JavaScript a 3 modi può violare la tua privacy e sicurezza
Probabilmente hai sentito che JavaScript è pericoloso. Bene, questo è in parte corretto. JavaScript può essere pericoloso se non vengono prese le opportune precauzioni. Può essere usato per visualizzare o rubare dati personali senza che tu te ne accorga. E dal momento che JavaScript è così onnipresente sul web, siamo tutti vulnerabili.
Tutto dipende dal modo in cui JavaScript funziona effettivamente Che cos'è JavaScript e come funziona? [Tecnologia spiegata] Che cos'è JavaScript e come funziona? [La tecnologia ha spiegato] Ulteriori informazioni. JavaScript è una buona cosa per la maggior parte, ma sembra essere così flessibile e così potente che tenerlo sotto controllo può essere difficile. Ecco cosa devi sapere.
I vantaggi di JavaScript
Per prima cosa, JavaScript è un buona cosa. Secondo W3Techs, circa l'88,1% di tutti i siti Web utilizza JavaScript in un modo o nell'altro. La maggior parte dei siti di grandi nomi, come Amazon e YouTube, non sarebbe neanche lontanamente utile se Internet fosse una zona priva di JavaScript.
Ad esempio, JQuery Making The Web Interactive: un'introduzione a jQuery Creazione di Web Interactive: un'introduzione a jQuery jQuery è una libreria di scripting lato client utilizzata da quasi tutti i siti Web moderni, che rende i siti Web interattivi. Non è l'unica libreria Javascript, ma è la più sviluppata, più supportata e più utilizzata ... Read More è una libreria JavaScript popolare che semplifica la creazione di siti Web interattivi con elementi che possono cambiare senza dover ricaricare l'intera pagina. Siti come Facebook e Twitter si affidano a tecnologie come AJAX jQuery Tutorial (Parte 5): AJAX Them All! jQuery Tutorial (parte 5): AJAX tutti! Mentre siamo vicini alla fine della nostra serie di mini-tutorial di jQuery, è giunto il momento di dare un'occhiata più approfondita a una delle funzionalità più utilizzate di jQuery. AJAX consente a un sito Web di comunicare con ... Ulteriori informazioni per mantenere aggiornate le pagine Web (ad esempio timestamp, numero di Mi piace, ecc.) Senza aggiornare la pagina ogni secondo.
Ma come vedremo presto, JavaScript non è perfetto. Può essere abusato e l'abuso porta a scenari che rendono possibile indagare sulla tua attività su Internet e violare la tua privacy.
Un consiglio comune ma errato consiste nel disabilitare completamente JavaScript, ma non lo consigliamo. Perderebbe su un sacco di funzionalità web fantastiche, come la “scorrimento infinito” funzionalità che esiste su molti blog, social network e siti di notizie.
Ma ancora di più, alcuni exploit del browser sono ancora possibili anche se si disabilita JavaScript. Pertanto, disabilitare JavaScript a causa di problemi di sicurezza è come indossare una tuta imbottita ogni volta che esci perché hai paura di farti male. In realtà non ti proteggerà da molto, ma renderà la tua vita miserabile.
Snooping Le parole che scrivi
A luglio 2012, una coppia di ricercatori ha raccolto dati da 5 milioni di utenti di Facebook in America e nel Regno Unito. Cosa stavano cercando? Autocensura. Più in particolare, volevano sapere con quale frequenza gli utenti avrebbero iniziato a scrivere un post, ma alla fine lo avrebbero eliminato prima che fosse effettivamente pubblicato.
Lo hanno fatto incorporando un po 'di JavaScript che monitorava le caselle di testo in cui gli utenti potevano fare aggiornamenti di stato, scrivere commenti sui muri, ecc. I ricercatori hanno chiarito che registravano solo “la presenza o l'assenza di testo inserito” piuttosto che “battute o contenuto,” ma l'implicazione è chiara.
Era possibile per tenere traccia di battute e contenuto. Hanno solo scelto di non farlo.
