Chính sách bảo mật nội dung: nói ‘tạm biệt’ với tiện ích mở rộng quyền riêng tư của bạn
Chính sách bảo mật nội dung là một tài liệu chỉ ra cách mà một công ty hoặc trang web xử lý thông tin cá nhân của người dùng. Nếu nói “tạm biệt” với tiện ích mở rộng quyền riêng tư của bạn, điều này có nghĩa là người dùng từ chối cho phép công ty hoặc trang web sử dụng thông tin cá nhân của họ cho mục đích mở rộng hoặc quảng cáo.
Có một số công nghệ đang được áp dụng làm tiêu chuẩn vì chúng nâng cao mức độ an toàn cho cả trang web và người dùng truy cập trang web. Chính sách bảo mật nội dung là một lớp bảo mật bổ sung giúp trình duyệt ngăn chặn các cuộc tấn công mạng cụ thể xảy ra và chính sách này đang được áp dụng rộng rãi như một biện pháp an toàn cơ bản trên tất cả các trang web và trình duyệt.
Lý do đằng sau sự phổ biến của nó là nó giúp ngăn chặn một số loại tấn công, cụ thể là kịch bản chéo trang và các mối đe dọa tiêm dữ liệu khác.
Sau đó, bạn có thể tự hỏi: Bảo mật nội dung làm gì ngay từ đầu? Làm thế nào để một biện pháp bảo mật như CSP đặt quyền riêng tư trực tuyến vào rủi ro? Và, cách tốt nhất để tránh rủi ro này là gì?
Trước khi đi sâu vào từng câu hỏi trong số này, bạn cần hiểu tại sao chính sách bảo mật nội dung lại quan trọng. Bạn cũng cần xác định các mối đe dọa liên quan đến những người dùng quyết định bỏ qua CSP hoàn toàn. Ngoài ra, chúng tôi sẽ xem xét tùy chọn tốt nhất để giữ an toàn cho danh tính của bạn và đồng thời ngăn chặn các cuộc tấn công mạng.
Chính sách xuất xứ giống nhau
Có một số thuật ngữ bạn cần làm quen trước khi hiểu CSP. Đầu tiên và quan trọng nhất là chính sách cùng nguồn gốc, còn được gọi là SOP. Chính sách cùng nguồn gốc được tạo ra để ngăn các trang web trái phép giành quyền truy cập vào một số thông tin nhạy cảm được lưu trữ trên một trang web.
SOP tách nhiều yếu tố thành các môi trường biệt lập, bao gồm cookie và tập lệnh Javascript. Ví dụ: nếu trang web www.firstsite.org chứa phần tử HTML tải trang thứ hai chẳng hạn như www.secondsite.org , thì trang web đầu tiên sẽ không thể truy cập cookie của trang web thứ hai hoặc đưa vào đó các tập lệnh Javascript và ngược lại ngược lại.
Ngay cả khi cả hai đều đang chạy trong cùng một cửa sổ trình duyệt và hiển thị cùng một URL, nhờ chính sách một nguồn gốc, sẽ không thể trích xuất thông tin hoặc chạy tập lệnh Javascript trên nguồn gốc của trang web kia.
Cơ chế này cấm truy cập vào nội dung có nguồn gốc chéo và nó ngăn các trang web ngẫu nhiên đọc hoặc thay đổi dữ liệu trên tài khoản Twitter hoặc Paypal của bạn khi bạn đăng nhập vào chúng.
Như bạn có thể đoán, SOP đã trở thành một trong những nguyên tắc bảo mật quan trọng nhất được tìm thấy trong tất cả các trình duyệt ngày nay. Về cơ bản, nó đặt tiền đề cho các tiêu chuẩn bảo mật khác xoay quanh việc chỉ cho phép truy cập vào các nguồn được ủy quyền.
Về lý thuyết, Same Origin Policy là một giải pháp hoàn hảo. Tuy nhiên, những kẻ tấn công đã nhanh chóng nghĩ ra các cách để vượt qua nó và những cách này đã dẫn đến các mối đe dọa bảo mật lớn cho các trang web cũng như người dùng.
Tấn công cross-site scripting (XSS) là gì?
