تکنولوژی

ایرادات امنیتی مرورگر فایرفاکس

نام نویسنده: ئه سرين رستمی

اکس پارتی – آنچه در زير ميخوانيد ترجمه ى يادداشت هشدار آميزى است که توسط Paul Festa در CNET News.com نوشته است و به ايرادات امنيتى قابليت جديد مروگر محبوب فايرفاکس موسوم به Greasemonkey که به کاربران اين اجازه را ميدهد تا صفحات وب را بدون آگاهى ناشر آنها براى خود سفارشى يا دستکارى کنند.

Greasemonkey کاربران را قادر ميسازد تا آنچه را که تحت عنوان \”user script\” يا اسکريپت کاربر شناخته ميشود را اجرا کرده و صفحه ى وب مورد نظرشان را به يک صفحه ى دانلود شده تغيير دهند. از مزاياى قابليت مذکور اين است كه براى كاربران مشتاقى كه در خواست ايجاد تغييرات در سايتهاى بازديد شده را دارند، امكان برداشتن اسكريپتهاى طراحى شده موجود در سايت را فراهم مى آورد. اين ويژگى در حالى ارائه مى شود كه داراى يك ريسك امنيتى مهم مى باشد و مى تواند باعث شود صاحبان صفحات شخصى دچار مشكل شده و مجبور به دوباره طراحى نمودن صفحات خود شوند.

نکته قابل توجه اين است که نوعى از اسکريپتها که امکان اجاد تغييرات دلخواه را مى دهند به وسيله افراد شرور روى دستگاه کاربران پياده سازى مى شوند. اين نکته جهت احتياط اخطار داده مى شود.

به گفته دنى ساليوان، ويرايشگر ناظر موتور جستجو :\”به نظر مى رسد که در حال حاضر انتشاردهندگان صفحات وب قبول کرده اند که کاربران قابليت ايجاد تغييرات در سايتها را داشته باشند. براى مثال من مى توانم از مرورگر خود اين درخواست را داشته باشم که JavaScript را اجرا نکند و اين مى تواند باعث شود چيزى را که ناشر صفحات وب از صفحاتش انتظار داشته مختل گردد. بعضى از اين موارد ممکن است موارد محاکمه قرار بگيرد اما من فکر مى کنم که در طولانى مدت ناشرين صفحا وب يا خود را با اين قابليت سازگار ميکنند و يا راههاى جديدى را براى مقابله و مبارزه ى با آن پيدا ميکنند.

Greasemonkey به غير از ايجاد تغييرات ظاهرى در صفحات وب کارايى هاى ديگرى نيز دارد. به عنوان نمونه Greasemonkey ميتوند صفحات وب را از تبليغات تهى ساز که البته اين کارش دليلى مناسبى است تا ناشرين و طراحان صفحات وب را به مبارزه با خود بطلبد.

ابزار سفارشى سازى صفحات وب که به کاربران قابليت شکافتن و به هم ريختن عناصر اين صفحات را ميدهد ميتواند براى موقعيت فايرفاکس نيز زمانى که ناشران با تغييرات در صفحات سرناسازگارى بگذارند خطرناک باشد. به عنوان مثال گوگل هنگامى که در توبار جديديش قابليتى را تحت عنوان AutoLink افزود که کاربران را قادر ميساخت تا به صفحات وب لينکهاى خاصى را بيافزايند از جانب تعدادى از سايتهاى معتبر به شدت مورد اعتراض قرار گرفت. و يا به عنوان مثالى ديگر در سال 2001 مايکروسافت چهره زيباترى به ويندوز XP داد که مى توانست کلمات موجود در صفحات وب را به به صفحات انتخاب شده از طرف مايکروسافت لينک کند که اين قابليت نيز شديدا مورد تعرض کمپانى هاى مختلف قرار گرفته و بخشى از سياستهاى انحصار گرايانه ى مايکروسافت خوانده شد و اين اعتراض تا جايى ادامه ى يافت که مايکروسافت مجبور شد قابليت فوق را از سيستم عامل ويندوز XP حذف نمايد.

بر طبق گزارش هايى که در صفحه ى اسکريپتهاى کاربران GreaseMonkey آمده است کاربرانى که از اين قابليت استفاده ميکنند توانسته اند با دستکارى در بخش هاى DHTML برخى از صفحات وب آنها را کاملا دگرگون کند٬ در ادامه آورده شده است که به عنوان مثال با دستکارى در لينکهاى خبرى نيويورک تايمز توانسته اند خوانندگان اين وب سايت را به صفحات خالى از تبليغات هدايت نمايند و ياهمچنين توانسته اند رنگهاى صفحات سايت Slashdot را نيز کاملا عوض کنند آنهم به شکلى که سايت ظاهرى بسيار زشت پيدا کرده. از ديگر طراحيهاى انجام شده براى انجام تغييرات اساسى بيشتر، ارتباط برقرار کردن با Yahoo Mail و Gmail با امنيت مضاعف است.

