هر يک از ما در مدت زمان اتصال به اينترنت از وب سايتها و يا وبلاگهای
متعددی ديدن مینمائيم . طراحان و پيادهکنندگان وب سايت ها و وبلاگ ها به
منظور ارائه خدمات مورد نظر خود از امکانات و يا بهتر بگوئيم تکنولوژی های
متفاوتی استفاه می نمايند . اغلب ملاقات کنندهگان ، احساس خاصی نسبت به
اين تکنولوژی ها نداشته و صرفا برای آنان نوع سرويس ها و خدمات ارائه شده
دارای اهميت است . برخی از تکنولوژی های استفاده شده عليرغم داشتن جنبههای
مثبت و مهم به ابزارهائی برای برنامه ريزی برخی حملات تبديل شده و حريم
خصوصی کاربران را بهخاطره میاندازد . محتويات فعال ( Active contents ) و
کوکیها ( Cookies ) از جمله موارد فوق ، می باشند.
محتويات فعال چيست ؟
به گزارش سافتگذر به نقل از پلیس فتا؛ در اغلب وب سايت ها به منظور افزايش پتانسيلهای قابل ارائه به کاربران و
يا تزئين سايت از اسکريپتهائی که باعث اجرای برنامهها بر روی مرورگر وب
میشود ، استفاده میگردد . ايجاد منوهای Drop-down و يا انجام افکتهای
گرافيکی متفاوت در يک صفحه وب ، نمونههائی در اين زمينه میباشند . اين
نوع اسکريپتها که به "محتويات فعال" معروف شدهاند ، اغلب به روشی برای
انواع حملات نظير سرقت اطلاعات و يا اجرای کدهای مخرب بر روی کامپيوتر
کاربران، تبديل شدهاند .
• جاوا اسکريپت : جاوا
اسکريپت يکی از متداولترين زبانهای اسکريپت نويسی در وب است که در اکثر
وب سايت ها از آن استفاده می گردد. ( VBscript ،ECMAScript و Jscript
نمونه هائی ديگر در اين زمينه می باشند ) . تامين طيف وسيعی از خواستهها ،
عملکرد مناسب ، سادگی در استفاده و ترکيب آسان با ساير نرم افزارها از
جمله دلايل گسترش استفاده از زبان های اسکريپت نويسی در وب می باشد.
مهاجمان نيز از پتانسيل های ارائه شده توسط زبانهای اسکريپت نويسی به
منظور نيل به اهداف مخرب خود استفاده می نمايند . مثلا يکی از حملات متداول
که با محوريت جاوا اسکريپت صورت میپذيرد ، هدايت کاربران از يک وب سايت
مطمئن به يک وب سايت مخرب است که در آن اقدام به download ويروسها و يا
جمع آوری اطلاعات شخصی کاربران میگردد .
• اپلت های جاوا و کنترل های اکتيوايکس : اپلتهای
جاوا و کنترل های اکتيوايکس برنامه هائی می باشند که بر روی کامپيوتر شما
مستقر شده و يا از طريق شبکه بر روی مرورگر شما download میگردند . در
صورتی که اينگونه برنامه ها ( خصوصا کنترل های اکتيوايکس ) توسط مهاجمان
مديريت و هدايت گردند ، امکان انجام هرگونه عملياتی بر روی کامپيوتر شما
وجود خواهد داشت . اپلت های جاوا معمولا در يک محيط محدودتر اجراء
میگردند . اين نوع از برنامهها در صورت عدم ايمنی مناسب محيط ايجاد شده ،
فرصتهای مناسبی به منظور انواع حملات را برای مهاجمان فراهم می نمايند .
استفاده از جاوا اسکريپت ، اپلتهای جاوا و کنترلهای اکتيوايکس ، همواره
خطرناک نمیباشد . ولی میبايست به اين موضوع دقت شود که امکانات فوق به
ابزارهائی برای انواع حملات توسط مهاجمان، تبديل شدهاند . به منظور
پيشگيری در خصوص محتويات فعال ، امکانات متعددی در اکثر مرورگرها پيش بينی
شده است که با استفاده از آنان و تنظيم بهينه پارامترهای موجود می توان يک
سطح ايمنی مناسب را ايجاد نمود. به موازات افزايش ضريب ايمنی مرورگر خود به
منظور برخورد با محتويات فعال، ممکن است محدوديتهای خاصی در خصوص برخی
ويژگیهای ارائه شده توسط برخی سايتها ، ايجاد گردد. در صورتی که از يک وب
سايت ديدن مینمائيد که نسبت به آن شناخت کافی وجود ندارد ، میبايست
پيشگيری لازم در خصوص غير فعال نمودن محتويات فعال را انجام داد. تهديدات
مشابهی نيز می تواند متوجه برنامه های پست الکترونيکی باشد . تعداد زيادی
از برنامههای پست الکترونيکی از برنامههای مشابه مرورگرها به منظور نمايش
HTML استفاده مینمايند . بنابراين امکان تهديد محتويات فعال در خصوص
نامههای الکترونيکی نيز میتواند وجود داشته باشد .به منظور پيشگيری لازم
در خصوص اين نوع تهديدات می توان پيامها را به صورت متن معمولی ، مشاهده
نمود .
کوکی چيست ؟
در زمان استفاده از اينترنت ، امکان جمعآوری و ذخيره اطلاعات شما وجود
خواهد داشت . اطلاعات فوق ممکن است اطلاعاتی عمومی در خصوص کامپيوتر شما
نظير آدرس IP ، نام Domain استفاده شده به منظور ارتباط با اينترنت ، نوع
مرورگر و سيستم عامل ، باشد . اطلاعات جمع آوری شده می تواند شامل موارد
خاصی نظير آخرين مرتبهای که يک وب سايت را ملاقات نمودهايد و يا اطلاعات
شخصی شما در زمان استفاده از يک وب سايت خاص نظير آدرس پست الکترونيکی باشد
.
• Session cookie
. اين نوع کوکیها صرفا و تا زمانی که از مرورگر استفاده میگردد ،
اطلاعاتی را ذخيره نموده و پس از بستن مرورگر اطلاعات از بين می رود . هدف
از بکارگيری اين نوع کوکیها ، ارائه تسهيلات لازم در خصوص حرکت بين صفحات
متعدد است . مثلا تشخيص مشاهده يک صفحه خاص و يا نگهداری اطلاعاتی در
خصوص دادههای مرتبط با يک صفحه .
• Presistent cookie :
اين نوع کوکیها اطلاعاتی را بر روی کامپيوتر شما ذخيره مینمايند . بدين
ترتيب امکان نگهداری اطلاعات شخصی مرتبط با شما فراهم میگردد . در اکثر
مرورگرها برای اين نوع از کوکیها می توان يک مدت زمان خاص را مشخص نمود(
عمر مفيد ) .در صورتی که يک مهاجم امکان دستيابی به کامپيوتر شما را پيدا
نمايد ، میتواند با مشاهده محتويات فايلهای فوق به اطلاعات شخصی شما
دسترسی نمايد.
به منظور افزايش سطح ايمنی خود ، می بايست تنظيمات امنيتی لازم در خصوص
اعمال محدوديت و يا بلاک نمودن کوکیها را در جهت حفظ حريم خصوصی ، انجام
داد . در صورتی که از يک کامپيوتر عمومی استفاده می نمائيد ، می بايست کوکی
ها را غير فعال نموده تا پيشگيری لازم در خصوص دستيابی سايرين به اطلاعات
شخصی شما ، صورت پذيرد .