Tập lệnh chéo trang, còn được gọi là XSS, là một phương pháp có thể giúp bỏ qua Chính sách xuất xứ giống nhau. Các cuộc tấn công XSS là một vấn đề lớn vì những kẻ tấn công đưa các tập lệnh độc hại vào các trang web đáng tin cậy mà không bị phát hiện. Nếu không biết điều này, người dùng có thể bị dụ nhấp vào một liên kết hoặc thực thi một tập lệnh không an toàn.
Có nhiều lỗ hổng cho phép tấn công cross-site scripting và chúng có thể bị khai thác theo nhiều cách khác nhau. Bất cứ khi nào các trang web sử dụng HTML động không làm sạch đầu vào của người dùng, những kẻ tấn công có thể đưa vào mã độc hại của riêng chúng.
Khi mã độc được đưa vào thông qua các kênh này, các trình duyệt web sẽ thấy mã đó đến từ trang web mà nó đang được thực thi, do đó, nó sẽ sẵn sàng thực hiện nhiệm vụ mà không do dự hoặc xác định bất kỳ mối đe dọa nào.
Các cuộc tấn công XSS có thể nhắm mục tiêu đến những người dùng không cẩn thận và gửi các đoạn mã độc hại để thực hiện một số tác vụ. Người dùng hoàn toàn không biết rằng họ đã nhận được bất kỳ tập lệnh nào và trình duyệt của họ vui vẻ thực thi chúng vì chúng dường như đến từ một nguồn đáng tin cậy.
Các cuộc tấn công kịch bản chéo trang có thể đưa vào một tập lệnh độc hại có thể có quyền truy cập vào các tệp cookie, dữ liệu trang web khác từ ngữ cảnh trang web và nhiều thông tin nhạy cảm khác nhau. Các cuộc tấn công nghiêm trọng thậm chí có thể viết lại nội dung của trang HTML, điều này có thể dẫn đến các sự cố bảo mật mở rộng về lâu dài. Có được quyền truy cập vào thông tin này sẽ cho phép kẻ tấn công xem thông tin nhạy cảm và đưa ra yêu cầu thay mặt người dùng.
Đã có nhiều cuộc tấn công XSS đáng chú ý được ghi lại, một số trong số đó có sự tham gia của các cơ quan tình báo, mạng truyền thông xã hội và thậm chí cả các nền tảng email lớn. Chẳng hạn, vào giữa những năm 2000, sâu XSS có tên là Samy đã trở thành một trong những loại vi-rút lây lan nhanh nhất sau khi lan truyền tới hơn 1 triệu người dùng Myspace chỉ vài giờ sau khi nó được tung ra.
Kịch bản chéo trang đã trở thành một vấn đề lớn dẫn đến sự phát triển của CSP, nhằm thiết lập các tiêu chuẩn bảo mật cao hơn. Vấn đề lớn nhất với các trình duyệt hiện đại và điều khiến chúng dễ bị tấn công XSS là chúng không thể phân biệt các miền đáng tin cậy và đáng ngờ. Khi bạn thực hiện một yêu cầu thông qua trình duyệt, nó sẽ vui vẻ thực hiện tất cả các tập lệnh đã nhận vì không thể biết tập lệnh nào có thể hoặc không thể tin cậy.
Chính sách bảo mật nội dung
Bây giờ chúng ta đã xem qua các cuộc tấn công SOP và XSS, chúng ta có thể bắt đầu đề cập đến chính sách bảo mật nội dung. Như đã đề cập trước đây, CSP là một lớp bảo mật bổ sung cho phép các trang web tạo danh sách trắng các tài nguyên có thể tin cậy được trong ngữ cảnh của trang web đó. Khi triển khai CSP, các trình duyệt sẽ bỏ qua tất cả các yêu cầu đối với các nguồn không xuất hiện trong danh sách trắng.
Nếu không có CSP, các trình duyệt dễ bị tổn thương trước các hình thức tấn công XSS khác nhau vì chúng không thể phân biệt giữa các tập lệnh là một phần của trang web và các tập lệnh đã được bên thứ ba đưa vào.
Khi bạn truy cập một trang web sử dụng CSP, trang web sẽ gửi danh sách các nguồn tới trình duyệt của bạn. Sau đó, trình duyệt của bạn vui vẻ tuân thủ và thực hiện bất kỳ yêu cầu nào được đưa ra đối với các nguồn xuất hiện trong danh sách trắng.