La nozione è spaventosa. Un semplice frammento di JavaScript incorporato è tutto ciò che è necessario per registrare qualsiasi tipo di attività su una pagina Web, anche se in realtà non lo fai Sottoscrivi nulla! Scorrimento del web, movimenti del mouse, sequenze di tasti: tutto può essere tracciato e registrato contro la tua volontà o conoscenza.
Tracciamento delle abitudini di navigazione
Le funzionalità di tracciamento di JavaScript non si fermano solo alle caselle di testo. Attraverso la magia dei cookie del browser Che cos'è un cookie e che cosa ha a che fare con la mia privacy? [MakeUseOf Explains] Cos'è un cookie e cosa ha a che fare con la mia privacy? [MakeUseOf Explains] La maggior parte delle persone sa che ci sono biscotti sparsi su Internet, pronti e disposti a essere mangiati da chiunque li trovi prima. Aspetta cosa? Non può essere giusto. Sì, ci sono i cookie ... Per saperne di più, le aziende possono memorizzare tutti i tipi di informazioni specifiche dell'utente: tipo di browser, preferenze, posizione, ecc. L'affermazione è che questo tipo di tracciamento è fatto per offrire un'esperienza utente migliore (ad esempio annunci pertinenti) , ma sembra ancora una violazione.
I cookie sono persistenti, nel senso che continuano ad esistere anche dopo aver lasciato la pagina Web o chiuso il browser (a meno che non scada o vengano eliminati manualmente). Vedi il problema crescente? Se un cookie persiste dalla pagina web alla pagina web, è possibile che un'azienda veda quali siti web visitare.
Questo è meglio spiegato con un esempio: pulsanti di condivisione social. Prendi in considerazione il pulsante Mi Piace di Facebook, che utilizza JavaScript per eseguire la sua azione. Quando il browser carica la pagina, deve caricare il pulsante. Caricare il pulsante significa fare una richiesta a Facebook per il file JavaScript necessario. Tale richiesta include dati come il tuo indirizzo IP, la pagina web attiva, eventuali cookie di Facebook sul tuo sistema, ecc.
Per essere chiari, non è necessario clic il pulsante per tracciarti. L'atto di Caricamento in corso è sufficiente per questi widget di condivisione per raccogliere dati su di te.
Detto questo, i pulsanti di condivisione sociale sono solo uno dei tanti modi in cui le aziende possono tracciare le tue abitudini di navigazione 4 Attività online apparentemente innocenti che seguono il tuo comportamento 4 Attività online apparentemente innocenti che seguono il tuo comportamento Ulteriori informazioni. Altri esempi includono profili di appuntamenti online, commenti di Disqus e siti web che utilizzano i font web gratuiti di Google Come utilizzare i font di Google nel tuo prossimo progetto Web e perché utilizzare i font di Google nel tuo prossimo progetto Web e perché scegliere la scelta dei caratteri è un decisione di progettazione integrale su qualsiasi sito Web, tuttavia la maggior parte delle volte ci accontentiamo della stessa vecchia famiglia serif e sans-serif. Mentre il corpo principale del testo dovrebbe sempre essere qualcosa ... Per saperne di più .
Iniezione di codice dannoso
Uno degli usi più insidiosi di JavaScript si presenta sotto forma di cross-site scripting (XSS). In poche parole, XSS è una vulnerabilità che consente agli hacker di incorporare codice JavaScript dannoso in un sito Web altrimenti legittimo, che viene infine eseguito nel browser di un utente che visita il sito.
