مروری بر امنيت مرورگرهای وب (بخش چهارم)

مروری بر امنيت مرورگرهای وب (بخش چهارم)

تاریخ ایجاد

شماره :IRCAR201408228
تاريخ: 14/05/93

در قسمت اول از اين مقالات، به اهميت امنيت مرورگرهاي وب و برخي از مسائل امنيتي كه در تمامي مرورگرهاي محبوب مشترك است پرداخته شد. در قسمت دوم و سوم درخصوص مكانيزم هاي امنيتي خاص كه در مرورگر IE قرار دارند و نحوه پياده سازي آن ها صحبت شد و هم چنين بهترين تنظيم امنيتي اين مرورگر توضيح داده شد. در اين قسمت مكانيزم هاي امنيتي مرورگر كروم و بهترين پيكربندي اين مرورگر شرح داده مي شود.

به روز رساني امنيتي
همانطور كه پيش از اين اشاره شد، اولين قدم در امنيت مرورگر آن است كه آخرين نسخه آن در حال اجرا باشد. اطمينان حاصل شود كه آخرين نسخه از مرورگر كروم در حال اجرا است. اگر به تازگي با مرورگر كروم آشنا شده ايد، بدانيد كه سايتي كه از آن كروم را دانلود مي كنيد به شما نشان نمي دهد كه در حال دانلود چه نسخه اي از مرورگر هستيد. در حال حاضر كه اين مقاله نوشته مي شود آخرين نسخه گوگل كروم نسخه 35.0.1916.153مي باشد. به طور پيش فرض نسخه ويندوز گوگل كروم به گونه اي تنظيم شده است كه به طور خودكار به روز رساني ها را دريافت نمايد و در صورت وجود به روز رساني، آخرين نسخه مرورگر را نصب خواهد كرد. غيرفعال كردن به روز رساني خودكار شما را ملزم به استفاده از الگوهاي مديريتي به روز رساني گوگل براي Group Policy يا ويرايش رجيستري مي كند. غيرفعال ساختن به روز رساني خودكار، پيشنهاد امنيتي خوبي نيست مگر آن كه در شرايطي قرار داريد كه بايد به روز رساني خودكار را غيرفعال نماييد. (به عنوان مثال بايد قبل از نصب نسخه جديد بر روي رايانه كاربران، آن را تست نماييد.)
كليد رجيستري مربوطه HKLM\SOFTWARE\Policies\Google\Update\AutoUpdateCheckPeriodMinutes مي باشد و بايد مقدار REG_DWORD را صفر كنيد.

پيكربندي امنيت و تنظيمات حريم خصوصي
شركت گوگل در طول سال ها با بدست آوردن محبوبيت در حال جمع آوري اطلاعات شخصي كاربران با وسعت بيشتري از شركت هاي آنلاين ديگر بوده است و خدمات خود را به گونه اي ارائه مي دهد كه كاربر با يك حساب كاربري مي تواند از تمامي آن ها استفاده نمايد.
در برخي از موارد مرورگر، اطلاعات خاصي را درباره صفحاتي كه كاربر قصد دسترسي و جستجوي آن ها را داشته است، به طور پيش فرض براي گوگل ارسال مي كند. مي توانيد اين پيش فرض را تغيير دهيد. هم چنين تنظيمات خط مشي ديگري در خصوص حفاظت اطلاعات شخصي كاربر در برابر جمع آوري آن ها توسط وب سايت هايي كه كاربر مشاهده مي كند وجود دارد. تمامي اين تنظيمات را مي توان با كليك كردن بر روي گزينه Settings زير منوي كروم پيدا كرد. سپس بر روي دكمه Show advanced settings در پايين صفحه Settings كليك كنيد.
اگر نگران جمع آوري اطلاعات توسط گوگل هستيد، سه گزينه اول بخش Privacy را غيرفعال نماييد. اين گزينه ها به طور پيش فرض فعال مي باشند. اين گزينه ها عبارتند از:

  • استفاده از خدمات وب براي كمك به حل مشكلات پيمايش
  • استفاده از سرويس هاي پيش گويي براي كمك به تكميل جستجو ها و آدرس هاي URL تايپ شده در نوار آدرس
  • پيش گويي عمليات شبكه براي بهبود عملكرد بارگذاري صفحه