Với các trang web triển khai CSP, trình duyệt của bạn sẽ đảm bảo mã nguồn của tập lệnh nằm trong danh sách trắng trước khi tuân thủ. Nếu nguồn gốc không được liệt kê là an toàn, trình duyệt của bạn sẽ hoàn toàn bỏ qua yêu cầu. Bằng cách đó, ngay cả khi có các tập lệnh độc hại được đưa vào trang web bạn truy cập, CSP cho phép trình duyệt của bạn xác định các tập lệnh độc hại này và bỏ qua chúng hoàn toàn.
Như bạn có thể biết qua tất cả các thông tin này, CSP thực sự là một công cụ bảo mật tuyệt vời. Vì vậy, làm thế nào nó có thể ảnh hưởng tiêu cực đến quyền riêng tư trực tuyến?
Ý nghĩa riêng tư của việc sử dụng CSP
Chính sách bảo mật nội dung là một biện pháp bảo mật tuyệt vời vì nó giúp ngăn chặn các cuộc tấn công mạng. Thật không may, cũng có những tác động về quyền riêng tư do kết quả trực tiếp của việc sử dụng CSP. Trước khi đề cập đến những phân nhánh này, chúng ta phải xem lại những điều cơ bản về CSP, tìm hiểu thêm một chút về phiên bản đầu tiên và hiểu cách thức hoạt động của CSP hiện đại.
Một phiên bản được gọi là CSP 1.1 được sử dụng rộng rãi và được chấp nhận như một tiêu chuẩn, tuy nhiên, nó dựa trên chính sách đầu tiên được tạo như một phiên bản tiền nhiệm. Các phiên bản đầu tiên, được gọi là CSP 1.0, được phát triển để chống lại và bảo vệ chống lại các cuộc tấn công XSS. CSP 1.0 cũng tuyên bố rằng một trang web không được can thiệp vào hoạt động của bất kỳ tiện ích mở rộng trình duyệt nào do người dùng cài đặt.
Tuy nhiên, mô hình này đã trở nên lỗi thời sau khi phát hành CSP 1.1, phiên bản này đang dần được áp dụng bởi tất cả các nền tảng web chính. CSP 1.1, đôi khi được gọi là CSP nghiêm ngặt, có thể can thiệp vào các tiện ích mở rộng và ngăn chúng đưa tập lệnh vào trang web. Điều này có nghĩa là các tiện ích mở rộng quyền riêng tư phổ biến, chẳng hạn như Trình chuyển đổi tác nhân người dùng và Trình giả mạo tác nhân ngẫu nhiên, sẽ không hoạt động trên các trang web có chính sách nghiêm ngặt.
Điều này tạo ra một vấn đề lớn đối với những người dùng muốn duy trì mức độ riêng tư cao và tránh theo dõi web xâm nhập. Vì các tiện ích mở rộng không thể thay đổi trạng thái của trình duyệt nên chúng phụ thuộc vào việc đưa Javascript vào trang web để thay đổi các tham số và ngăn việc lấy dấu vân tay của trình duyệt. Khá thông minh, phải không?
Tuy nhiên, các trang web sử dụng CSP 1.1 có thể cản trở tiện ích mở rộng viết lại nội dung của trang, bao gồm cả tập lệnh Javascript. Vì các tiện ích mở rộng quyền riêng tư hoạt động khi đưa Javascript vào mã trang nên chúng sẽ ngừng hoạt động hoàn toàn.
Nếu một trang web sử dụng các cơ chế lấy dấu vân tay của trình duyệt mà các tiện ích mở rộng quyền riêng tư có thể chống lại, thì trang web đó có khả năng triển khai CSP 1.1, vì vậy chúng có thể cản trở các tiện ích mở rộng này hoạt động. Nói cách khác, họ sẽ có thể theo dõi và lấy dấu vân tay người dùng thành công.
Điều đáng nói là một số cấu hình nhất định của CSP 1.1 cho phép các tiện ích mở rộng chèn tập lệnh vào trang web và viết lại nội dung trang, nhưng tùy chọn này thường không được bất kỳ trang web nào ưa thích. Họ có động cơ sử dụng các cấu hình CSP để vô hiệu hóa các tiện ích mở rộng ngăn chặn dấu vân tay của trình duyệt. Bằng cách này, các trang web có thể tăng mức độ bảo mật và đồng thời xác định khách truy cập của họ một cách hiệu quả.
