วิธีการมีประสบการณ์การท่องเว็บที่ปลอดภัยที่สุดเท่าที่จะเป็นไปได้
เบ็ดเตล็ด / / November 29, 2021
ทุกวันเราจะได้ยินเกี่ยวกับช่องโหว่ใหม่และการแฮ็กออนไลน์ แฮกเกอร์กำลังล่าเหยื่อเพื่อขโมยข้อมูลสำคัญของคุณ ที่สุด แฮ็คล่าสุดเป็นของฟอรัม XDA-Developers. แม้ว่าจะไม่มีรายละเอียดผู้ใช้ใดถูกบุกรุก สมาร์ทโฟน Android กำลังประสบกับช่องโหว่ต่างๆ และเราทุกคนกำลังต่อสู้ในสงครามที่ไม่สิ้นสุดเพื่อปกป้องความเป็นส่วนตัวออนไลน์ของเรา ดังนั้น ท่ามกลางความยุ่งยากทางไซเบอร์เหล่านี้ คุณสามารถทำอะไรได้บ้างเพื่อปกป้องข้อมูล? โจโดยเฉลี่ยสามารถทำอะไรได้บ้าง? ดีไม่ต้องตกใจ เรามีคุณครอบคลุม
คราวที่แล้วเราเคยแบ่งปันบ้าง ส่วนขยายเพื่อการท่องเว็บอย่างปลอดภัยบน Chrome. แต่ในคู่มือนี้ ฉันอยากจะพูดให้กว้างกว่านี้หน่อย ฉันต้องการอธิบายให้คุณทราบถึงพื้นฐานของความปลอดภัยในเบราว์เซอร์ (ไม่ว่าคุณจะใช้เว็บเบราว์เซอร์ใดก็ตาม) และยังเพิ่มเคล็ดลับเด็ด ๆ ที่จะให้ประสบการณ์การท่องเว็บอย่างปลอดภัยอย่างสมบูรณ์ คู่มือนี้ทำให้เข้าใจง่ายสำหรับ Average Joe
พื้นฐานการรักษาความปลอดภัย
HTTPS คืออะไร?
คุณสามารถ อ่านเกี่ยวกับเรื่องนี้ใน Wikipedia แต่ฉันอยากจะอธิบายที่นี่ด้วยคำง่ายๆ จริงๆ สิ่งที่ HTTPS ทำจริง ๆ ก็คือ มันปกป้องการสื่อสารระหว่างเซิร์ฟเวอร์ของเว็บไซต์ที่คุณกำลังเข้าถึง (ที่มี HTTPS) และไคลเอนต์ (ซึ่งคุณใช้พีซี) มันปลอดภัยแค่ไหน? การใช้การเข้ารหัส โดยทั่วไปการเข้ารหัสจะสร้างภาษาใหม่ที่เป็นความลับซึ่งมีเพียงเซิร์ฟเวอร์และไคลเอ็นต์เท่านั้นที่สามารถเข้าใจได้ ด้วยวิธีนี้จะไม่มีใคร (แม้แต่แฮกเกอร์) รู้ว่าอะไรผ่านการเชื่อมต่อ
ไม่ใช่ทุกเว็บไซต์ที่จะได้รับใบรับรอง HTTPS/SSL ทุกเนื้อหาได้รับการวิเคราะห์ก่อน และผ่านการตรวจสอบความปลอดภัยที่จำเป็นแล้ว นอกจากนี้ a การตรวจสอบความปลอดภัยทำได้โดยเบราว์เซอร์ทั้งหมด. บางเว็บไซต์พยายามสร้างการเชื่อมต่อ HTTPS ที่มีเนื้อหาที่เข้ารหัสและไม่ได้เข้ารหัสผสมกัน นั่นคือเหตุผลที่คุณได้รับข้อผิดพลาดดังต่อไปนี้
ประเภทของการโจมตี
