ब्राउज़र सुरक्षा

ब्राउज़र सुरक्षा नेटवर्क डेटा और कंप्यूटर सिस्टम को गोपनीयता या मैलवेयर के उल्लंघन से बचाने के लिए वेब ब्राउज़र पर इंटरनेट सुरक्षा का उपयोग है। ब्राउज़रों के सुरक्षा शोषण अक्सर जावास्क्रिप्ट का उपयोग करते हैं, कभी-कभी क्रॉस साइट स्क्रिप्टिंग (एक्सएसएस) के साथ एडोब फ्लैश (Adobe Flash) का उपयोग करते हुए एक माध्यमिक पेलोड के साथ। सुरक्षा शोषण भेद्यता (सुरक्षा छेद) का भी लाभ उठा सकता है जो आमतौर पर सभी ब्राउज़रों (मोज़िला फ़ायरफ़ॉक्स, गूगल क्रोम, ओपेरा, माइक्रोसॉफ्ट इंटरनेट एक्सप्लोरर, और सफारी सहित में शोषण किया जाता है।

सुरक्षा
वेब ब्राउजर को निम्नलिखित तरीकों में से एक या अधिक तरीकों से भंग किया जा सकता है:
 * ऑपरेटिंग सिस्टम का उल्लंघन (ब्रीच) किया गया है और मैलवेयर विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़/संशोधित कर रहा है।
 * ऑपरेटिंग सिस्टम में बैकग्राउंड प्रोसेस के रूप में एक मैलवेयर चल रहा है, जो विशेषाधिकार प्राप्त मोड में ब्राउज़र मेमोरी स्पेस को पढ़ रहा है/संशोधित कर रहा है।
 * मुख्य ब्राउज़र एक्जीक्यूटेबल को हैक किया जा सकता है।
 * ब्राउज़र घटक हैक किए जा सकते हैं।
 * ब्राउजर प्लगइन्स हैक किए जा सकते हैं।
 * मशीन के बाहर ब्राउजर नेटवर्क कम्युनिकेशन को इंटरसेप्ट किया जा सकता है।

हो सकता है कि ब्राउजर उपरोक्त किसी भी उल्लंघन के बारे में नहीं जानता हो और उपयोगकर्ता को यह प्रदर्शित कर सकता है कि एक सुरक्षित कनेक्शन बना हुआ है।

जब भी कोई ब्राउज़र किसी वेबसाइट के साथ संचार करता है, तो वेबसाइट, उस संचार के भाग के रूप में, ब्राउज़र के बारे में कुछ जानकारी एकत्र करती है (यदि वितरित किए जाने वाले पृष्ठ के स्वरूपण को संसाधित करने के लिए और कुछ नहीं है)।) यदि किसी वेबसाइट की कंटेंट में विद्वेषपूर्ण कोड डाला गया है, या सबसे खराब स्थिति में, यदि वह वेबसाइट विशेष रूप से विद्वेषपूर्ण कोड को होस्ट करने के लिए डिज़ाइन की गई है, तो किसी विशेष ब्राउज़र के लिए विशिष्ट कमजोरियों का उपयोग इस विद्वेषपूर्ण कोड पर हमला करने के लिए किया जा सकता है। ब्राउज़र एप्लिकेशन के भीतर प्रक्रियाओं को चलाने की अनुमति दे सकता है। अनपेक्षित तरीकों से (और याद रखें, जानकारी के उन टुकड़ों में से एक जो एक वेबसाइट एक ब्राउज़र संचार से एकत्र करती है, वह ब्राउज़र की पहचान है - जो इसे विशिष्ट कमजोरियों का फायदा उठाने की अनुमति देता है)। एक बार एक अटैकर आगंतुक की मशीन पर प्रक्रियाओं को चलाने में सक्षम हो जाता है, ज्ञात सुरक्षा कमजोरियों का फायदा उठाने से अटैकर को "संक्रमित" सिस्टम (यदि ब्राउज़र पहले से विशेषाधिकार प्राप्त पहुंच के साथ नहीं चल रहा है) तक विशेषाधिकार प्राप्त करने कीअनुमतियाँ प्राप्त की जा सकती हैं और मशीन या यहाँ तक कि पीड़ित के पूरे नेटवर्क पर गतिविधियाँ की जा सकती हैं।