اين امکان که Butler ناميده مى شود کابران را قادر ميساز تا صفحات نتايج جستجو در گوگل را عارى از تبليغات و لينکهاى تبليغاتى نمايند و محدوديت هاى کپى بردارى از تصاوير توسط گوگل پرينت را حذف نمايند. ( بر طبق آزمايشهاى News.com که اسکريپتهاى مختلف را تست کرده و نشان داده است که بعضى از آنها در برآورده کردن نتيجه نهايى مدنظر بسيار مناسبتر از ديگر نمونه ها بوده اند.) بر طبق آنچه در سايت Greasemonkey آمده است نويسندگان نروژى مرورگر Opera نيز از ايده ى Greasemonkey الهام گرفته اند و ابزار مشابهى را به نسخه بتاى سوم Opera 8 افزوده اند. ز جمله مشکلات موجود با Greasmonkey و user scripts در حالت کلى اينست که ان اسکريپتها قابليت استفاده در هر دو حالت دوستانه و خصمانه را دارا مى باشند.

و ممکن است در بررسى که کابران درليستى فريبنده از اين اسکريپتها انجام مى دهند در مورد تشخيص اين که اين اسکريپتها بى خطر و يا خصمانه هستند دچار اشتباه شوند. به گفته سازندگان Opera در جديدترين پست موجود در سايتشان در مورد ويژگى جديد موجود در آخرين نسخه بتاى اين برنامه: فايلهاى جاوا اسكريپت كاربران (user JavaScript file) مى تواند براى دستگاه شما بدون خطر باشد ولى فايلهايى كه به صورت صحيحى نوشته نشده اند مى توانند سرعت Opera را كاهش دهند و فايلهاى غير دوستانه نقش جاسوس را در دستگاه شما بازى كنند.

هرز اسكريپتى را كه نويسنده آن را نمى شناسيد و يا اطمينان نداريد استفاده و نصب نكنيد، در صورت شك داشتن آن را براى انجمن گفتگوى Opera بفرستيد و در مورد ساختار صحيح آن اطمينان حاصل كنيد. به گفته ريچارد اسميت، مشاور امنيتى و کسى که سايت ComputerBytesMan را راه اندازى کرده است : \”اسکريپتهاى کاربر يا همان user scripts همچينين قابليت آسان کردن نقشه ها و طرحها جهت دستبرد به پسوردها را دارند. افراد شرور مى توانند به راحتى اسکريپتى را جهت دزديدن مشخصه کاربرى و کلمه عبور از صفحات Login با استفاده از اين ابزار طراحى کنند.

در شرايط عادى جهت اين کار احتياج به اين امر دارند که به کامپيوتر قرباى دسترسى پيدا کرده و اسکريپتهاى مورد نظر را روى ان نصب کنند. اما با اين ابزار مراحل دزدى بسيار راحتتر خواهد شد. Aaron Boodman کسى که 26 سال سابقه برنامه نويسى در در Seattle را دارد برنامه نويس Greasmonkey است ، وى از هرگونه توضيح در مورد اين قابليت و يا مشکلات امنيتى آن سر باز ميزند. اما در آخرين نوشته موجود در سايتش، احتمال وجود ضعف امنيتى در آن را تصديق ميکند و ابراز نگرانى مى نمايد که Greasmonkey مى تواند آسيب پذير گردد و در انتها به يک رسوايى تبديل شود.

بودمان نوشته است:\” يک هکر مى تواند يک اسکريپت را ايجاد کند تا چيزى را که مدنظر کاربر است انجام دهد اما در اين ميان ارتباطى با سرور هکر برقرار شده و Cookie هاى دستگاه را براى او ارسال کند. همچنين مى تواند شرايط را جهت پيدا کردن رمز عبور فيلدها هموار کند، البته در اين زمان خيال من راحت است چراکه مجموعه Greasmonkey يک خانواده کوچک و تکنيکى است و اين مسئله هکرها را براى پخش اسکريپتهاى حطرناک به دشوارى ميکشاند.

\” در اين پست بودمان اشاره کرده است که او آماده دريافت ايده جهت اصلاح امنيت Greasmonkey مى باشد. همچنين او در مورد مسير مشابهى که Opera اجرا کرده است اخطار داده. او نوشته است :\” تمام چيزى که من مى توانم بگويم اين است که اين نيز همانند ساير برنامه هاست و شما بايد در هنگام نصب user script ها کمى تفکر کرده و سپس آن را اجرا کنيد. مطمئن شويد که نويسنده آن کسى است که شما به او اعتماد داريد و يا مربوط به يکى از شبکه هاى قابل اعتماد شماست.\”

نوشته های مشابه

دیدگاهتان را بنویسید

دکمه بازگشت به بالا