ब्राउज़र सुरक्षा

ब्राउज़र सुरक्षा नेटवर्क डेटा और कंप्यूटर सिस्टम को गोपनीयता या मैलवेयर के उल्लंघन से बचाने के लिए वेब ब्राउज़र पर इंटरनेट सुरक्षा का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर जावास्क्रिप्ट का उपयोग करते हैं, कभी-कभी क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) के साथ एडोब फ्लैश (Adobe Flash) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ। सुरक्षा शोषण भेद्यता (सुरक्षा छेद) का भी लाभ उठा सकता है जो आमतौर पर सभी ब्राउज़रों (मोज़िला फ़ायरफ़ॉक्स, गूगल क्रोम, ओपेरा, माइक्रोसॉफ्ट इंटरनेट एक्सप्लोरर, और सफारी सहित में शोषण किया जाता है।

सुरक्षा
वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:
 * ऑपरेटिंग सिस्टम का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।
 * ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में एक मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
 * मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
 * ब्राउज़र घटक हैक किए जा सकते हैं।
 * ब्राउजर प्लगइन्स हैक किए जा सकते हैं।
 * मशीन के बाहर ब्राउजर नेटवर्क कम्युनिकेशन को इंटरसेप्ट किया जा सकता है।

हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।

जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि और कुछ नहीं तो वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए)। यदि दुर्भावनापूर्ण कोड वेबसाइट की सामग्री में डाला गया है, या सबसे खराब स्थिति में, यदि उस वेबसाइट को विशेष रूप से दुर्भावनापूर्ण कोड को होस्ट करने के लिए डिज़ाइन किया गया है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट भेद्यताएँ इस दुर्भावनापूर्ण कोड को ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकती हैं। अनपेक्षित तरीकों से (और याद रखें, एक जानकारी जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है- विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)। एक बार जब कोई हमलावर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, तो ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से हमलावर को संक्रमित प्रणाली में विशेषाधिकार प्राप्त पहुंच प्राप्त करने की अनुमति मिल सकती है (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) ताकि वह और भी अधिक प्रदर्शन कर सके। मशीन या यहां तक ​​कि पीड़ित के पूरे नेटवर्क पर विभिन्न प्रकार की दुर्भावनापूर्ण प्रक्रियाएं और गतिविधियां। वेब ब्राउज़र सुरक्षा के उल्लंघन आमतौर पर पॉप-अप विज्ञापन प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं वेब बग, क्लिकजैकिंग, जैकिंग की तरह (जहां फेसबुक के बटन की तरह को लक्षित किया जाता है) जैसे टूल का उपयोग करके किसी उपयोगकर्ता के बारे में इंटरनेट विपणन या पहचान की चोरी, वेबसाइट ट्रैकिंग या वेब विश्लेषिकी के लिए व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना, HTTP कुकीज़, ज़ोंबी कुकीज़ या स्थानीय साझा वस्तु (स्थानीय साझा वस्तुएँ या LSOs); एडवेयर, कंप्यूटर वायरस, स्पाइवेयर जैसे ट्रोजन हॉर्स (कंप्यूटिंग) (क्रैकर (कंप्यूटर सुरक्षा) के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या मैन-इन-ब्राउज़र हमलों का उपयोग करके ऑनलाइन बैंकिंग चोरी सहित अन्य मैलवेयर स्थापित करना।

क्रोमियम वेब-ब्राउज़र में भेद्यता के गहन अध्ययन से संकेत मिलता है कि, अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा भेद्यता के लिए सबसे अधिक होने वाले मूल कारण हैं। इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों के बीच, तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण क्रोमियम में 106 कमजोरियां हुईं।

वेब ब्राउजर सॉफ्टवेयर में कमजोरियों को ब्राउजर सॉफ्टवेयर को अपडेट रखकर ही कम किया जा सकता है। लेकिन पर्याप्त नहीं होगा यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट द्वारा। ब्राउज़र के कुछ उप-घटक जैसे स्क्रिप्टिंग, ऐड-ऑन और कुकीज़  विशेष रूप से कमजोर हैं (भ्रमित उप समस्या) और उन्हें भी संबोधित करने की आवश्यकता है।

रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, तो rootkit लॉगर को कीस्ट्रोक लकड़हारा सकता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच हमला कर सकता है। डीएनएस अपहरण या डीएनएस स्पूफिंग का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने, या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। आरएसप्लग जैसे मैलवेयर केवल दुष्ट DNS सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।

इनमें से कुछ हमलों को रोकने में मदद के लिए ब्राउज़र नेटवर्क प्रोटोकॉल के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:
 * डोमेन नाम प्रणाली: DNSSec और DNSCrypt, उदाहरण के लिए Google सार्वजनिक DNS या OpenDNS जैसे गैर-डिफ़ॉल्ट DNS सर्वरों के साथ।
 * एचटीटीपी: HTTP सुरक्षित और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित सार्वजनिक कुंजी प्रमाणपत्र या विस्तारित सत्यापन प्रमाणपत्र के साथ।