การโจมตีบนเบราว์เซอร์ส่วนใหญ่ที่ทำโดยแฮกเกอร์ใช้ประโยชน์จาก Javascript นักพัฒนาซอฟต์แวร์ใช้ Javascript เพื่อทำให้เว็บไซต์ของตนเป็นไดนามิกและทำสิ่งต่างๆ (เช่นที่แสดงด้านล่าง) ที่ HTML ไม่สามารถทำได้ ตัวอย่างเช่นป๊อปอัปเมื่อคลิกปุ่ม คุณไม่สามารถทำได้โดยไม่ต้องใช้ Javascript ด้านล่างนี้คือการโจมตีบางอย่างที่แฮ็กเกอร์สามารถทำได้บนเบราว์เซอร์ของคุณโดยใช้เว็บไซต์ที่เป็นอันตราย (เว็บไซต์ที่คุณไม่เชื่อถือ) มีมากมายแต่ที่โดดเด่นที่สุดในตอนนี้
1. คลิก-Jacking
นี่เป็นการโจมตีประเภทหนึ่งโดยใช้ปุ่มบนเว็บไซต์ โค้ดที่เป็นอันตรายถูกแทรกในการคลิกปุ่ม และเมื่อผู้ใช้คลิกที่ปุ่ม โค้ดจะถูกดำเนินการ ไม่สำคัญหรอกว่าคุณจะได้สิ่งที่คุณต้องการจากการคลิกปุ่มนั้น แต่มันอาจจะแทรกสิ่งที่ไม่ต้องการอื่นๆ เข้าไปด้วย เบราว์เซอร์ส่วนใหญ่ป้องกันการโจมตีดังกล่าว แต่คุณต้องระมัดระวังก่อนที่จะคลิกปุ่มบนเว็บไซต์ที่ไม่น่าเชื่อถือ (โดยเฉพาะ ลิงค์ดาวน์โหลดและ torrents).
2. XSS (การเขียนสคริปต์ข้ามไซต์):
ที่นี่แฮ็กเกอร์เข้ารหัสเนื้อหาที่เป็นอันตราย (javascript) ในลักษณะที่ผู้ใช้พบว่ามีความน่าเชื่อถือและใช้งาน เนื้อหาและโค้ดถูกเรียกใช้งาน ซึ่งจะทำให้ผู้โจมตีได้รับข้อมูลรับรองผู้ใช้ทั้งหมด (เช่น ชื่อผู้ใช้ รหัสผ่าน การตั้งค่า ฯลฯ) ตัวอย่างเช่น คุณลงชื่อเข้าใช้บางเว็บไซต์ด้วยชื่อผู้ใช้ 'Mahesh' และคุณได้รับข้อความจาก 'Suresh' (ที่มีการเข้ารหัสจาวาสคริปต์ที่เป็นอันตราย) และเมื่อคุณอ่านข้อความ สคริปต์จะทำงาน และตอนนี้ผู้โจมตีสามารถจี้เซสชันผู้ใช้ของคุณได้ง่าย เพราะเขามีการเข้าสู่ระบบของคุณ รายละเอียด. เบราว์เซอร์ส่วนใหญ่สามารถป้องกันการโจมตีนี้ได้ แต่สคริปต์บางตัวได้รับการเข้ารหัสในลักษณะที่หลอกเว็บเบราว์เซอร์ได้
3. CSRF (การปลอมแปลงคำขอข้ามไซต์):
ให้ฉันบอกคุณโดยตรงตัวอย่าง คุณอยู่ในเว็บไซต์ช็อปปิ้งและซื้อของบางอย่าง และมีโค้ดที่เป็นอันตรายอยู่ในระบบของคุณแล้ว (ซึ่งอาจป้อนโดยสองวิธีข้างต้น) ดังนั้นโค้ดที่เป็นอันตรายนี้จะเรียกใช้กระบวนการในเบื้องหลังซึ่งจะดึง URL เฉพาะจากเบราว์เซอร์ที่ซื้อผลิตภัณฑ์ มันจะจัดการ URL เพื่อทำสิ่งที่เป็นอันตรายและขอให้เว็บไซต์เรียกใช้ และเว็บไซต์จะทำงานเพราะเว็บไซต์รู้ว่าเป็นผู้ใช้ที่เข้าสู่ระบบเพื่อขอประมวลผล URL แต่แท้จริงแล้วมันเป็นรหัสที่ทำงานอยู่เบื้องหลังเพื่อขอมัน
