ブラウザのセキュリティをテストして脆弱性がないか確認する

あなたのブラウザの安全性は正確にどの程度ですか?オンライン閲覧プロファイルからどの程度の情報を抽出できるでしょうか?

あなたが検索したもの、最近購入したもの、または読んだものに関連する広告が表示されるのはなぜですか?

プロフィールを完全に公開する場合のコストはいくらですか?

オンライン プライバシーをより適切に保護するにはどうすればよいでしょうか?

この記事では、これらの質問やその他の質問に答え、オンライン プライバシーをより適切に保護する方法を提供したいと考えています。

私たちが最も頻繁に使用するブラウザーを作成している企業は、Google (Chrome)、Mozilla (Firefox)、Apple (Safari)、Microsoft (Edge)、Opera などであることに注意することが重要です。可能な限りユーザーを保護するよう努めてください。これらの製品を使用する際の個人情報。

したがって、この記事はこれらの取り組みを台無しにすることを目的としたものではなく、ユーザーがこれらのブラウザーや他のブラウザーをさまざまなアクティビティに使用する際に、知識に基づいた選択を行えるようにすることを目的としています。

インターネットは世界への私たちの玄関口であり、情報、貿易、ビジネス、コミュニケーション、その他すべてのニーズや必需品を仮想的にどこにでもアクセスできるようにします。したがって、インターネット上の誰もが正直な意図を持っているわけではないため、現実世界で通常行うのと同じように自分自身を保護する必要があります。

コンピュータにあらゆる種類のコンピュータ マルウェアをブロックするウイルス対策ソフトウェアがインストールされている場合でも、ブラウザが脆弱になる可能性があります。考えられるいくつかの脆弱性を詳しく見てみましょう。

XSS (クロスサイト スクリプティング)

クロスサイト スクリプティングは、コード インジェクション (通常は Javascript コード) として簡単に説明できます。この種の攻撃の目的は、クライアント (主にブラウザー) を介して Web アプリケーションのセキュリティを侵害することです。攻撃者は、この種の攻撃を利用して、一部の Web アプリケーションの脆弱な検証とコンテンツ セキュリティ ポリシー (CSP) の欠如を悪用することを目的としています。

XSS にはさまざまな種類があります。それらが何であり、どのように使用できるかを詳しく見てみましょう。

反射型 XSS

これは、アプリケーションのクライアント側で苦労するために使用される非常に一般的なタイプの XSS です。ここに挿入されたコードはデータベースに永続化されませんが、アプリケーションのクライアント側から応答を引き出すことが期待されます。したがって、「リフレクト」という名前が付けられました。この攻撃は、アプリケーションがユーザー入力を受け取り、何らかの処理を行った後にその入力をデータベースに保存せずに返す場合に成功します。

一般的な例は、メッセージがデータベースに保持されないミニチュア チャット フォーラムです。このような場合、アプリケーションはユーザー入力を受け取り、HTML として出力します。攻撃者は、スクリプト タグに CSS を入力することでアプリのデザインや色を変更するなど、悪意のあるスクリプトをそのチャット フォーラムに入力する可能性があります。

スクリプトは基本的にブラウザ上で実行されるため、アプリケーションの他のユーザーにとって状況はさらに悪化する可能性があり、ブラウザに保存されている自動入力情報を盗むなどの情報盗難につながる可能性があります。多くのユーザーは、名前、住所、クレジット カード情報など、フォームによく入力される情報を保存することを好みますが、この場合、これは悪い考えです。

DOM XSS

DOM – Document Object Model は、Web ページで使用される HTML (または XML) を解釈し、特定の Web ページの論理構造を定義するプログラミング インターフェイスです。このタイプの XSS は、Web ページを構成するマークアップ内の安全でないインライン JavaScript コードを使用して Web アプリケーションを悪用します。ここで使用される XSS は、DOM を直接変更するために使用できます。これは、ユーザーが操作する Web ページのほぼすべての部分を変更するために使用される可能性があり、フィッシングにつながる可能性があります。

保存された XSS

これは、悪意のあるコードがユーザーに反映されるだけでなく、Web アプリケーションがホストされている Web サーバーのデータベースにも永続化 (保存) されるタイプの XSS です。このタイプの XSS は（後で使用するために）保存されるため、複数の被害者を攻撃するために再利用される可能性があるため、さらに危険です。これは、ユーザーによるフォーム送信がデータベースに送信される前に十分に検証されていない場合に発生する可能性があります。

一般に、XSS は任意のタイプを組み合わせることができます。単一の攻撃が反射され、持続する可能性があります。攻撃の実行に使用される手法もさまざまですが、上記のものとの共通点が含まれています。

セキュリティ機能としての Chrome や Edge などの一部の主要なブラウザは、X-XSS-Protection として知られる XSS 攻撃を回避する独自のクライアント セキュリティ プロトコルを開発しました。 Chrome には、XSS 攻撃を検出し、検出された場合にそのような Web ページの読み込みを停止するために 2010 年に導入された XSS Auditor がありました。しかし、これは当初期待されていたよりも役に立たないことが判明し、研究者が結果の矛盾や誤検知のケースに気づいた後、後に削除されました。