वेब ब्राउजर सुरक्षा के उल्लंघन आमतौर पर पॉप-अप विज्ञापन प्रदर्शित करने के लिए सुरक्षा को दरकिनार करने के उद्देश्य से होते हैं इंटरनेट मार्केटिंग या आइडेंटिटी की चोरी, वेबसाइट ट्रैकिंग या वेब एनालिटिक्स के लिए उपयोगकर्ताओं के बारे में उनकी इच्छा के खिलाफ व्यक्तिगत रूप से पहचान योग्य जानकारी (पीआईआई) एकत्र करना जैसे टूल का उपयोग करना। वेब बग के रूप में, क्लिकजैकिंग, लाइकजैकिंग (जहां फेसबुक का लाइक बटन लक्षित है), एचटीटीपी कुकीज, ज़ोंबी कुकीज या फ्लैश कुकीज (लोकल शेयर्ड ऑब्जेक्ट्स या एलएसओ); एडवेयर इंस्टॉल करना, वायरस, स्पाइवेयर जैसे ट्रोजन हॉर्स (क्रैकिंग के माध्यम से उपयोगकर्ताओं के व्यक्तिगत कंप्यूटरों तक पहुंच प्राप्त करने के लिए) या मैन-इन-द-ब्राउज़र हमलों का उपयोग करके ऑनलाइन बैंकिंग चोरी सहित अन्य मैलवेयर।

क्रोमियम में वल्नरेबिलिटी के गहन अध्ययन में, एक वेब ब्राउज़र इंगित करता है कि अनुचित इनपुट सत्यापन (CWE-20) और अनुचित पहुँच नियंत्रण (CWE-284) सुरक्षा वल्नरेबिलिटी के सबसे अधिक होने वाले मूल कारण हैं। इसके अलावा, इस अध्ययन के समय जांच की गई कमजोरियों में से 106 वल्नरेबिलिटी क्रोमियम में तीसरे पक्ष के पुस्तकालयों के कमजोर संस्करणों के पुन: उपयोग या आयात के कारण हुईं।

वेब ब्राउज़र सॉफ़्टवेयर में वल्नरेबिलिटी को ब्राउज़र सॉफ़्टवेयर को अपडेट करके कम किया जा सकता है, लेकिन यह पर्याप्त नहीं हो सकता है यदि अंतर्निहित ऑपरेटिंग सिस्टम से समझौता किया जाता है, उदाहरण के लिए, रूटकिट्स द्वारा। ब्राउज़र के कुछ उप-घटक जैसे कि स्क्रिप्टिंग, ऐड-ऑन और कुकीज,  विशेष रूप से कमजोर हैं ("अस्पष्ट उप-समस्या") और उन्हें संबोधित करने की भी आवश्यकता है।

रक्षा के सिद्धांत का गहराई से पालन करते हुए, पूरी तरह से पैच किया गया और सही ढंग से कॉन्फ़िगर किया गया ब्राउज़र यह सुनिश्चित करने के लिए पर्याप्त नहीं हो सकता है कि ब्राउज़र से संबंधित सुरक्षा समस्याएँ उत्पन्न नहीं हो सकती हैं। उदाहरण के लिए, एक रूटकिट (rootkit) कीस्ट्रोक को कैप्चर कर सकता है जब कोई व्यक्ति किसी बैंकिंग वेबसाइट में लॉग इन करता है, या किसी वेब ब्राउज़र से नेटवर्क ट्रैफ़िक को संशोधित करके मैन-इन-द-बीच अटैक करता है। डीएनएस हाइजैकिंग या डीएनएस स्पूफिंग का इस्तेमाल गलत टाइप किए गए वेबसाइट नामों के लिए झूठी सकारात्मकता लौटाने या लोकप्रिय खोज इंजनों के लिए खोज परिणामों को उलटने के लिए किया जा सकता है। आरएसप्लग जैसे मैलवेयर केवल दोषपूर्ण डीएनएस (DNS) सर्वरों को इंगित करने के लिए सिस्टम के कॉन्फ़िगरेशन को संशोधित करता है।

