Geekflare
In Privacidad y Seguridad  |  Última actualizaciónated:
Comparte en:
Cloudways ofrece alojamiento en la nube administrado para empresas de cualquier tamaño para alojar un sitio web o aplicaciones web complejas.

Pon a prueba tu Browser Seguridad para vulnerabilidades

By
browsseguridad

¿Qué tan seguro es exactamente tu b?rows¿eh? ¿Cuánta información puede ser? extracted desde su b en línearowsIng. profiel?

¿Por qué parece que ves anuncios? relate¿Recuerdas cosas que has buscado, comprado recientemente o sobre las que has leído?

¿Cuál es el costo de tener tu profi¿Le queda completamente expuesto?

¿Cómo puede proteger mejor su privacidad en línea?

Estas y más preguntas son las que este artículo espera ayudarlo a responder y brindarle formas en las que puede proteger mejor su privacidad en línea.

Es importante tener en cuenta que las empresas que fabrican browsusuarios que utilizamos con mayor frecuencia, como Google (Chrome), Mozilla (Firefox), Apple (Safari), Microsoft (Edge), Opera, etc. Intente en la medida de lo posible proteger a los usuarios y su información personal al utilizar estos productos.

Por lo tanto, este artículo no pretende socavar esos efforts, pero para ayudarte, el usuario hace educated opciones al usar estas y otras browsers para diversas actividades.

Internet es nuestro gatecamino al mundo, para ayudarnos a llegar a cualquier lugar virtually para información, comercio, negocios, comunicación y todas las demás necesidades y necesidades. De ahí la necesidad de protegernos como lo haríamos normalmente en el mundo real, ya que no todos en Internet tienen intenciones honestas.

Internet

Mientras puedas tener antivirus en su computadora, que bloquean todo tipo de malware informático, tu browsTambién puede ser vulnerable. Profundicemos en algunas posibles vulnerabilidades.

XSS (secuencia de comandos entre sitios)

Las secuencias de comandos entre sitios se pueden describir simplemente como código de inyección (usually, código Javascript). El objetivo de este tipo de ataque es comprometer la seguridad de una aplicación web a través del cliente (principalmente a través de browsers). Los atacantes pretenden utilizar este tipo de ataque para explotar validaciones débiles y la falta de una política de seguridad de contenido (CSP) en algunas aplicaciones web.

Hay diferentes tipos de XSS; echemos un vistazo más de cerca a qué son y cómo se pueden utilizar.

XSS reflejado

Este es un tipo muy común de XSS que se utiliza para trabajar con el lado cliente de una aplicación. El código inyectado aquí no persiste en la base de datos, pero se espera que obtenga una respuesta del lado del cliente de la aplicación. De ahí el nombre "reflejado". Este ataque funciona con éxito en un caso en el que la aplicación toma la entrada del usuario y la devuelve después de algunos processing sin guardarlo en la base de datos.

Un ejemplo común es un foro de chat en miniatura, donde los mensajes no se conservan en la base de datos. En tales casos, la aplicación toma las entradas del usuario y las envía como HTML. Un atacante podría ingresar una secuencia de comandos maliciosa en ese foro de chat, como cambiar el diseño o los colores de la aplicación ingresando algo de CSS en las etiquetas de la secuencia de comandos.

Podría empeorar para otros usuarios de la aplicación porque el script será esencial.ally ser ejecutado en su browsers, lo que podría conducir al robo de información, como stealguardar su información de autocompletar en la browsejem. Muchos usuarios prefieren guardar información que se escribe comúnmente en formularios, como nombres, direcciones e información de tarjetas de crédito, lo que en este caso es una mala idea.

DOM XSS

DOM - Document Object Model, es la interfaz de programación que interpreta el HTML (o XML) utilizado en las páginas web y, por lo tanto, define la estructura lógica de esa página web en particular. Este tipo de XSS explota aplicaciones web con código javascript inseguro en línea en el marcado que forma la página web. XSS utilizado aquí se puede utilizar para modificar directamente el DOM. Esto podría usarse para alterar casi cualquier parte de la página web con la que interactúa el usuario, lo que podría provocar suplantación de identidad (phishing).