XSS 攻撃は、クライアント側から取り組むのが難しい課題です。 Edge ブラウザには XSS フィルターもありましたが、これは後に廃止されました。 MDN (Mozilla Developer Network) Web サイトに記載されている Firefox の場合、

Firefox は X-XSS-Protection 実装していませんし、実装する予定もありません

サードパーティの追跡

オンライン プライバシーを確​​立するもう 1 つの重要な部分は、サードパーティの追跡 Cookie についてよく知ることです。 Cookie は、Web サイトでユーザーを一意に識別し、それに応じてユーザーのブラウジング エクスペリエンスを調整できるようにするために使用されるため、一般に Web 上で優れていると考えられています。電子商取引 Web サイトでは、Cookie を使用してショッピング セッションを維持し、カートに追加した商品も保持します。

このような種類の Cookie は、ファーストパーティ Cookie として知られています。したがって、.com のサイトを閲覧している場合、.com で使用される Cookie はファーストパーティ Cookie (良いもの) です。

また、Web サイトがユーザーに広告を提供するためにファーストパーティ Cookie を別のサイトに提供 (または販売) するセカンドパーティ Cookie のケースもいくつかあります。この場合、Cookie はセカンドパーティのものとみなされる可能性があります。サードパーティ Cookie は、クロスサイト トラッキングやリターゲティング広告に使用される大規模な広告主導型 Cookie です。

これらは、ユーザーに関する情報や、ユーザーが訪問する Web サイト、検索、ユーザーが使用する ISP (インターネット サービス プロバイダー)、ラップトップの仕様などのあらゆる種類のデータ プロファイルを取得するために、ユーザーの知識や同意なしにユーザーのブラウザに置かれる Cookie です。この情報は、ターゲットを絞った広告に使用できるように、ユーザーに関するインターネット データ プロファイルを形成するために使用されます。この種の情報を盗む攻撃者は通常、これを一種のデータマイニングとして実行し、このデータを大規模な広告ネットワークに販売する可能性があります。

Firefox は 2019 年 9 月に、デスクトップとモバイル ブラウザーの両方でサードパーティの追跡 Cookie をデフォルトでブロックすると発表しました。チームはこれを強化された追跡保護と呼び、ブラウザのアドレス バーに盾のアイコンで示されます。

Apple デバイスの Safari ブラウザは、サードパーティ Cookie が Web 上のユーザーを追跡することもブロックします。

Chrome では、サードパーティの追跡 Cookie はデフォルトではブロックされません。この機能を有効にするには、ブラウザ ウィンドウの右上隅にある 3 つの縦の点をクリックしてドロップダウンを表示し、左側の設定タブで [ click settings 、 click privacy and security 、 click site settings 。次に click cookies and site data 、 Block third-party cookies オプションを切り替えます。

クリプトマイナー

インターネット上の一部の Web サイトには、Web サイトの所有者またはサードパーティによる暗号マイニング スクリプトが含まれています。これらのスクリプトにより、攻撃者は被害者のコンピューティング リソースを利用して暗号通貨をマイニングすることができます。

ただし、一部の Web サイト所有者は、通常、無料サービスを提供するときに資金調達の手段としてこれを行い、提供するサービスに対して支払う対価はわずかであると主張します。これらの一連の Web サイトは通常、サービスの使用にかかるコストをユーザーに知らせるメッセージを残します。ただし、他の多くの Web サイトでは、ユーザーに通知せずにこれを行っています。これは、PC リソースの深刻な使用につながる可能性があります。したがって、これらのものをブロックすることが重要です。

一部のブラウザには、Web とモバイルの両方でクリプトマイナーをブロックする設定がある Firefox など、そのようなスクリプトをブロックするユーティリティが組み込まれています。同じくオペラ。 Chrome と Safari の場合、同じことを実現するには、ブラウザに拡張機能をインストールする必要があります。

ブラウザのフィンガープリンティング

ウィキペディア で定義されているように、

デバイス フィンガープリント または マシン フィンガープリント は、識別を目的として、リモート コンピューティング デバイスのソフトウェアおよびハードウェアに関して収集される情報です。

ブラウザ フィンガープリントは、ユーザーのブラウザを介して収集されるフィンガープリント情報です。実際、ユーザーのブラウザは、使用されているデバイスに関する多くの情報を提供できます。ここでは、HTML5 `<canvas>` タグがフィンガープリントに使用されることが知られている場合でも、さまざまなエクスプロイトが使用されています。デバイスのメモリ サイズ、デバイスのバッテリ寿命、CPU スペックなどのデバイスの仕様などの情報。指紋情報によって、ユーザーの実際の IP アドレスや地理的位置情報が明らかになることもあります。

一部のユーザーはブラウザでシークレット モードを使用すると指紋から保護されると信じがちですが、実際はそうではありません。プライベート モードまたはシークレット モードは、真のプライベート モードではありません。 Cookie や閲覧履歴がブラウザ上にローカルに保存されないだけです。ただし、この情報はアクセスした Web サイトに引き続き保存されます。したがって、そのようなデバイスでもフィンガープリンティングが可能です。