ให้สามัญสำนึกมีชัย
ดังนั้นหลังจากอ่านการโจมตีข้างต้นแล้ว คุณพบว่าใครเป็นผู้ร้าย? ตัวรุก? จาวาสคริปต์? เว็บเบราว์เซอร์? ที่จริงแล้วมันคือคุณ คุณเป็นคนที่คลิกปุ่มดาวน์โหลดนั้น คุณเป็นคนที่ถูกอีเมลที่ส่งมาจากสาวน่ารัก ๆ (ที่มีโค้ดอันตราย) ล่อลวง แม้ว่าจะอยู่ในโฟลเดอร์สแปมก็ตาม
ทุกคนทำผิดพลาดและใครที่นี่ไม่สามารถหลอกได้? ดังนั้น เพื่อป้องกันไม่ให้ตัวเองถูกโจมตีโดยการโจมตีดังกล่าว คุณสามารถทำสิ่งหนึ่งได้ ปิดจาวาสคริปต์ แทบจะเป็นไปไม่ได้เลยที่ผู้โจมตีจะโจมตีระบบคอมพิวเตอร์ของคุณ (โดยใช้เว็บเบราว์เซอร์) โดยไม่ต้องใช้ Javascript เปิดเฉพาะ Javascript สำหรับ แหล่งที่มาและเว็บไซต์ที่คุณไว้วางใจ.
มีส่วนขยายและปลั๊กอินมากมายที่คุณสามารถใช้เพื่อปิด Javascript บนเว็บไซต์ได้ นอกจากนี้ เบราว์เซอร์เช่น chrome ยังให้ตัวเลือกในตัวแก่คุณในการปิด Javascript สำหรับเว็บไซต์เฉพาะ
คุณสามารถใช้ได้ ส่วนขยาย ScriptSafe สำหรับ Chrome และ NoScript สำหรับ Firefox. อีกด้วย, Adblock plus สามารถทำงานเป็นตัวสำรองสำหรับปลั๊กอินเหล่านี้ได้ เนื่องจากจะปกป้องคุณจากการคลิกโฆษณาที่เป็นอันตราย
คุณชอบเบราว์เซอร์ Edge ของ Microsoft หรือไม่? นี่คือวิธีที่คุณทำได้ ทำให้ไม่มีโฆษณา.
ใช้ตัวจัดการรหัสผ่าน
เราได้แบ่งปันเกี่ยวกับหัวข้อนี้ใน GT มามากพอแล้ว ต่อไปนี้คือลิงก์ด่วนบางส่วนที่จะช่วยให้คุณเริ่มต้นได้ หากคุณไม่ได้ใช้ตัวจัดการรหัสผ่าน
- ตัวจัดการรหัสผ่านคืออะไร? – วิกิพีเดีย (ถ้าคุณไม่ไว้วางใจเรา คุณวางใจคนนี้อย่างแน่นอน)
- ทำไมต้องใช้ตัวจัดการรหัสผ่าน? – เราได้แบ่งปันบางส่วน คุณสมบัติที่ยอดเยี่ยมของ LastPass (ตัวจัดการรหัสผ่าน) ซึ่งจะให้แนวคิดที่ชัดเจนแก่คุณ
- คุณควรใช้ตัวจัดการรหัสผ่านใด – เราได้ทำการเปรียบเทียบหลายอย่างระหว่างผู้จัดการรหัสผ่านต่างๆ ชอบ LastPass กับ 1Password, 1รหัสผ่านกับ Dashlane และ KeePass เทียบกับ LastPass.