पेरिमीटर सुरक्षा, आम तौर पर फ़ायरवॉल के माध्यम से और सामग्री-नियंत्रण सॉफ़्टवेयर प्रॉक्सी सर्वर का उपयोग जो दुर्भावनापूर्ण वेबसाइटों को अवरुद्ध करता है और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन करता है, आमतौर पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को अवरुद्ध करने के लिए सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।

ब्राउज़र सुरक्षा का विषय संपूर्ण संगठनों के निर्माण को बढ़ावा देने के बिंदु तक बढ़ गया है, जैसे कि ब्राउज़र एक्सप्लॉयटेशन फ्रेमवर्क प्रोजेक्ट, ब्राउज़र सुरक्षा को भंग करने के लिए उपकरण एकत्र करने के लिए प्लेटफ़ॉर्म बनाना, जाहिरा तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए।

प्लगइन्स और एक्सटेंशन
हालाँकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र प्लग-इन (कंप्यूटिंग) और ब्राउज़र एक्सटेंशन हमले की सतह का विस्तार करते हैं, Adobe Flash Player#Security, Adobe Acrobat#Security|Adobe (Acrobat) Reader, Java plugin, और ActiveX में कमजोरियों को उजागर करते हैं। सामान्य रूप से शोषण किया जाता है। शोधकर्ताओं विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर निर्भर विभिन्न वेब-ब्राउज़रों की सुरक्षा संरचना का व्यापक अध्ययन किया है। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित न्यूनीकरणों की पहचान की है। मैलवेयर को ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे इंटरनेट एक्सप्लोरर के मामले में ब्राउज़र सहायक वस्तु Google Chrome#Security और Mozilla Firefox#Security जैसे ब्राउज़र असुरक्षित प्लगइन्स को ब्लॉक कर सकते हैं या उपयोगकर्ताओं को चेतावनी दे सकते हैं।

एडोब फ्लैश
सामाजिक विज्ञान अनुसंधान नेटवर्क द्वारा अगस्त 2009 के एक अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी। अधिकांश ब्राउज़रों के वेब कैश और इतिहास हटाने के कार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं को अपने कैश में लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय HTTP कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है। इस प्रकार, जिन उपयोगकर्ताओं ने HTTP कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, Firefox के लिए BetterPrivacy ऐड-ऑन फ़्लैश कुकीज़ को हटा सकता है। Adblock Plus का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है और अन्य विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले एक विकल्प देने के लिए फ़्लैशब्लॉक का उपयोग किया जा सकता है। चार्ली मिलर (सुरक्षा शोधकर्ता) ने फ्लैश इंस्टॉल न करने की सिफारिश की कंप्यूटर सुरक्षा सम्मेलन CanSecWest में। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो Adobe Flash Player को इंस्टॉल न करें या इसे ब्लॉक कर दें।

पासवर्ड सुरक्षा मॉडल
एक वेब पेज की सामग्री मनमाने ढंग से और पता बार में प्रदर्शित डोमेन नाम वाली इकाई द्वारा नियंत्रित होती है। यदि HTTPS का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग हमलावरों के खिलाफ सुरक्षित करने के लिए किया जाता है, जिनके पास नेटवर्क तक पहुंच के साथ पृष्ठ सामग्री को रास्ते में बदलने से होता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए एड्रेस बार को देखना चाहिए कि एड्रेस बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है या नहीं। उदाहरण के लिए, Google के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह जांचना चाहिए कि एड्रेस बार https://accounts.google.com कहता है।

समझौता न करने वाला ब्राउज़र गारंटी देता है कि पता बार सही है। यह गारंटी एक कारण है कि ब्राउज़र आमतौर पर पूर्णस्क्रीन मोड में प्रवेश करते समय पता बार के शीर्ष पर एक चेतावनी प्रदर्शित करते हैं, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र उपयोगकर्ता इंटरफ़ेस नहीं बना सके।

हार्डवेयर ब्राउज़र
गैर-लिखने योग्य, रीड-ओनली फाइल सिस्टम से चलने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डिवाइस पर डेटा संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक स्वच्छ निष्पादन योग्य प्रस्तुत करता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जो 2013 के अंत में जारी किया गया था। 2016 के मध्य। एक अन्य उपकरण, iCloak वेबसाइट से iCloak® Stik एक पूर्ण लाइव USB प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और रीड-ओनली सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लाक के साथ वे बेनामी ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-अनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, https का उपयोग नहीं करना), फिर भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।