ब्राउज़र इनमें से कुछ अटैक्स को रोकने में मदद के लिए नेटवर्क संचार के अधिक सुरक्षित तरीकों का उपयोग कर सकते हैं:
 * डीएनएस: डीएनएससेक (DNSSec) और डीएनएस क्रिप्ट (DNSCrypt), उदाहरण के लिए गैर-डिफॉल्ट डीएनएस सर्वर जैसे कि गूगल पब्लिक डीएनएस या ओपनडीएनएस (OpenDNS)।
 * एचटीटीपी: एचटीटीपी सुरक्षित और एसपीडीवाई डिजिटल रूप से हस्ताक्षरित पुब्लिक की सर्टिफिकेट (सार्वजनिक कुंजी प्रमाणपत्र) या विस्तारित मान्यता प्रमाणपत्र के साथ।

पेरिमीटर सुरक्षा, आमतौर पर फ़ायरवॉल के माध्यम से और दुर्भावनापूर्ण वेबसाइटों को ब्लॉक करने वाले प्रॉक्सी सर्वर को फ़िल्टर करने और किसी भी फ़ाइल डाउनलोड के एंटीवायरस स्कैन का उपयोग करने के लिए, आमतौर पर बड़े संगठनों में एक ब्राउज़र तक पहुँचने से पहले दुर्भावनापूर्ण नेटवर्क ट्रैफ़िक को ब्लॉक करने के लिए एक सर्वोत्तम अभ्यास के रूप में लागू किया जाता है।

ब्राउज़र सुरक्षा का विषय पूरे संगठनों के निर्माण के बिंदु तक बढ़ गया है, जैसे कि द ब्राउज़र एक्सप्लॉइटेशन फ्रेमवर्क प्रोजेक्ट, ब्राउज़र सुरक्षा को भंग करने के लिए उपकरणों को इकट्ठा करने के लिए प्लेटफ़ॉर्म बनाना, जाहिर तौर पर कमजोरियों के लिए ब्राउज़र और नेटवर्क सिस्टम का परीक्षण करने के लिए.

लगइन्स और एक्सटेंशन
हालाँकि ब्राउज़र का हिस्सा नहीं है, ब्राउज़र प्लग-इन (कंप्यूटिंग) और ब्राउज़र एक्सटेंशन हमले की सतह का विस्तार करते हैं, Adobe Flash Player#Security, Adobe Acrobat#Security|Adobe (Acrobat) Reader, Java plugin, और ActiveX में कमजोरियों को उजागर करते हैं। सामान्य रूप से शोषण किया जाता है। शोधकर्ताओं विशेष रूप से प्लग-एंड-प्ले डिज़ाइन पर निर्भर विभिन्न वेब-ब्राउज़रों की सुरक्षा संरचना का व्यापक अध्ययन किया है। इस अध्ययन ने 16 सामान्य भेद्यता प्रकारों और 19 संभावित न्यूनीकरणों की पहचान की है। मैलवेयर को ब्राउज़र एक्सटेंशन के रूप में भी लागू किया जा सकता है, जैसे इंटरनेट एक्सप्लोरर के मामले में ब्राउज़र सहायक वस्तु Google Chrome#Security और Mozilla Firefox#Security जैसे ब्राउज़र असुरक्षित प्लगइन्स को ब्लॉक कर सकते हैं या उपयोगकर्ताओं को चेतावनी दे सकते हैं।