XSS almacenado

Este es un tipo de XSS en el que el código malicioso no solo se refleja en el usuario sino que también persiste (almacena) en la base de datos del servidor web en el que está alojada la aplicación web. Este tipo de XSS es aún más peligroso porque puede reutilizarse para atacar a múltiples víctimas porque está almacenado (por ejemplo). later usar). Este puede ser el caso cuando los envíos de formularios por parte de los usuarios no son válidos.ated antes de ser enviado a la base de datos.

eneroally, XSS podría ser de cualquier tipo en combinación; un solo ataque podría reflejarse y persistir. Las técnicas empleadas para ejecutar el ataque también pueden variar, pero tienen puntos en común con las mencionadas anteriormente.

Algunas b importantesrowsLos usuarios, como Chrome y Edge como característica de seguridad, desarrollaron sus propios protocolos de seguridad de cliente para evitar ataques XSS conocidos como Protección X-XSS. Chrome tenía XSS Auditor, que se introdujo en 2010 para detectar ataques XSS y evitar que dichas páginas web se carguen cuando se detectan. Sin embargo, se encontró que esto era menos útil que el inicio.ally esperaba y fue later se eliminó después de que los investigadores notaron inconsistencias en sus resultados y casos de obtención de falsos positivos.

Los ataques XSS son un desafío difícil de abordar desde el lado del cliente. El borde browsTambién tenía el filtro XSS, que era later jubilado. Para Firefox como MDN (MozEl sitio web de illa Developer Network) lo tiene,

Firefox no lo ha implementado y no lo implementará X-XSS-Protection

Third-Seguimiento de fiestas

Otra parte importante para establecer su privacidad en línea es ser inteligente sobre third-cookies de seguimiento de fiestas. Las cookies son genéricas.ally Se consideran buenos en la web, ya que los sitios web los utilizan para identificar de forma única a los usuarios y poder personalizar la b del usuario.rowsexperiencia en consecuencia. Tal es el caso de los sitios web de comercio electrónico donde utilizan cookies para mantener su sesión de compras y también conservar los artículos que ha agregado al carrito.

Este tipo de cookies se conocen como cookies de origen. Entonces cuando eres browsing sitios en geekflare.com, cookies utilizadas por geekflare.com son cookies propias (las buenas).

También hay algunos casos de cookies de segunda parte, en los que los sitios web ofrecen (o venden) sus cookies de primera parte a otro sitio para mostrar anuncios al usuario. En este caso, las cookies podrían considerarse como de segunda parte. ThirdLas cookies de terceros son cookies de gran tamaño basadas en anuncios que se utilizan para el seguimiento entre sitios y publicidad reorientada.

Estas son cookies colocadas en la b de los usuarios.rowsers sin conocimiento o consentimiento del usuario para obtener información sobre el usuario y todo tipo de datos profiarchivos, como los sitios web que el usuario visita, busca, el ISP (proveedor de servicios de Internet) que utiliza el usuario, las especificaciones de la computadora portátil, la potencia de la batería, etc. Esta información se utiliza para formar una base de datos de Internet. profiarchivo alrededor del usuario, de modo que pueda usarse para anuncios dirigidos. Atacantes que steal este tipo de información sueleally hacer esto un tipo de la minería de datos y puede vender estos datos a grandes redes publicitarias.

Firefox, en septiembre de 2019, anunció que bloquearía third-cookies de seguimiento de partes de forma predeterminada tanto en el escritorio como en el dispositivo móvil browsejem. El equipo se refirió a esto como protección de seguimiento mejorada, lo cual es indicativoated en la barra de direcciones de la browser con un icono de escudo.

Screen-Shot-2019-09-03-at-13.51.17-600x74-1

El Safari browser en dispositivos Apple también bloquea third-Las cookies de terceros rastrean a sus usuarios en la web.