Se ciò accade su un sito Web che gestisce informazioni utente sensibili, come i dati finanziari, il codice dannoso potrebbe potenzialmente spiare e rubare tali informazioni. Fatto un passo avanti, XSS può essere usato per proliferare virus e malware, che è ciò che è accaduto quando Twitter è stato infettato dal worm StalkDaily What's Cross-Site Scripting (XSS), e perché è una minaccia alla sicurezza Che cosa è Cross-Site Scripting (XSS) E Perché è una minaccia alla sicurezza Le vulnerabilità di scripting cross-site sono il più grande problema di sicurezza del sito web oggi. Gli studi hanno scoperto che sono sorprendentemente comuni - il 55% dei siti web conteneva vulnerabilità XSS nel 2011, secondo l'ultimo rapporto di White Hat Security, pubblicato a giugno ... Continua a leggere .
XSS può anche essere usato per qualcosa chiamato avvelenamento da Search Engine. Avvelenamento da Search Engine e come diffonde malware [MakeUseOf Explains] Che cos'è avvelenamento da Search Engine e come diffonde malware [MakeUseOf Explains] Se pensavate che i popup del malware e lo spam inesploso fossero il Peggio di tutto, ripensateci. C'è un nuovo concorrente sul palco e sta diffondendo malware come burro nel caldo del deserto. Si chiama motore di ricerca ... Per saperne di più. Per farla breve, i produttori di malware possono utilizzare JavaScript per infettare i siti Web con classifiche dei risultati di ricerca elevati in modo tale che gli utenti che provano a visitare tali siti vengano reindirizzati a siti Web infettati da malware.
E poi c'è qualcosa chiamato falsificazione di richieste tra siti (CSRF), che è l'inverso di un XSS. Questo tipo di codice JavaScript dannoso può sfruttare il browser, i cookie e le autorizzazioni di sicurezza di un utente per eseguire azioni su un sito Web separato.
Cosa puoi fare per proteggere dagli attacchi basati su JavaScript?
In definitiva, la responsabilità spetta agli sviluppatori web per assicurarsi che i loro siti web siano puliti e sicuri. Come utente finale, dovresti sempre tenere aggiornato il tuo browser e controllare regolarmente la presenza di malware Rimani protetto da ogni tipo di malware Con Avast Free Antivirus Proteggi da ogni tipo di malware Con Avast Free Antivirus La protezione completa dal malware non ha bisogno costare una fortuna. Molti programmi antivirus gratuiti affidabili sono ugualmente efficaci quanto quelli a pagamento e avast! Free Antivirus sta con i migliori programmi antivirus di Windows. Leggi di più .
Ecco cosa fare nel caso in cui trovi malware sul tuo sistema 10 passi da fare quando scopri il malware sul tuo computer 10 passi da fare quando scopri il malware sul tuo computer Ci piacerebbe pensare che Internet sia un posto sicuro dove trascorrere il nostro tempo (tosse), ma sappiamo tutti che ci sono rischi dietro ogni angolo. Email, social media, siti Web dannosi che hanno funzionato ... Leggi di più .
Detto questo, posso contare su un lato il numero di volte in cui ho incontrato i problemi di cui sopra. JavaScript è una parte importante del web moderno. Ha fatto più bene a noi che male ed è qui per restare. Interessato a diventare uno sviluppatore JavaScript Che linguaggio di programmazione da imparare - Programmazione Web Quale linguaggio di programmazione da imparare - Programmazione Web Oggi daremo un'occhiata ai vari linguaggi di programmazione Web che alimentano Internet. Questa è la quarta parte in una serie di programmazione per principianti. Nella parte 1, abbiamo imparato le basi di ... Per saperne di più? Inizia con queste risorse di apprendimento gratuito Inizia la codifica di JavaScript in questo momento con queste 5 fantastiche risorse gratuite Avvia la codifica di JavaScript in questo momento con queste 5 fantastiche risorse gratuite Ulteriori informazioni .
Hai mai avuto problemi con JavaScript? Stai praticando abitudini sicure per la sicurezza e la privacy? Parlaci delle tue esperienze nei commenti qui sotto!
Crediti immagine: notifiche di Facebook tramite Shutterstock, digitazione di mani tramite Shutterstock, pulsanti di condivisione sociale tramite Shutterstock
Scopri di più su: JavaScript, Sicurezza online.