एडोब फ्लैश
सामाजिक विज्ञान अनुसंधान नेटवर्क द्वारा अगस्त 2009 के एक अध्ययन में पाया गया कि फ्लैश का उपयोग करने वाली 50% वेबसाइटें भी फ्लैश कुकीज़ का उपयोग कर रही थीं, फिर भी गोपनीयता नीतियों ने शायद ही कभी उन्हें प्रकट किया, और गोपनीयता वरीयताओं के लिए उपयोगकर्ता नियंत्रणों की कमी थी। अधिकांश ब्राउज़रों के वेब कैश और इतिहास हटाने के कार्य फ्लैश प्लेयर के स्थानीय साझा वस्तुओं को अपने कैश में लिखने को प्रभावित नहीं करते हैं, और उपयोगकर्ता समुदाय HTTP कुकीज़ की तुलना में फ्लैश कुकीज़ के अस्तित्व और कार्य के बारे में बहुत कम जागरूक है। इस प्रकार, जिन उपयोगकर्ताओं ने HTTP कुकीज़ और शुद्ध ब्राउज़र इतिहास फ़ाइलों और कैश को हटा दिया है, वे यह मान सकते हैं कि उन्होंने अपने कंप्यूटर से सभी ट्रैकिंग डेटा को शुद्ध कर दिया है, जबकि वास्तव में फ्लैश ब्राउज़िंग इतिहास बना रहता है। साथ ही मैन्युअल निष्कासन, Firefox के लिए BetterPrivacy ऐड-ऑन फ़्लैश कुकीज़ को हटा सकता है। Adblock Plus का उपयोग विशिष्ट खतरों को फ़िल्टर करने के लिए किया जा सकता है और अन्य विश्वसनीय साइटों पर सामग्री की अनुमति देने से पहले एक विकल्प देने के लिए फ़्लैशब्लॉक का उपयोग किया जा सकता है। चार्ली मिलर (सुरक्षा शोधकर्ता) ने फ्लैश इंस्टॉल न करने की सिफारिश की कंप्यूटर सुरक्षा सम्मेलन CanSecWest में। कई अन्य सुरक्षा विशेषज्ञ भी सलाह देते हैं कि या तो Adobe Flash Player को इंस्टॉल न करें या इसे ब्लॉक कर दें।

पासवर्ड सुरक्षा मॉडल
एक वेब पेज की सामग्री मनमाने ढंग से और पता बार में प्रदर्शित डोमेन नाम वाली इकाई द्वारा नियंत्रित होती है। यदि HTTPS का उपयोग किया जाता है, तो एन्क्रिप्शन का उपयोग हमलावरों के खिलाफ सुरक्षित करने के लिए किया जाता है, जिनके पास नेटवर्क तक पहुंच के साथ पृष्ठ सामग्री को रास्ते में बदलने से होता है। जब एक वेब पेज पर एक पासवर्ड फ़ील्ड के साथ प्रस्तुत किया जाता है, तो एक उपयोगकर्ता को यह निर्धारित करने के लिए एड्रेस बार को देखना चाहिए कि एड्रेस बार में डोमेन नाम पासवर्ड भेजने के लिए सही जगह है या नहीं। उदाहरण के लिए, Google के एकल साइन-ऑन सिस्टम (उदाहरण के लिए youtube.com पर उपयोग किया जाता है) के लिए, उपयोगकर्ता को अपना पासवर्ड डालने से पहले हमेशा यह जांचना चाहिए कि एड्रेस बार https://accounts.google.com कहता है।

समझौता न करने वाला ब्राउज़र गारंटी देता है कि पता बार सही है। यह गारंटी एक कारण है कि ब्राउज़र आमतौर पर पूर्णस्क्रीन मोड में प्रवेश करते समय पता बार के शीर्ष पर एक चेतावनी प्रदर्शित करते हैं, ताकि एक पूर्णस्क्रीन वेबसाइट नकली पता बार के साथ एक नकली ब्राउज़र उपयोगकर्ता इंटरफ़ेस नहीं बना सके।