เพียงเริ่มใช้ตัวจัดการรหัสผ่านหากคุณยังไม่ได้ดำเนินการ มันจะทำให้คุณท่องเว็บได้ปลอดภัยยิ่งขึ้น
ป้องกันมัลแวร์ + ป้องกันไวรัส
ก่อนอื่น หากคุณไม่รู้ว่าไวรัสและมัลแวร์ต่างกันอย่างไร อ่านคำอธิบายนี้. หรือนี่คือภาพรวมโดยย่อ:
ไวรัสคอมพิวเตอร์: ชื่อตัวเองอธิบายมัน มันแพร่เชื้อให้คนอื่น ไฟล์ที่ติดไวรัสหนึ่งไฟล์ (ไวรัสเองที่มีโค้ดที่เป็นอันตราย) จะแพร่ระบาดในไฟล์อื่น และไฟล์เหล่านั้นจะส่งผลต่อไฟล์อื่นๆ ดังนั้นการแพร่กระจายรหัสที่เป็นอันตราย
มัลแวร์: นี่คือโปรแกรมซอฟต์แวร์ที่ดำเนินการในนามของคุณโดยที่คุณไม่รู้ตัว นอกจากนี้ มัลแวร์ยังสามารถแบ่งออกเป็นสปายแวร์และแอดแวร์ ทั้งคู่อยู่ในหมวดหมู่ของมัลแวร์
เหตุใดจึงใช้ Anti-Malware กับ Antivirus?
นี่เป็นหนึ่งในสิ่งที่ดีที่สุดที่ฉันได้เรียนรู้เพื่อให้พีซีของฉันปลอดภัย สิ่งนี้จะทำให้พีซีของคุณอยู่ห่างจากไวรัสและมัลแวร์อย่างแน่นอน สิ่งที่คุณต้องทำคือใช้ Antivirus ที่คุณชื่นชอบ (ฉันพึ่ง Windows Defender และฉันไม่เคยเสียใจ) พร้อมกับที่ใช้โปรแกรมป้องกันมัลแวร์ (ฉันใช้ MalwareBytes).
สิ่งนี้จะเพิ่มการรักษาความปลอดภัยสองเท่าให้กับพีซีของคุณ หาก Windows Defender (หรือซอฟต์แวร์ป้องกันไวรัสของคุณ) พลาดไวรัสหรือมัลแวร์ โปรแกรมป้องกันมัลแวร์จะตรวจจับได้อย่างแน่นอน ดังนั้น ถ้าสิ่งที่เป็นอันตรายได้รับการดาวน์โหลดจากเว็บเบราว์เซอร์ของคุณ มันก็จะถูกยกเลิกโดยสองคนนี้อย่างแน่นอน ฉันเคย อธิบายเกี่ยวกับเรื่องนี้อย่างลึกซึ้งในบล็อกของฉัน.
จะค้นหาได้อย่างไรว่าไซต์ไม่ปลอดภัย
มีเว็บไซต์ไม่กี่แห่งที่สามารถช่วยคุณค้นหาว่าเว็บไซต์น่าเชื่อถือหรือไม่ คุณสามารถใช้ได้ scnaurl.net หรือ เว็บที่ปลอดภัยของ Norton. คุณสามารถเพิ่ม URL ของเว็บไซต์หรือ URL เฉพาะ เช่น ลิงก์ดาวน์โหลด นอกจากนี้ Google จะสแกนแต่ละ URL ที่แสดงในผลการค้นหา คุณสามารถใช้เทคโนโลยีของพวกเขาเพื่อตรวจสอบว่าเว็บไซต์นั้นปลอดภัยหรือเป็นอันตรายหรือไม่ เยี่ยมชมของพวกเขา หน้าการวินิจฉัยรายงานความโปร่งใส.
คุณคือศัตรูตัวฉกาจของคุณเอง
ข้าพเจ้าได้กล่าวไปก่อนหน้านี้แล้วว่าท่านคือผู้กระทำความผิด คุณกำลังปล่อยให้ผู้โจมตีโจมตีเบราว์เซอร์/ระบบของคุณ โค้ดที่เป็นอันตรายจะไม่เข้าสู่ระบบของคุณหากคุณไม่ตอบสนองต่อเว็บไซต์ที่เป็นอันตราย สิ่งที่คุณต้องทำคือตรวจสอบให้แน่ใจว่าสิ่งที่คุณทำนั้นได้รับการแนะนำจากแหล่งหรือเว็บไซต์ที่เชื่อถือได้ และแน่นอน คุณสามารถไว้วางใจเราได้
ดูเพิ่มเติมที่: วิธีทำให้ Android ของคุณปลอดภัยมากที่สุด