 19 Eylul 2017 tarihinde kaynagindan PDF arsivlendi