En Chrome, el thirdLas cookies de seguimiento de terceros no están bloqueadas de forma predeterminada. Para habilitar esta función, haga clic en los tres puntos verticales en la esquina superior derecha de la browser window a revHaga un menú desplegable, luego click settings, en la pestaña de configuración, a la izquierda, click privacy and security, entonces click site settings, entonces click cookies and site data, entonces toggle la opción que dice Block third-party cookies.

cookies de bloqueo

Cryptominers

Algunos sitios web en Internet contienen scripts de minería de criptomonedas, ya sea por el propietario del sitio web o por un third-fiesta. Estos scripts permiten al atacante utilizar los recursos informáticos de la víctima para extraer criptomonedas.

billetera criptográfica

Aunque algunos propietarios de sitios web hacen esto como una forma de financiar usually cuando brindan servicios gratuitos y argumentan que es un pequeño precio a pagar por los servicios que ofrecen. Estos conjuntos de sitios web suelenally dejar mensajes para que el usuario esté al tanto del coste de uso de su servicio. Sin embargo, muchos otros sitios web hacen esto sin informar al usuario. Lo que podría provocar un uso grave de los recursos de la PC. Por lo tanto, es importante bloquear estas cosas.

algunos browsLos usuarios tienen utilidades integradas para bloquear dichos scripts, como Firefox, que tiene una configuración para bloquear criptomineros tanto en la web como en dispositivos móviles. Comowise ópera. Para Chrome y Safari, se requieren extensiones para instalar en su browser para lograr lo mismo.

Browser huellas dactilares

Como se define en Wikipedia ,

huella digital del dispositivo or huella digital de la máquina es información recopilada sobre el software y el hardware de un dispositivo informático remoto con fines de identificación.

un browsLa toma de huellas dactilares es información de huellas dactilares recopilada a través del usuario.rowsejem. La b de un usuariorows¿Puede actuar?ally Proporciona mucha información sobre el dispositivo que se utiliza. Aquí se utilizan diferentes exploits, incluso html5 `canvaSe sabe que las etiquetas s>` se utilizan para huellas dactilares. Información como especificaciones del dispositivo, como tamaño de memoria del dispositivo, duración de la batería del dispositivo, especificaciones de la CPU, etc. Una información de huellas dactilares también podría revObtener la dirección IP real y la geolocalización de un usuario.

Algunos usuarios tienden a creer que usar el modo incógnito en el browsers protege de las huellas dactilares, pero no es así. privadoate o el modo incógnito no es realmente privadoate; solo que no guarda cookies o browsing historia locally en la browsejem; sin embargo, esta información aún se guardará en el sitio web visitado. Por lo tanto, la toma de huellas dactilares todavía es posible en un dispositivo de este tipo.

Fugas web RTC

Web RTC (comunicación en tiempo real). Web RTC supuso un gran avance para la comunicación en tiempo real a través de la web. De acuerdo con la Sitio web de Web RTC.

Con WebRTC, puede agregar capacidades de comunicación en tiempo real a su aplicación que funciona sobre un estándar abierto. Admite video, voz y datos genéricos que se envían entre pares, lo que permite a los desarrolladores crear potentes soluciones de comunicación de voz y video.

Por interesante que sea, en 2015, un usuario de GitHub ('diafygi') publicó por primera vez una vulnerabilidad en Web RTC que revProporciona mucha información sobre un usuario, como la dirección IP local, la dirección IP pública, las capacidades multimedia del dispositivo (como un micrófono, una cámara, etc.).

Pudo hacer esto haciendo lo que se conoce como solicitudes STUN al browser para divulgar esa información. Publicó sus hallazgos aquí -> https://github.com/diafygi/webrtc-ips.

Desde entonces, la browser ha implementado mejores funciones de seguridad para protegerse contra esto; sin embargo, el exploit también ha mejorado con los años. Este exploit aún permanece hasta el día de hoy. Al ejecutar auditorías de seguridad simples, un usuario podría ver cuánta información se puede obtener de una fuga de información Web RTC.

En Chrome, se pueden instalar algunas extensiones para ofrecer protección contra fugas de RTC. Comowise en Firefox con complementos. Safari tiene una opción para disable RTC web; sin embargo, esto puede impact el uso de algunas aplicaciones web de chat en tiempo real a través de la browser.

Browsa través de un proxy

Los servidores proxy web gratuitos parecen ayudarle a obtener una mayor privacidad al hacer rebotar su tráfico web en servidores "anónimos". A algunos expertos en seguridad les preocupa cuánta privacidad proporciona esto. Los servidores proxy pueden proteger a un usuario de la Internet abierta, pero no de los servidores por donde pasa el tráfico de Internet. Por lo tanto, el uso de un proxy web "gratuito" malicioso creado para harvest Los datos de los usuarios podrían ser una receta para el desastre. En su lugar, utilice un proxy premium.

