بتـــــاريخ : 2/26/2011 4:52:17 AM
الفــــــــئة
  • الحـــــــــــاسب
  • التعليقات المشاهدات التقييمات
    0 970 0


    أمن المتصفحات ضمن مشروع تعريب Developpez.com

    الناقل : elmasry | العمر :42 | الكاتب الأصلى : djug | المصدر : www.arabteam2000-forum.com

    كلمات مفتاحية  :

    مقدمة:



    متصفح الانترنت هو برنامج يقوم "بتصفح" مواقع الانترنت و إظهار محتويات صفحاتها وفق المعايير القياسية الموجودة .تتميز المحتويات المعروضة بكثرتها و تعددها (vbScript,pdf,plash,mathml,SMIL,mpeg… و العديد)

    في غالب الأحيان يجب الاستعانة بـإضافات Plugins للتمكن من إظهار هذه المحتويات و التي قد تضيف بعضا من نقاط ضعفها إلى مجموع نقاط ضعف المتصفح

    ضرورة و سهولة استعمال المتصفحات و انتشارها الواسع على العديد من الأجهزة (PC PDA و أجهزة الهاتف) جعلها وجهة مفضلة للـ hackers و الأشخاص الذين يريدون إلحاق الأذى بالمستعملين





    أنواع التهديدات:



    قد يشكل المتصفح للمستخدم إحدى صور التهديدات التالية:



    تحليل تصرفات و نمط المستخدم و استعمال ذلك لأغراض تجارية

    سرقة المعلومات و الملفات



    إيهام المستخدم بأنه يستعمل مواقع موثوق فيها Phishing



    توقف جهاز المستخدم بسبب Bug في المتصفح





    أقسام المتصفح



    يتكون المتصفح من عدة أجزاء تقوم بوظائف معينة أهمها



    مفسر الـ URL

    مفسر HTML

    مفسر لغات السكربت مثل الـ javaScript و الـ VBScript

    بيئة تشغيل للبرامج
    Applet Java, ActiveX, plug-ins

    Toolbar





    *مفسر لغة HTML

    يقوم مفسر كود الـ HTML/CSS ببناء الصفحة وفقا لأوامر العرض و التنسيق الموجودة في ملف HTML و العناصر المرفقة معها (frame أو صور ...)



    الاستقرار الذي تتمتع به المعايير HTML, XHTML, WAP, CSS يمنع وجود أية أخطاء و ثغرات أمنية ناتجة عنها .بل الخطأ الوحيد الذي يمكن ملاحظته هو الخطأ الناتج عن تفسير خاطئ لبعض الأوامر الخاص بطريقة العرض فقط.





    *مفسر لغات السكربت

    يمكن هذا المفسر بتشغيل برامج صغيرة على جهاز المستخدم تسمح بإضافة بعض الديناميكية و التفاعل على صفحات الويب المكتوبة بالـ html فقط



    أشهر لغات السكربت المستعملة و أكثرها انتشارا هي JavaScript و التي تتميز بكونها مفهومة من طرف أغلب المتصفحات IE, Firefox, Mozilla, Opera, Safari… عكس الـ VBScript الخاص بالـ Internet Explorer

    استعمال هذه اللغات تزيد من مستوى تعقيد المتصفحات مما يخلق بيئة ملائمة لظهور كم لا بأس به من الـ Bugs



    إضافة إلى إمكانية تنفيذ أوامر غير المسموح بها باستغلال بعض ثغرات المتصفح المتعددة كالولوج إلى الأقراص مما قد يسبب في سرقة و ضياع البيانات و الملفات.



    بدون أن ننسى إمكانية توقف النظام كلية بسبب خطأ في كتابة سكربت معين أو الدخول السكربت في حلقة تكرارية لا متناهيية

             <script langage="javascript">
       <!--
       var i = 0;
       while(i < 10) {
               document.white('toto<BR>');
               // نسيان إضافة 1 في كل مرة
       }
       -->
       </script>

    *مفسر الـ URL

    الـ url عبارة عن مسار للوصول إلى مصدر من مصادر المعلومة على شبكة الانترنت

    مثال:



    http://cyberzoide.developpez.com/graphviz/article/index.php?param=valeur&id=50#LIII



    ينقسم الـ url إلى عدة أقسام:



    البروتوكول المستعمل (http,ftp…)



    الخادمServer (الـ domain أو IP )



    مسار الملف



    اسم الملف

    الـ parameters



    الجزء من الصفحة المحدد بـ #

    و معلومات أخرى (اسم المستخدم كلمة المرور الـ port المستعمل ...)





    توجد حيلتان قد يستعملهما الـHacker لإلحاق الضرر بـالمستخدم

    - استعمال URL خاطئ يحتوي على اسم موقع يثق فيه المستخدم

    - استغلال خطأ لدى تفسير الـ url لتحويل المتصفح إلى صفحة أخرى



    *الـ url الخاطئ phishing



    مثلا قد يألف المستخدم استعمال موقع بنكه الخاص وليكن مثلا

    http://www.mabanquedeconfiance.fr)



    قد يستعمل الـ Hacker أسماء مشابهة مثل





    حيث أن الظاهر في العنوان هو عنوان البنك المعتاد لكن هو غير ذلك



    وما يزيد الطين بلة هو استخدام نفس تصميم صفحات البنك الأصلي لإيهام المستخدم و لجعله يقوم بكتابة معلوماته الشخصية مما قد يسبب له فقدان أمواله.