हार्डवेयर ब्राउज़र
गैर-लिखने योग्य, रीड-ओनली फाइल सिस्टम से चलने वाले हार्डवेयर-आधारित ब्राउज़रों को बाजार में लाने का प्रयास किया गया है। डिवाइस पर डेटा संग्रहीत नहीं किया जा सकता है और मीडिया को अधिलेखित नहीं किया जा सकता है, हर बार लोड होने पर एक स्वच्छ निष्पादन योग्य प्रस्तुत करता है। इस तरह का पहला उपकरण ज़ीउसगार्ड सिक्योर हार्डवेयर ब्राउज़र था, जो 2013 के अंत में जारी किया गया था। 2016 के मध्य। एक अन्य उपकरण, iCloak वेबसाइट से iCloak® Stik एक पूर्ण लाइव USB प्रदान करता है जो कंप्यूटर के संपूर्ण ऑपरेटिंग सिस्टम को पूरी तरह से बदल देता है और रीड-ओनली सिस्टम से दो वेब ब्राउज़र प्रदान करता है। आईक्लाक के साथ वे बेनामी ब्राउज़िंग के लिए टोर ब्राउज़र और साथ ही गैर-अनाम ब्राउज़िंग के लिए एक नियमित फ़ायरफ़ॉक्स ब्राउज़र प्रदान करते हैं। कोई भी असुरक्षित वेब ट्रैफ़िक (उदाहरण के लिए, https का उपयोग नहीं करना), फिर भी मैन-इन-द-मिडल परिवर्तन या अन्य नेटवर्क ट्रैफ़िक-आधारित हेरफेर के अधीन हो सकता है।

लाइवसीडी
लाइव सीडी की सूची, जो एक गैर-लेखन योग्य स्रोत से एक ऑपरेटिंग सिस्टम चलाती हैं, आमतौर पर वेब ब्राउज़र के साथ उनकी डिफ़ॉल्ट छवि के हिस्से के रूप में आती हैं। यदि मूल LiveCD छवि मैलवेयर से मुक्त है, तो वेब ब्राउज़र सहित उपयोग किए जाने वाले सभी सॉफ़्टवेयर, हर बार LiveCD छवि बूट होने पर मैलवेयर से मुक्त लोड होंगे।

ब्राउज़र सख्त
इंटरनेट को कम से कम विशेषाधिकार के सिद्धांत के रूप में ब्राउज़ करना | कम से कम विशेषाधिकार वाला उपयोगकर्ता खाता (यानी व्यवस्थापक विशेषाधिकारों के बिना) पूरे ऑपरेटिंग सिस्टम से समझौता करने से वेब ब्राउज़र में सुरक्षा शोषण की क्षमता को सीमित करता है। इंटरनेट एक्सप्लोरर 4 और बाद में ब्लैकलिस्टिंग की अनुमति देता है  और श्वेतसूची  ActiveX नियंत्रण, ऐड-ऑन और ब्राउज़र एक्सटेंशन विभिन्न तरीकों से।

Internet Explorer 7 में सुरक्षित मोड जोड़ा गया है, एक ऐसी तकनीक जो अनिवार्य अखंडता नियंत्रण नामक Windows Vista की सुरक्षा सैंडबॉक्सिंग सुविधा के अनुप्रयोग के माध्यम से ब्राउज़र को कठोर बनाती है। ऑपरेटिंग सिस्टम तक वेब पेज की पहुंच को सीमित करने के लिए Google Chrome एक सैंडबॉक्स (कंप्यूटर सुरक्षा) प्रदान करता है। Google को रिपोर्ट की गई संदिग्ध मैलवेयर साइटें, और Google द्वारा पुष्टि की गई, कुछ ब्राउज़रों में मैलवेयर होस्ट करने के रूप में फ़्लैग किए गए हैं। हार्डनिंग (कंप्यूटिंग) यहां तक ​​कि नवीनतम ब्राउज़रों के लिए तृतीय-पक्ष एक्सटेंशन और प्लगइन्स उपलब्ध हैं, और कुछ पुराने ब्राउज़र और ऑपरेटिंग सिस्टम के लिए। नोस्क्रिप्ट जैसे श्वेतसूची-आधारित सॉफ़्टवेयर जावास्क्रिप्ट और एडोब फ्लैश को ब्लॉक कर सकते हैं जो गोपनीयता पर अधिकांश हमलों के लिए उपयोग किया जाता है, जिससे उपयोगकर्ता केवल उन साइटों को चुन सकते हैं जिन्हें वे जानते हैं कि वे सुरक्षित हैं - AdBlock Plus भी श्वेतसूची विज्ञापन फ़िल्टरिंग नियमों की सदस्यता का उपयोग करता है, हालाँकि स्वयं सॉफ़्टवेयर और फ़िल्टरिंग सूची अनुरक्षक कुछ साइटों को पूर्व-सेट फ़िल्टर पास करने की अनुमति देने के लिए डिफ़ॉल्ट रूप से विवादों में आ गए हैं। यूनाइटेड स्टेट्स कंप्यूटर इमरजेंसी रेडीनेस टीम | US-CERT ने NoScript का उपयोग करके Adobe Flash को ब्लॉक करने की सिफारिश की है।

