أمن المتصفحات

نشره Fahad في

مقدمة
متصفح الانترنت هو برنامج يقوم "بتصفح" مواقع الانترنت و إظهار محتويات صفحاتها وفق المعايير القياسية الموجودة .تتميز المحتويات المعروضة بكثرتها و تعددها (vbScript,pdf,plash,mathml,SMIL,mpeg… و العديد)

في غالب الأحيان يجب الاستعانة بـإضافات Plugins للتمكن من إظهار هذه المحتويات و التي قد تضيف بعضا من نقاط ضعفها إلى مجموع نقاط ضعف المتصفح

ضرورة و سهولة استعمال المتصفحات و انتشارها الواسع على العديد من الأجهزة (PC PDA و أجهزة الهاتف) جعلها وجهة مفضلة للـ hackers و الأشخاص الذين يريدون إلحاق الأذى بالمستعملين

أنواع التهديدات:

قد يشكل المتصفح للمستخدم إحدى صور التهديدات التالية:
تحليل تصرفات و نمط المستخدم و استعمال ذلك لأغراض تجارية
سرقة المعلومات و الملفات
إيهام المستخدم بأنه يستعمل مواقع موثوق فيها Phishing
توقف جهاز المستخدم بسبب علة في المتصفح


أقسام المتصفح
يتكون المتصفح من عدة أجزاء تقوم بوظائف معينة أهمها
مفسر الـ URL
مفسر HTML
مفسر لغات السكربت مثل الـ javaScript و الـ VBScript
بيئة تشغيل للبرامج Applet Java, ActiveX, plug-ins
شريط الأدوات

*مفسر لغة HTML

يقوم مفسر كود الـ HTML/CSS ببناء الصفحة وفقا لأوامر العرض و التنسيق الموجودة في ملف HTML و العناصر المرفقة معها (frame أو صور ...)

الاستقرار الذي تتمتع به المعايير HTML, XHTML, WAP, CSS يمنع وجود أية أخطاء و ثغرات أمنية ناتجة عنها .بل الخطأ الوحيد الذي يمكن ملاحظته هو الخطأ الناتج عن تفسير خاطئ لبعض الأوامر الخاص بطريقة العرض فقط.

*مفسر لغات السكربت

يمكن هذا المفسر بتشغيل برامج صغيرة على جهاز المستخدم تسمح بإضافة بعض الديناميكية و التفاعل على صفحات الويب المكتوبة بالـ html فقط

أشهر لغات السكربت المستعملة و أكثرها انتشارا هي JavaScript و التي تتميز بكونها مفهومة من طرف أغلب المتصفحات IE, Firefox, Mozilla, Opera, Safari… عكس الـ VBScript الخاص بالـ Internet Explorer
استعمال هذه اللغات تزيد من مستوى تعقيد المتصفحات مما يخلق بيئة ملائمة لظهور كم لا بأس به من الـعلل
إضافة إلى إمكانية تنفيذ أوامر غير المسموح بها باستغلال بعض ثغرات المتصفح المتعددة كالولوج إلى الأقراص مما قد يسبب في سرقة و ضياع البيانات و الملفات.

بدون أن ننسى إمكانية توقف النظام كلية بسبب خطأ في كتابة سكربت معين أو الدخول السكربت في حلقة تكرارية لا متناهية

كود

 

<script langage="javascript">

<!--

var i = 0;

while(i < 10) {

document.white('toto<BR>');

// نسيان إضافة 1 في كل مرة

}

-->

</script>

 

 


*مفسر الـ URL

الـ url عبارة عن مسار للوصول إلى مصدر من مصادر المعلومة على شبكة الانترنت

مثال:


http://cyberzoide.developpez.com/graphviz/article/index.php?param=valeur&id=50#LIII

ينقسم الـ url إلى عدة أقسام:

البروتوكول المستعمل (http,ftp…)
الخادمServer (الـ domain أو IP )
مسار الملف
اسم الملف
الـ parameters
الجزء من الصفحة المحدد بـ #
و معلومات أخرى (اسم المستخدم كلمة المرور الـ port المستعمل ...)

توجد حيلتان قد يستعملهما الـHacker لإلحاق الضرر بـالمستخدم:

- استعمال URL خاطئ يحتوي على اسم موقع يثق فيه المستخدم
- استغلال خطأ لدى تفسير الـ url لتحويل المتصفح إلى صفحة أخرى


*الـ url الخاطئ phishing

مثلا قد يألف المستخدم استعمال موقع بنكه الخاص وليكن مثلا

http://www.mabanquedeconfiance.fr

قد يستعمل الـ Hacker أسماء مشابهة مثل

  • http://www.mabanquedeconfiance.fr.banquefalsifiee.com/

  • http://www.mabanquedeconfiance.fr:id=5454@www.banquefalsifiee.com/

  • http://www.mabanquedeconfiance.fr%00@214.15.29.172

  • http://www.mabank-de-confiance.com

حيث أن الظاهر في العنوان هو عنوان البنك المعتاد لكن هو غير ذلك

وما يزيد الطين بلة هو استخدام نفس تصميم صفحات البنك الأصلي لإيهام المستخدم و لجعله يقوم بكتابة معلوماته الشخصية مما قد يسبب له فقدان أمواله.
و الحل الأمثل لمثل هذه الحالات هو تجنب اتباع الروابط المرسلة عن طريق البريد الالكتروني و استعمال عنوان الموقع المسلم لك على هيئة روقة مطبوعة لدى تسجيلك في البنك .