Tại thời điểm này, các nền tảng phổ biến như Facebook, Twitter và Github sử dụng cấu hình CSP cho phép các tiện ích mở rộng đưa tập lệnh vào một trang web. Tuy nhiên, CSP 1.1 đang lan rộng như cháy rừng và vì các trang web có thêm động cơ để tắt các tiện ích mở rộng nên hầu hết các trang web lớn đang bắt đầu thực hiện chuyển đổi.
Chẳng hạn, PayPal đã chuyển sang cấu hình CSP 1.1 không cho phép chèn tập lệnh của bên thứ ba, vì vậy không thể sử dụng tiện ích mở rộng quyền riêng tư trên trang web của họ nữa.
Cách tìm hiểu xem một trang web có sử dụng CSP không
Nếu bạn đang thắc mắc liệu có bất kỳ trang web nào bạn truy cập thường xuyên sử dụng CSP hay không, bạn có thể làm theo hướng dẫn bên dưới để xác minh xem CSP có hoạt động trên trang web đó hay không.
Cách kiểm tra xem một trang web có sử dụng CSP hay không:
- Mở một trang web trong bất kỳ trình duyệt dựa trên Chromium nào, ví dụ: Chrome
- Nhấp chuột phải vào bất kỳ đâu trên trang web và chọn “Kiểm tra”
- Chuyển đến tab “Mạng”
- Bây giờ bấm F5 để làm mới trang
- Trong quá trình tải trang, tất cả các yêu cầu sẽ xuất hiện trong Trình kiểm tra
- Nhấp vào dòng đầu tiên trong danh sách yêu cầu (danh sách yêu cầu nằm trong tab “Tiêu đề”)
- Nếu bạn thấy “chính sách bảo mật nội dung” trong phần “Tiêu đề phản hồi” thì CSP đang bật
CSP và dấu vân tay của trình duyệt
Việc triển khai CSP có thể giúp ngăn chặn các cuộc tấn công chèn dữ liệu, nhưng chúng cũng gây ra vấn đề lớn khi nói đến quyền riêng tư trực tuyến và dấu vân tay của trình duyệt. Tiện ích mở rộng quyền riêng tư trước đây cho phép người dùng lướt web mà không ảnh hưởng đến danh tính của họ có khả năng gặp sự cố nhờ CSP 1.1.
Điều này không có nghĩa là quyền riêng tư trực tuyến bị hủy hoại, nhưng nó giống như một lời cảnh báo rằng các tiện ích mở rộng quyền riêng tư sẽ sớm trở thành dĩ vãng. Các tiện ích mở rộng quyền riêng tư như Trình chuyển đổi tác nhân người dùng và Trình giả mạo tác nhân ngẫu nhiên phụ thuộc vào việc đưa tập lệnh vào trang web để thao tác hiệu quả các tham số lấy dấu vân tay.
Nếu không có tiện ích mở rộng quyền riêng tư trực tuyến, bạn sẽ dễ bị lấy dấu vân tay của trình duyệt hơn và những hậu quả tiêu cực đi kèm với nó. Như chúng tôi đã đề cập trước đây, đặc điểm này khuyến khích các trang web sử dụng phiên bản CSP 1.1 không thân thiện với tiện ích mở rộng, thay vì cấu hình cho phép các tiện ích mở rộng chạy mà không bị gián đoạn.
Ngăn chặn các cuộc tấn công XSS và lấy dấu vân tay của trình duyệt
CSP đã trở thành một thành phần quan trọng của tất cả các trình duyệt chính và bản thân công nghệ này có một số lợi ích. Mặc dù có một số ý nghĩa về quyền riêng tư trực tuyến, nhưng những điều này có thể được giảm thiểu bằng cách sử dụng các phương pháp phù hợp.
Hãy nhớ rằng việc tắt CSP không chỉ khiến thiết bị của bạn có nguy cơ bị tấn công mạng mà còn tạo thêm dấu vân tay. Hầu hết các trình duyệt tích cực cho phép CSP, do đó, việc tắt nó sẽ đưa bạn vào một nhóm rất nhỏ người dùng đã tắt tính năng bảo mật này trên trình duyệt của họ, giúp bạn dễ nhận dạng hơn.
