3 sätt JavaScript kan bryta mot din integritet och säkerhet

Annons

Du har antagligen hört att JavaScript är farligt. Det är delvis korrekt. JavaScript kan vara farlig om de korrekta försiktighetsåtgärderna inte vidtas. Det kan användas för att visa eller stjäla personuppgifter utan att du ens inser att det händer. Och eftersom JavaScript är så allestädes närvarande på nätet är vi alla sårbara.

Allt kommer ner till hur JavaScript faktiskt fungerar Vad är JavaScript och hur fungerar det? [Teknisk förklaring] Läs mer . JavaScript är en bra sak för det mesta, men det råkar bara vara så flexibelt och så kraftfullt att det kan vara svårt att hålla kontrollen. Här är vad du behöver veta.

Fördelarna med JavaScript

Första saker först, JavaScript är en bra sak. Enligt W3Techs, ungefär 88,1% av alla webbplatser använder JavaScript på ett eller annat sätt. De flesta av de stora namnplatserna - som Amazon och YouTube - skulle inte vara så nära som användbara om Internet var en JavaScript-fri zon.

Till exempel, JQuery Att göra webben interaktiv: en introduktion till jQuery

jQuery är ett skriptbibliotek på klientsidan som nästan alla moderna webbplatser använder - det gör webbplatser interaktiva. Det är inte det enda Javascript-biblioteket, men det är det mest utvecklade, mest stödda och mest använda ... Läs mer är ett populärt JavaScript-bibliotek som gör det enkelt att skapa interaktiva webbplatser med element som kan ändras utan att behöva ladda om hela sidan. Sajter som Facebook och Twitter förlitar sig på tekniker som AJAX jQuery Tutorial (del 5): AJAX dem alla!När vi nära slutet av vår mini-tutorial-serie för jQuery är det dags att ta en mer djupgående titt på en av de mest använda funktionerna i jQuery. AJAX tillåter en webbplats att kommunicera med ... Läs mer för att hålla webbsidor uppdaterade (t.ex. tidstämplar, # gillar, etc.) utan att uppdatera sidan varannan sekund.

Men som vi snart kommer att se är JavaScript inte perfekt. Det kan missbrukas, och att missbruk leder till scenarier som gör det möjligt att snoka på din Internetaktivitet och kränka din integritet.

Ett vanligt men missvisat råd är att inaktivera JavaScript helt, men vi rekommenderar det inte. Du kommer att förlora på mycket fantastisk webbfunktionalitet, till exempel funktionen "oändlig rullning" som finns på många bloggar, sociala nätverk och nyhetssajter.

Men mer, vissa webbläsarutnyttjelser är fortfarande möjliga även om du inaktiverar JavaScript. Att inaktivera JavaScript på grund av säkerhetsproblem är alltså som att bära en bubbeldräkt varje gång du går utanför eftersom du är rädd för att bli skadad. Det skyddar dig faktiskt inte från mycket, men det kommer att göra ditt liv eländigt.

Snooping de ord du skriver

I juli 2012 samlade ett par forskare data från 5 miljoner Facebook-användare i Amerika och Storbritannien. Vad letade de efter? Självcensur. Mer specifikt ville de veta hur ofta användare skulle börja skriva ett inlägg men slutade ta bort det innan det faktiskt publicerades.

De gjorde det genom att bädda in lite JavaScript som spårade textrutorna där användare kunde göra statusuppdateringar, skriva väggkommentarer etc. Forskarna klargjorde att de bara spelade in "närvaron eller frånvaron av inmatad text" snarare än "tangenttryckningar eller innehåll", men implikationen är klar.

Det var möjlig för att spåra tangenttryckningar och innehåll. De valde bara att inte göra det.

Uppfattningen är en läskig. En enkel del av inbäddat JavaScript är allt som behövs för att spela in någon form av aktivitet på en webbsida - även om du inte Skicka in något! Rulning på webben, musrörelser, tangenttryckningar: allt kan spåras och spelas in mot din vilja eller kunskap.

Spåra dina surfvanor

Spårningsfunktionerna för JavaScript stannar inte bara vid textrutorna. Genom magin av webbläsarkakor Vad är en cookie och vad har det att göra med min integritet? [MakeUseOf Explains]De flesta vet att det finns kakor spridda över hela Internet, redo och villiga att ätas upp av den som kan hitta dem först. Vänta, va? Det kan inte vara rätt. Ja, det finns kakor ... Läs mer , kan företag lagra alla typer av användarspecifik information: webbläsartyp, preferenser, plats etc. Påståendet är att denna typ av spårning görs för att erbjuda en bättre användarupplevelse (t.ex. relevanta annonser), men det känns fortfarande som en kränkning.

Cookies är ihållande, vilket innebär att de fortsätter att existera även efter att du lämnat webbsidan eller stänger webbläsaren (såvida de inte löper ut eller om du tar bort dem manuellt). Ser du det växande problemet? Om en cookie kvarstår från webbsida till webbsida är det möjligt för ett företag att se vilka webbplatser du besöker.