*أخطاء تفسير الـ URL
قد يتسبب الـ URL الطويلة أو التي تحتوي على رموز خاصة خطأ لدى تفسير العنوان مما قد يسبب أخطاء في طريقة العرض أو قد يتم استغلال ذلك لتحويل مسار المتصفح إلى عنوان آخر


*الـ Plugins
الـ Plugins عبارة عن برامج صغيرة تضاف إلى المتصفحات قصد إثرائها و تمكينها من وظائف إضافية مثل فتح أنواع أخرى من الملفات أو تشغيل نوع جيد من ملفات الفيديو أو ملفات الصوت

يمكن إضافة هذه البرامج إما إلى المتصفح مباشرة أو إلى نظام التشغيل

- هناك عدة أنواع من الـ plugins

Java applets
عبارة عن برامج جافا منشورة على الويب تشغل في بيئة خاصة بذلك تسمى (Java Virtuel Machine) JVM
توفر هذه الـ JVM نظاما لا يمكن استغلاله للوصول إلى محتويات الأقراص أو الوصول إلى معلومات شخصية لهذا فإن لا يمكن أبدا استعمالها من طرق مصممي المواقع للضرر بالمستخدمين
كما أنه من بين أسباب أمن الـ Java applets امتلاكها إلى توقيع الكتروني يحدد هوية الناشر مما يترك الخيار للمستخدم حيال استخدام أو عدم استخدام البرنامج.

ActiveX

تعتبر الـ ActiveX أيضا برامج مستقلة يتم تشغيلها في جهاز المستخدم .
عكس JVM لا توجد موانع أو حدود للموارد التي يمكن للـ ActiveX الوصول إليها
يطلب المتصفح عادة من المستخدم إن كان يريد استعمال الـ Activex (في حال ما إذا "ظنه" آمنا") لكن هذه الخطوة لا تجد نفعا مع المستخدمين المبتدئين.
يملك الـ ActiveX أيضا توقيعا الكترونيا يحدد هيئة الناشر


قارئ متعدد الوسائط Multimédia

يستطيع المتصفح قراءة محتوى العديد من أنواع الملفات : بداية بـصفحات HTML و أوراق التنسيق CSS
و صفحات الـ WAP مرورا بالعديد من أنواع الصور مثل GIF JPEG PNG وصولا إلى ملفات الصوت WAV و MID
لكن الويب يحتوي على العديد من أنواع الملفات التي يعجز المتصفح عن قراءتها فتجده يستعين ببرامج متخصصة في كل نوع من الملفات

 

 

الاسم

النوع

الامتداد

القارئ القياسي

Pdf

أغلب الكتب الالكترونية تكون في هذا النوع من الملفات

Pdf

Adobe Reader

Flash

ملف تحريكي

swf

Adobe Flash Player

SMIL

عرض ملتميدي

smil

RealOne, QuickTime

MPEG-4

ملف فيديو

mpeg

RealPlayer

MOV

ملف فيديو

Mov

QuickTime

MathML

صيغ رياضية

Mml

MathPlayer

VRML

3D animation

Wrl

Cosmo

 




الـ Tools Bars
تتوفر في أغلب متصفحاتها ToolBars مختلفة تقوم بمهام مختلفة لكن نجهل مصدر أغلبها طريق استعمالها
و بما أن الـ toolbar يشتغل منذ اللحظة الأول لتشغيل المتصفح فإنه بإمكانه و بكل سهولة معرفة جميع المواقع التي تقوم بزيارتها و الكلمات التي تبحث عنها فضلا عن معرفة الرسائل المرسلة و الـ Password المستعملة
مما يعني أن الـ toolsBars مصدر من مصادر تسرب المعلومات و بالتالي يمكن اعتبارها ثغرة أمنية

*خاتمة:

- قبل تنصيب أي برنامج و قبل تشغيل أي سكربت يجب التحقق من مصدرها .إن لم يكن مصدرها معروفا فمن الأفضل تجنبها
- يستحسن الدخول إلى المواقع التي تحتاج إلى اسم مستخدم و Password عن طريق كتابة اسم الموقع في الـadress bar وتجنب الروابط الموجودة في صفحات ويب أو مرسلة عبر البريد الالكتروني

- يمكنك تجنب استغلال الـ bugs الموجودة في المتصفح من طرف الـ Hacker بقراءة مقالات متخصصة تشرح أهم هذه الـ bugs و كيفية تجنبها


- تذكر دائما أن الحلقة الأضعف في سلسلة حماية المستخدم هو المستخدم نفسه
- احرص على تحديث متصفحك .إن كان متصفحك يدعم التحديث التلقائي فذلك أحسن
- استعمل المتصفحات المعروفة حسب نظام تشغيلك
Windows : Internet Explorer, Mozilla, Firefox, Opera
Linux : Mozilla, Firefox, Konqueror
Mac OS : Safari, Camino

 

هذا المقال ترجمة لـ  La sécurité du navigateur web قام بها الفاضل djug

 

Comments