Web RTC リーク

Web RTC (リアルタイム通信)。 Web RTC は、Web 上のリアルタイム通信のブレークスルーとして登場しました。 Web RTC Web サイト によると。

WebRTC を使用すると、オープン スタンダード上で動作するアプリケーションにリアルタイム通信機能を追加できます。ビデオ、音声、およびピア間で送信される汎用データをサポートしているため、開発者は強力な音声およびビデオ通信ソリューションを構築できます。

興味深いことに、2015 年に GitHub ユーザー (「diafygi」) が Web RTC の脆弱性を初めて公開しました。これにより、ローカル IP アドレス、パブリック IP アドレス、デバイスのメディア機能 (たとえば、マイク、カメラなど）。

彼は、その情報を漏らすためにブラウザにいわゆる STUN リクエストを送信することでこれを行うことができました。彼は自分の調査結果をここで公開しました -> https://github.com/diafygi/webrtc-ips 。

それ以来、ブラウザはこれを防ぐためにより優れたセキュリティ機能を実装してきました。ただし、このエクスプロイトも長年にわたって改良されてきました。この悪用は今日まで残っています。簡単なセキュリティ監査を実行することで、ユーザーは Web RTC 情報漏洩からどの程度の情報が得られるかを確認できます。

Chrome では、RTC リーク保護を提供するためにいくつかの拡張機能をインストールできます。アドオンを使用したFirefoxでも同様です。 Safari には Web RTC を無効にするオプションがあります。ただし、これはブラウザ上での一部のリアルタイム チャット Web アプリの使用に影響を与える可能性があります。

プロキシ経由での閲覧

無料の Web プロキシは、Web トラフィックを「匿名」サーバー上でバウンスすることでプライバシーを向上させるのに役立つようです。一部のセキュリティ専門家は、これによってどの程度のプライバシーが提供されるかについて懸念を抱いています。プロキシは、オープンなインターネットからユーザーを保護しますが、インターネット トラフィックが通過するサーバーからは保護しません。したがって、ユーザー データを収集するために構築された悪意のある「無料」Web プロキシを使用すると、大惨事を招く可能性があります。代わりに、プレミアム プロキシを使用してください。

ブラウザのセキュリティをテストするにはどうすればよいですか?

ブラウザ テストでは、攻撃者がブラウザを介してどれだけの情報を引き出すことができるか、また保護を維持するには何をする必要があるかについて洞察を得ることができます。

Qualys ブラウザチェック

Qualys の BrowserCheck は、 ブラウザ上でトラッカー Cookie と既知の脆弱性を簡単にチェックします。

Cloudflare ESNI チェッカー

Cloudflareは、 ブラウザのDNSおよびTLSスタックの脆弱性を簡単にチェックします。

プライバシーアナライザー

Privacy Analyzer は、 指紋分析など、あらゆる種類のプライバシーの抜け穴がないかブラウザをスキャンします。

パノプティッククリック

Panopticlick は、 サードパーティの追跡 Cookie をテストすることを提案しており、さらなる追跡をブロックするための Chrome 拡張機能も提供しています。

ウェブケイ

Webkay は、 ブラウザーがすぐに提供する情報を簡単に表示します。

SSL/TLS の互換性

ブラウザが TLS の脆弱性に対して脆弱かどうかを 確認してください 。

私のSSLはどうですか？

ブラウザ上の総合的な SSL レベル チェック 。 TLS 圧縮、暗号スイート、セッション チケットのサポートなどをテストします。

アムアイユニーク

あなたは？

AmIUnique は、 ブラウザの指紋が世界中で以前に収集された指紋に含まれているかどうかを確認します。

ブラウザを強化するにはどうすればよいですか?

プライバシーとセキュリティに対してより積極的に取り組む必要があるため、ブラウザで利用可能なセキュリティ設定を確認する必要があります。すべてのブラウザにはプライバシーとセキュリティの設定があり、Web サイトにどのような情報を提供できるかをユーザーが制御できます。ここでは、ブラウザでどのようなプライバシー設定を設定するかについてのガイダンスをいくつか示します。

• Web サイトに「追跡しない」リクエストを送信する
• すべてのサードパーティ Cookie をブロックする
• ActiveX とフラッシュを無効にする
• 不要なプラグインと拡張機能をすべて削除します
• プライバシー拡張機能またはアドオンをインストールします。

モバイルまたはデスクトップでプライバシーを重視したブラウザを使用します。

また、トラッカー、スキャナー、あらゆる種類の情報ロガーからインターネット上での可視性を提供するプレミアム VPN の使用を検討することもできます。インターネット上で真のプライバシーを保つには、VPN を使用します。ただし、「無料」VPN サービスには、無料プロキシで上で説明したのと同様の問題があり、トラフィックがどの Web サーバーを経由しているかがわかりません。したがって、より優れたセキュリティを提供する、信頼できる VPN サービスが必要になります。