Detta förklaras bäst med ett exempel: sociala delningsknappar. Tänk på Facebook Like-knappen, som använder JavaScript för att utföra sin åtgärd. När din webbläsare laddar sidan måste den ladda knappen. Att ladda knappen betyder att du gör en begäran till Facebook om den nödvändiga JavaScript-filen. Den begäran inkluderar data som din IP-adress, webbsidan du är på, alla Facebook-cookies på ditt system, etc.

Bara för att vara tydlig behöver du inte klick knappen för att spåra dig. Handlingen av läser in räcker för att dessa delade widgetar kan samla in data om dig.

Med det sagt är sociala aktieknappar bara en av många sätt företag kan spåra dina surfvanor 4 Till synes oskyldiga aktiviteter på nätet som spårar ditt beteende Läs mer . Andra exempel inkluderar online-datingprofiler, Disqus-kommentarer och webbplatser som använder Googles gratis webbsnitt Hur du använder Google-teckensnitt i ditt nästa webbprojekt och varför du bordeVal av teckensnitt är ett integrerat designbeslut på vilken webbplats som helst, men för det mesta är vi nöjda med samma gamla serif och sans-serif-familj. Medan huvuddelen av text alltid borde vara något ... Läs mer .

Injektion av skadlig kod

En av de mest lumviga användningarna av JavaScript sker i form av skript över flera webbplatser (XSS). Enkelt uttryckt är XSS en sårbarhet som gör det möjligt för hackare att bädda in skadlig JavaScript-kod i en annars legitim webbplats, som slutligen körs i webbläsaren för en användare som besöker webbplats.

Om detta händer på en webbplats som hanterar känslig användarinformation, till exempel ekonomisk data, kan den skadliga koden potentiellt snopa och stjäla den informationen. Genom att ta ett steg längre kan XSS användas för att sprida virus och skadlig programvara, vilket är vad som hände när Twitter var infekterad med StalkDaily-masken Vad är Cross-Site Scripting (XSS) och varför det är en säkerhetshotSäkerhetsproblem på flera webbplatser är det största säkerhetsproblemet på webbplatsen idag. Studier har visat att de är chockerande vanliga - 55% av webbplatserna innehöll XSS-sårbarheter 2011, enligt White Hat Securitys senaste rapport, släppt i juni ... Läs mer .

XSS kan också användas för något som heter förgiftning av sökmotorer Vad sökmotorförgiftning är och hur det sprider skadlig programvara [MakeUseOf Explains]Om du tyckte att popup-program med skadlig kod och obeveklig e-postskräppost var det värsta, tänk igen. Det finns en ny utmanare på scenen och det sprider skadlig programvara som smör i ökenvärmen. Det kallas sökmotor ... Läs mer . Lång historia kort, malware-tillverkare kan använda JavaScript för att infektera webbplatser med hög sökresultat på ett sådant sätt att användare som försöker besöka dessa webbplatser omdirigeras till skadade webbplatser med skadlig kod istället.

Och så finns det något som kallas en CSRF-förfrågningsförfalskning (cross-site request forgery), som är det omvända av en XSS. Denna typ av skadlig JavaScript-kod kan utnyttja en användares webbläsare, cookies och säkerhetsbehörigheter för att utföra åtgärder på en separat webbplats.

Vad kan du göra för att skydda mot JavaScript-baserade attacker?

I slutändan ligger ansvaret hos webbutvecklare för att se till att deras webbplatser är rena och säkra. Som slutanvändare bör du dock alltid hålla dina webbläsare uppdaterade och skannar regelbundet efter skadlig programvara Håll dig skyddad från alla typer av skadlig programvara med Avast Free AntivirusOmfattande skydd mot skadlig program behöver inte kosta en förmögenhet. Många ansedda gratis antivirusprogram är lika effektiva som betalade och avast! Gratis Antivirus står med de bästa Windows-antivirusprogrammen. Läs mer .

Här är vad du ska göra om du gör det hitta skadlig programvara på ditt system 10 steg att ta när du upptäcker skadlig programvara på din datorVi skulle vilja tro att Internet är ett säkert ställe att spendera vår tid (hosta), men vi vet alla att det finns risker runt varje hörn. E-post, sociala medier, skadliga webbplatser som har fungerat ... Läs mer .

Med det sagt kan jag räkna med en hand antalet gånger jag har stött på ovanstående problem. JavaScript är en viktig del av den moderna webben. Det har gjort mer bra för oss än dåligt och det är här för att stanna. Intresserad av bli JavaScript-utvecklare Vilket programmeringsspråk att lära sig - webbprogrammeringIdag ska vi ta en titt på de olika webbprogrammeringsspråken som driver Internet. Detta är den fjärde delen i en nybörjars programmeringsserie. I del 1 lärde vi oss det grundläggande för ... Läs mer ? Kom igång med dessa gratis inlärningsresurser Börja koda JavaScript just nu med dessa 5 stora gratis resurser Läs mer .

Har du någonsin stött på några JavaScript-problem? Tränar du säkra vanor för säkerhet och integritet? Berätta om dina erfarenheter i kommentarerna nedan!

Bildkrediter: Facebook-aviseringar via Shutterstock, Att skriva händer via Shutterstock, Sociala Share-knappar via Shutterstock