    و الحل الأمثل لمثل هذه الحالات هو تجنب اتباع الروابط المرسلة عن طريق البريد الالكتروني و استعمال عنوان الموقع المسلم لك على هيئة روقة مطبوعة لدى تسجيلك في البنك .



    *أخطاء تفسير الـ URL



    قد يتسبب الـ URL الطويلة أو التي تحتوي على رموز خاصة خطأ لدى تفسير العنوان مما قد يسبب أخطاء في طريقة العرض أو قد يتم استغلال ذلك لتحويل مسار المتصفح إلى عنوان آخر



    *الـ Plugins



    الـ Plugins عبارة عن برامج صغيرة تضاف إلى المتصفحات قصد إثرائها و تمكينها من وظائف إضافية مثل فتح أنواع أخرى من الملفات أو تشغيل نوع جيد من ملفات الفيديو أو ملفات الصوت



    يمكن إضافة هذه البرامج إما إلى المتصفح مباشرة أو إلى نظام التشغيل



    - هناك عدة أنواع من الـ plugins



    Java applets

    عبارة عن برامج جافا منشورة على الويب تشغل في بيئة خاصة بذلك تسمى (Java Virtuel Machine) JVM

    توفر هذه الـ JVM نظاما لا يمكن استغلاله للوصول إلى محتويات الأقراص أو الوصول إلى معلومات شخصية لهذا فإن لا يمكن أبدا استعمالها من طرق مصممي المواقع للضرر بالمستخدمين



    كما أنه من بين أسباب أمن الـ Java applets امتلاكها إلى توقيع الكتروني يحدد هوية الناشر مما يترك الخيار للمستخدم حيال استخدام أو عدم استخدام البرنامج.



    ActiveX

    تعتبر الـ ActiveX أيضا برامج مستقلة يتم تشغيلها في جهاز المستخدم .

    عكس JVM لا توجد موانع أو حدود للموارد التي يمكن للـ ActiveX الوصول إليها

    يطلب المتصفح عادة من المستخدم إن كان يريد استعمال الـ Activex (في حال ما إذا "ظنه" آمنا") لكن هذه الخطوة لا تجد نفعا مع المستخدمين المبتدئين.

    يملك الـ ActiveX أيضا توقيعا الكترونيا يحدد هيئة الناشر





    قارئ متعدد الوسائط Multimédia



    يستطيع المتصفح قراءة محتوى العديد من أنواع الملفات : بداية بـصفحات HTML و أوراق التنسيق CSS

    و صفحات الـ WAP مرورا بالعديد من أنواع الصور مثل GIF JPEG PNG وصولا إلى ملفات الصوت WAV و MID



    لكن يحتوي الويب على العديد من أنواع الملفات التي يعجز المتصفح عن قراءتها فتجده يستعين ببرامج متخصصة في كل نوع من الملفات








    الـ Tools Bars



    تتوفر في أغلب متصفحاتها ToolBars مختلفة تقوم بمهام مختلفة لكن نجهل مصدر أغلبها طريق استعمالها

    و بما أن الـ toolbar يشتغل منذ اللحظة الأول لتشغيل المتصفح فإنه بإمكانه و بكل سهولة معرفة جميع المواقع التي تقوم بزيارتها و الكلمات التي تبحث عنها فضلا عن معرفة الرسائل المرسلة و الـ Password المستعملة

    مما يعني أن الـ toolsBars مصدر من مصادر تسرب المعلومات و بالتالي يمكن اعتبارها ثغرة أمنية





    *خاتمة:



    - قبل تنصيب أي برنامج و قبل تشغيل أي سكربت يجب التحقق من مصدرها .إن لم يكن مصدرها معروفا فمن الأفضل تجنبها

    - يستحسن الدخول إلى المواقع التي تحتاج إلى اسم مستخدم و Password عن طريق كتابة اسم الموقع في الـadress bar وتجنب الروابط الموجودة في صفحات ويب أو مرسلة عبر البريد الالكتروني



    - يمكنك تجنب استغلال الـ bugs الموجودة في المتصفح من طرف الـ Hacker بقراءة مقالات متخصصة تشرح أهم هذه الـ bugs و كيفية تجنبها



    - تذكر دائما أن الحلقة الأضعف في سلسلة حماية المستخدم هو المستخدم نفسه



    - احرص على تحديث متصفحك .إن كان متصفحك يدعم التحديث التلقائي فذلك أحسن



    - استعمل المتصفحات المعروفة حسب نظام تشغيلك



    Windows : Internet Explorer, Mozilla, Firefox, Opera

    Linux : Mozilla, Firefox, Konqueror

    Mac OS : Safari, Camino



    عنوان المقال الأصلي:

    La sécurité du navigateur web
    رابط المقال الأصلي:
    http://cyberzoide.de...ite/navigateur/

    كاتب المقال الأصلي:
    Hugo Etiévant

    كلمات مفتاحية  :

    تعليقات الزوار ()