Hyperlinkin tarkastus Chrome- ja Firefox-selaimissa

Joskus aloittelijat tai viattomat käyttäjät voidaan huijata osallistumaan tahattomasti, jos se lähettää tietoja toiseen resurssiin. Tämä voi lisätä tietosuojariskiä. Esimerkiksi HTML5 on lisännyt verkkoon ominaisuuden nimeltä Hyperlink Auditing . Jos et ole tietoinen tästä ominaisuudesta, hyperlinkin(Hyperlink) tarkastus lisätään verkkosivulle tai luodaan alueelementillä, jolla on ping-attribuutti.

Hyperlinkin tarkastuspingit

Sivustot käyttävät sitä tavallisesti linkkien napsautusten seuraamiseen, mutta verkkorikolliset ovat myös todenneet sitä väärinkäyttääkseen valtavan määrän verkkopyyntöjä sivustoille yrittäessään viedä ne offline-tilaan. Joten kuinka poistaa tämä ominaisuus käytöstä Chrome- tai Firefox - selaimessa? Yritetään myös vastata muutamaan siihen liittyvään kysymykseen.

Jatkamme kahdessa vaiheessa -

  1. Poista hyperlinkin tarkastus käytöstä
  2. Selvitä, onko Hyperlinkin(Hyperlink) auditointi hyvä vai huono

Hyperlinkin(Hyperlink) tarkastus on HTML - standardi, jonka avulla voidaan luoda erityisiä linkkejä, jotka ping-aavat takaisin tiettyyn URL-osoitteeseen, kun niitä napsautetaan. Nämä ping-kutsut suoritetaan POST -pyynnön muodossa määritetylle verkkosivulle, joka voi sitten tutkia pyynnön otsikoita nähdäkseen, mitä sivua linkkiä napsautettiin.

1] Poista hyperlinkin tarkastus käytöstä

Firefox on yksi harvoista selaimista, joissa ping-attribuutti on oletuksena poistettu käytöstä. Voit tarkistaa sen avaamalla selaimen ja katsomalla about:config >  browser.send_pings - merkinnän arvoa. Katso lisätietoja alla olevasta kuvakaappauksesta.

Hyper auditointi

Chrome aikoo poistaa tämän ominaisuuden tulevista versioista. Voit kuitenkin poistaa sen käytöstä avaamalla chrome://flags#disable-hyperlink-auditing ja asettamalla lipun arvoksi Disabled.

Tiedoksi uudemmissa versioissa Hyperlinkin(Hyperlink) ping-seurantaominaisuus on oletuksena käytössä, joten et välttämättä näe näitä lippuja selaimessasi.

2] Onko hyperlinkin(Hyperlink) tarkastus hyvä vai huono

Oli raportti joskus aiemmin; se ehdotti, että uudentyyppinen DDoS-hyökkäys(DDoS attack) väärinkäyttää HTML5 Ping -pohjaista hyperlinkkien tarkastusominaisuutta.

Hyökkäys koskee ensisijaisesti käyttäjiä, jotka vierailevat viattomasti muotoillulla verkkosivulla, jossa on kaksi ulkoista JavaScript - tiedostoa. Yksi niistä sisältää URL- osoitteita(URLs) sisältävän taulukon (joiden uskotaan olevan DDoS - hyökkäyksen kohteita. Toisessa JavaScript -tiedostossa oli toiminto, joka valitsi satunnaisesti URL-osoitteen taulukosta, loi tunnisteen "ping"-attribuutilla ja napsautti ohjelmallisesti linkki joka sekunti. Tämän ansiosta hyökkääjät saattoivat lähettää hyperlinkin tarkastuspingin kohteeseen niin kauan kuin verkkosivu oli auki. Hyökkäys perustui sellaisenaan haavoittuvuuden sijaan laillisen ominaisuuden muuttamiseen hyökkäystyökaluksi.

Tämä on huolestuttava trendi, joten hyperlinkkien(Hyperlink) auditointia ei yleensä pidetä hyvänä ideana.



About the author

Olen tietojenkäsittelytieteilijä, jolla on yli 10 vuoden kokemus selainten, Microsoft Officen ja onedriven parista. Olen erikoistunut verkkokehitykseen, käyttäjäkokemustutkimukseen ja laajamittaiseen sovelluskehitykseen. Taitojani käyttävät eräät maailman johtavista yrityksistä, kuten Google, Facebook ja Apple.



Related posts