लाइवसीडी
लाइव सीडी की सूची, जो एक गैर-लेखन योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाती हैं, आमतौर पर वेब ब्राउज़र के साथ उनकी डिफ़ॉल्ट छवि के हिस्से के रूप में आती हैं। यदि मूल LiveCD छवि मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, हर बार LiveCD छवि बूट होने पर मैलवेयर से मुक्त लोड होंगे।

ब्राउज़र सख्त
इंटरनेट को कम से कम विशेषाधिकार के सिद्धांत के रूप में ब्राउज़ करना | कम से कम विशेषाधिकार वाला उपयोगकर्ता खाता (यानी व्यवस्थापक विशेषाधिकारों के बिना) पूरे ऑपरेटिंग सिस्टम से समझौता करने से वेब ब्राउज़र में सुरक्षा शोषण की क्षमता को सीमित करता है। इंटरनेट एक्सप्लोरर 4 और बाद में ब्लैकलिस्टिंग की अनुमति देता है  और श्वेतसूची  ActiveX नियंत्रण, ऐड-ऑन और ब्राउज़र एक्सटेंशन विभिन्न तरीकों से।

Internet Explorer 7 में सुरक्षित मोड जोड़ा गया है, एक ऐसी तकनीक जो अनिवार्य अखंडता नियंत्रण नामक Windows Vista की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को कठोर बनाती है। ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए Google Chrome एक सैंडबॉक्स (कंप्यूटर सुरक्षा) प्रदान करता है। Google को रिपोर्ट की गई संदिग्ध मैलवेयर साइटें, और Google द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में फ़्लैग किए गए हैं। हार्डनिंग (कंप्यूटिंग) यहां तक ​​कि नवीनतम ब्राउज़रों के लिए तृतीय-पक्ष एक्सटेंशन और प्लगइन्स उपलब्ध हैं, और कुछ पुराने ब्राउज़र और ऑपरेटिंग सिस्टम के लिए। नोस्क्रिप्ट जैसे श्वेतसूची-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - AdBlock Plus भी श्वेतसूची विज्ञापन फ़िल्टरिंग नियमों की सदस्यता का उपयोग करता है, हालाँकि स्वयं सॉफ़्टवेयर और फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की अनुमति देने के लिए डिफ़ॉल्ट रूप से विवादों में आ गए हैं। यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम | US-CERT ने NoScript का उपयोग करके Adobe Flash को ब्लॉक करने की सिफारिश की है।

फज़िंग
कमजोरियों को उजागर करने के लिए आधुनिक वेब ब्राउज़र व्यापक फ़ज़िंग से गुजरते हैं। Google Chrome का क्रोमियम (वेब ​​​​ब्राउज़र) कोड क्रोम सुरक्षा टीम द्वारा 15,000 कोर के साथ लगातार फ़ज़ किया जाता है। Microsoft एज और इंटरनेट एक्स्प्लोरर के लिए, Microsoft ने उत्पाद विकास के दौरान 670 मशीन-वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन HTML फ़ाइलों से 400 बिलियन से अधिक DOM जोड़तोड़ किए गए।

सर्वोत्तम अभ्यास

 * स्वच्छ सॉफ़्टवेयर लोड करें: ज्ञात स्वच्छ OS से बूट करें जिसमें एक ज्ञात स्वच्छ वेब ब्राउज़र हो
 * क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (CORS) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (वेबकिट-आधारित ब्राउज़रों के लिए उदाहरण पैच प्रदान किए गए हैं)
 * तृतीय-पक्ष सॉफ़्टवेयर के माध्यम से हमलों को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
 * DNS हेरफेर रोकें: विश्वसनीय और सुरक्षित DNS का उपयोग करें
 * वेबसाइट-आधारित कारनामों से बचें: आमतौर पर इंटरनेट सुरक्षा सॉफ़्टवेयर में पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
 * दुर्भावनापूर्ण सामग्री से बचें: परिधि सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें

यह भी देखें

 * फ़िल्टर बुलबुला
 * फ्रेम इंजेक्शन
 * पहचान संचालित नेटवर्किंग
 * इंटरनेट सुरक्षा
 * नेटवर्क सुरक्षा नीति
 * आवेदन सुरक्षा

इस पेज में लापता आंतरिक लिंक की सूची

 * चोरी की पहचान
 * व्यक्तिगत पहचान की जानकारी
 * पटाखा (कंप्यूटर सुरक्षा)
 * निजी कंप्यूटर
 * स्पीडी
 * Google सार्वजनिक डीएनएस
 * डॉमेन नाम सिस्टम
 * गहराई में रक्षा
 * डीएनएस सर्वर
 * सामग्री नियंत्रण सॉफ्टवेयर
 * बीच वाला व्यक्ति
 * भ्रमित डिप्टी समस्या
 * कैशिंग
 * लाइव यूएसबी
 * कम से कम विशेषाधिकार का सिद्धांत
 * क्रोमियम (वेब ​​ब्राउज़र)
 * माइक्रोसॉफ्ट बढ़त