Cómo probar browser seguridad?

BrowsLas pruebas anteriores le dan una idea de cuánta información podría obtener un atacante de usted a través de la b.rowser y lo que debe hacer para mantenerse protegido.

Qualys BrowserCheck

qualys-browscomprobar

BrowserComprobar por Qualys hace una revisión rápida de tu browser para cookies de seguimiento y vulnerabilidades conocidas.

Comprobador ESNI de Cloudflare

cloudflare-esni-control

Cloudflare hace una revisión rápida de tu browsPila DNS y TLS de er en busca de vulnerabilidades.

Analizador de privacidad

analizador de privacidad

Analizador de privacidad escanea tu browser para cualquier tipo de lagunas de privacidad, incluido el análisis de huellas dactilares.

Panopticlick

panóptico

Panopticlick ofertas para probar third-cookies de seguimiento de partes y también ofrece una extensión de Chrome para bloquear un seguimiento adicional.

Webkay

Webkay

Webkay proporciona una vista rápida de qué información su browser se da por vencido fácilmente.

Compatibilidad SSL/TLS

cheque si tu browser es vulnerable a las vulnerabilidades TLS.

¿Cómo está mi SSL?

hoz-my-ssl

Todo Comprobaciones de nivel SSL en tu browsejem. Prueba la compresión TLS, los conjuntos de cifrado, la compatibilidad con tickets de sesión y más.

¿Soy único?

¿Eres tú?

¿Soy único? comprueba si tu browsSu huella digital ha estado en cualquier p.revhuellas dactilares cuidadosamente recopiladas en el mundo.

Cómo endurecer brows¿eres?

Debe ser más proactivo con su privacidad y seguridad, de ahí la necesidad de estar seguro de qué configuración de seguridad está disponible en el b.rowsejem. cada browsTiene configuraciones de privacidad y seguridad, lo que otorga al usuario control sobre qué información puede proporcionar a los sitios web. Aquí hay algunos bit de orientación sobre qué configuraciones de privacidad establecer en su browser.

  • Enviar solicitudes de "No rastrear" a sitios web
  • Bloqueo todo third-galletas de fiesta
  • Disable ActiveX y flash
  • Elimina todos los complementos y extensiones innecesarios
  • Instale extensiones o complementos de privacidad.

Utilice una b centrada en la privacidadrowser en móvil or computadora de escritorio.

También puede considerar usar un VPN premium, que ofrece invisibilidad en Internet frente a rastreadores, escáneres y todo tipo de registradores de información. Para ser verdaderamente privadoate en Internet es con una VPN. Los servicios VPN "gratuitos", sin embargo, tienen problemas similares comentados anteriormente en los servidores proxy gratuitos: nunca estás seguro de por qué servidor web pasa tu tráfico. De ahí la necesidad de un servicio VPN confiable, que brinde una seguridad mucho mayor.

Comparte en:
  • Idris Leyal
    Autor
    Idris es ingeniero de software, con experiencia en redes informáticas.

Gracias a nuestros patrocinadores

Más lecturas excelentes sobre la privacidad

Impulse su negocio

Algunas de las herramientas y servicios para ayudar a su negocio grow.
  • Murf AI

    La herramienta de conversión de texto a voz que utiliza IA para generarate Voces realistas parecidas a las humanas.

    Intente Murf AI
  • Datos brillantes

    Web scraping, proxy residencial, administrador de proxy, desbloqueador web, rastreador de motores de búsqueda y todo lo que necesita para recopilar datos web.

    Prueba Brightdata
  • Monday.com

    Monday.com es un sistema operativo de trabajo todo en uno para ayudarlo a administrar proyectos, tareas, trabajo, ventas, CRM, operaciones, workflows, y más.

    Intente Monday
  • Intruder

    Intruder es un escáner de vulnerabilidades en línea que encuentra debilidades de ciberseguridad en su infraestructura, para evitar costosas filtraciones de datos.

    Intente Intruder