फज़िंग
कमजोरियों को उजागर करने के लिए आधुनिक वेब ब्राउज़र व्यापक फ़ज़िंग से गुजरते हैं। Google Chrome का क्रोमियम (वेब ​​​​ब्राउज़र) कोड क्रोम सुरक्षा टीम द्वारा 15,000 कोर के साथ लगातार फ़ज़ किया जाता है। Microsoft एज और इंटरनेट एक्स्प्लोरर के लिए, Microsoft ने उत्पाद विकास के दौरान 670 मशीन-वर्षों के साथ फ़ज़्ड परीक्षण किया, जिससे 1 बिलियन HTML फ़ाइलों से 400 बिलियन से अधिक DOM जोड़तोड़ किए गए।

सर्वोत्तम अभ्यास

 * स्वच्छ सॉफ़्टवेयर लोड करें: ज्ञात स्वच्छ OS से बूट करें जिसमें एक ज्ञात स्वच्छ वेब ब्राउज़र हो
 * क्रॉस-ऑरिजनल रिसोर्स शेयरिंग (CORS) भेद्यता के खिलाफ पर्याप्त प्रति उपाय अपनाएं (वेबकिट-आधारित ब्राउज़रों के लिए उदाहरण पैच प्रदान किए गए हैं)
 * तृतीय-पक्ष सॉफ़्टवेयर के माध्यम से हमलों को रोकें: कठोर वेब ब्राउज़र या ऐड-ऑन-फ़्री-ब्राउज़िंग मोड का उपयोग करें
 * DNS हेरफेर रोकें: विश्वसनीय और सुरक्षित DNS का उपयोग करें
 * वेबसाइट-आधारित कारनामों से बचें: आमतौर पर इंटरनेट सुरक्षा सॉफ़्टवेयर में पाए जाने वाले लिंक-चेकिंग ब्राउज़र प्लग-इन को नियोजित करें
 * दुर्भावनापूर्ण सामग्री से बचें: परिधि सुरक्षा और एंटी-मैलवेयर सॉफ़्टवेयर का उपयोग करें

यह भी देखें

 * फ़िल्टर बुलबुला
 * फ्रेम इंजेक्शन
 * पहचान संचालित नेटवर्किंग
 * इंटरनेट सुरक्षा
 * नेटवर्क सुरक्षा नीति
 * आवेदन सुरक्षा

इस पेज में लापता आंतरिक लिंक की सूची

 * चोरी की पहचान
 * व्यक्तिगत पहचान की जानकारी
 * पटाखा (कंप्यूटर सुरक्षा)
 * निजी कंप्यूटर
 * स्पीडी
 * Google सार्वजनिक डीएनएस
 * डॉमेन नाम सिस्टम
 * गहराई में रक्षा
 * डीएनएस सर्वर
 * सामग्री नियंत्रण सॉफ्टवेयर
 * बीच वाला व्यक्ति
 * भ्रमित डिप्टी समस्या
 * कैशिंग
 * लाइव यूएसबी
 * कम से कम विशेषाधिकार का सिद्धांत
 * क्रोमियम (वेब ​​ब्राउज़र)
 * माइक्रोसॉफ्ट बढ़त