Đa đăng nhập vẫn cung cấp một giải pháp thay thế khả thi để chống lại việc lấy dấu vân tay của trình duyệt. Hơn nữa, người dùng thường hỏi chúng tôi cách Multilogin phản ứng khi đối mặt với một trang web sử dụng CSP 1.1, nhưng điều này phụ thuộc nhiều vào loại trình duyệt bạn đang sử dụng.
Nếu bạn sử dụng Multilogin kết hợp với Chromium, Firefox hoặc bất kỳ trình duyệt “thông thường” nào khác, thì theo mặc định, chúng sẽ bỏ qua hoàn toàn CSP. Tuy nhiên, điều này không lý tưởng vì nó khiến trình duyệt của bạn dễ bị tấn công XSS. Hãy nhớ rằng CSP 1.1 có thể tắt tất cả tiện ích mở rộng quyền riêng tư và tiết lộ dấu vân tay trình duyệt của người dùng, nhưng khi bạn sử dụng Đa đăng nhập, bạn ưu tiên quyền riêng tư trực tuyến hơn các cuộc tấn công XSS. Khi Đa đăng nhập được sử dụng với các trình duyệt thông thường, CSP sẽ tự động tắt để giữ cho dấu vân tay thực không bị lộ.
Giải pháp tốt nhất giúp duy trì mức độ riêng tư trực tuyến cao và ngăn chặn các cuộc tấn công XSS có thể là sử dụng phương pháp quản lý dấu vân tay không phụ thuộc vào việc đưa Javascript vào trang web.
Stealthfox là một trình duyệt web dựa trên Firefox có thể giúp bạn duy trì mức độ riêng tư trực tuyến cao khi truy cập các trang web sử dụng CSP 1.1. Bởi vì nó đã đi kèm với Đa đăng nhập, Stealthfox cho phép bạn chống lại việc lấy dấu vân tay của trình duyệt một cách hiệu quả trong khi vẫn được bảo vệ khỏi các cuộc tấn công XSS.
Thay vì quản lý các tham số trong quá trình tải trang bằng Javascript như hầu hết các tiện ích mở rộng, Stealthfox định cấu hình các tham số của trình duyệt khi nó được khởi chạy. Điều này có nghĩa là bạn có thể sử dụng trình duyệt tuân thủ CSP sẽ bảo vệ bạn khỏi các cuộc tấn công XSS trong khi vẫn ẩn thông tin thực của bạn.
Tóm lại là
Chính sách bảo mật nội dung cung cấp một mạng lưới an toàn tốt giúp bảo vệ chống lại các cuộc tấn công chèn dữ liệu. Điều đó đang được nói, các chính sách CSP 1.1 cũng cung cấp một lỗ hổng lớn có thể khiến các tiện ích mở rộng quyền riêng tư hoàn toàn vô dụng.
Sự thật là CSP còn lâu mới hoàn hảo, nhưng nó sẽ sớm trở thành một thành phần quan trọng của tất cả các nền tảng internet, bất kể quy mô. Hơn nữa, một phần lớn các trang web phổ biến nhất đang nghiêng về CSP 1.1 vì nó có thể vô hiệu hóa các tiện ích mở rộng quyền riêng tư và cho phép lấy dấu vân tay hiệu quả. Tiện ích mở rộng quyền riêng tư có thể vẫn hoạt động trên các trang web phổ biến hiện nay, nhưng chúng có nguy cơ trở nên lỗi thời do sự phổ biến rộng rãi của CSP 1.1.
Cách tốt nhất để ngăn chặn các cuộc tấn công XSS trong khi vẫn duy trì mức độ riêng tư cao là sử dụng trình duyệt có khả năng quản lý dấu vân tay.
Stealthfox có thể định cấu hình các tham số được sử dụng để nhận dạng dấu vân tay của bạn ngay khi trình duyệt được khởi chạy. Điều này sẽ giúp bạn duy trì mức độ riêng tư cao trong khi CSP giúp bạn an toàn trước các mối đe dọa tiêm dữ liệu.
- Hãy tham gia Big Group Telegram và sử dung Gologin FREE và các tools tự động hóa trên PC và iPhone giải quyết hầu hết cho công việc kinh doanh của mình.
- Facebook Fan Page, Group Facebook, Admin
- List Tools: Click here Go to Menu On Telegram