هم چنين توجه داشته باشيد كه اگر گزينه "استفاده از سرويس وب براي حل خطاهاي نوشتاري" را فعال كرده باشيد (اين گزينه به طور پيش فرض غيرفعال است)، كروم اطلاعات متن تايپ شده شما را براي سرور گوگل ارسال مي كند تا خطاهاي نوشتاري بررسي شود.
براي داشتن بهترين امنيت، احتمال دارد كه بخواهيد چهارمين گزينه " فعالسازي حفاظت سرقت هويت و بدافزار" را فعال نماييد، اما آگاه باشيد كه فعالسازي اين گزينه باعث مي شود تا يك نسخه از آدرس URLاي كه مشاهده كرده ايد براي گوگل ارسال شود تا بتواند سايت هاي سرقت هويت را بررسي نمايد.
هم چنين مي توانيد با فعال كردن گزينه "Automatically send usage statistics and crash reports to Google " كه به طور پيش فرض غيرفعال است، اطلاعاتي كه براي گوگل ارسال مي شود را مشاهده كنيد. فعالسازي اين گزينه، اطلاعاتي درباره تنظيمات، دكمه كليك و استفاده از حافظه به عنوان اطلاعات آماري ارسال مي شود اما گزارش هاي خرابي مي تواند شامل اطلاعات سيستم، آدرس هاي URL و اطلاعات شخصي باشد. متاسفانه، شما نمي توانيد اطلاعات آماري را بدون گزارش هاي خرابي انتخاب نماييد و اين يك تصميم گيري "همه يا هيچ كدام" است.
توجه داشته باشيد كه امكان ارسال درخواست "Do Not Track" با ترافيك جستجوي شما به طور پيش فرض فعال نيست. فعالسازي اين گزينه باعث مي شود تا وب سايت ها نتوانند سايت هايي كه مشاهده مي كنيد را ردگيري كنند. با اين حال، اين تنها يك درخواست است نه يك دستور. برخي از وب سايت ها ممكن است با اين درخواست ها كاري نداشته باشند و ممكن است هم چنان اطلاعات شما را جمع آوري نمايند.
مي توانيد با كليك كردن بر روي دكمه Content Settings كوكي ها را مديريت نماييد. اين قسمت به شما گزينه هايي از قبيل نگهداري داده هاي محلي تا زماني كه مرورگر را مي بنديد، مسدود نمودن سايت ها براي تنظيمات داده ها، مجوز تنظيم داده هاي محلي و مسدود نمودن كوكي هاي ثالث و داده هاي سايت را پيشنهاد مي دهد. هم چنين مي توانيد از طريق گزينه Manage exceptions، استثنائاتي براي مجوز دادن، مسدود نمودن يا حذف كوكي هاي سايت هاي خاص تعريف نماييد و از طريق گزينه Cookies and site data مي توانيد كوكي هاي ذخيره شده را مشاهده و يا حذف نماييد.
صفحه Content Settings جايي است كه مي توانيد سايت هاي در حال اجراي جاوا اسكريپت را مسدود نماييد و هم چنين اگر به طور كلي گزينه allow را انتخاب كرده ايد، مي توانيد استثنائاتي براي مسدود نمودن سايت هاي خاص تعريف نماييد. يا در صورتي كه گزينه not to allow را انتخاب كرده ايد به جاوا اسكريپت اجازه دهيد تا بر روي برخي از سايت هاي خاص اجرا شود. در زير بخش پلاگين ها، مي توانيد به پلاگين هاي نصب شده اجازه دهيد تا به طور خودكار اجرا شوند، آن ها را مسدود كنيد يا براي اجراي پلاگين يك كليك درخواست نماييد. مجددا شما مي توانيد با توجه به انتخابي كه داريد استثنائاتي را تعريف كنيد. بخش پاپ آپ نيز همانند پلاگين عمل مي كند. مي توانيد به تمامي سايت ها اجازه دهيد تا پاپ آپ هاي خود را نمايش دهند، مي توانيد پاپ آپ تمامي سايت ها را مسدود نماييد و هم چنين استثنائاتي را براي نمايش دادن پاپ آپ ها تعريف نماييد.
همانطور كه در بخش IE توضيح داده شد، در حال حاضر رديابي موقعيت مرسوم شده است. به طور پيش فرض، كروم به گونه اي تنظيم شده است كه هنگامي كه سايتي سعي دارد تا موقعيت فيزيكي شما را رديابي نمايد، از شما اجازه مي گيرد، اما مي توانيد اين تنظيمات را به گونه اي تغيير دهيد كه اجازه چنين رديابي را به سايت ها ندهد و يا آن كه تمامي سايت ها بتوانند بدون اجازه، موقعيت شما را رديابي نمايند.

ساير تنظيمات حريم خصوصي كه بايد آن ها را بررسي نماييد عبارتند از: آيا هويت افراد براي دسترسي به محتوي حفاظت شده شناسايي مي شود، آيا دسترسي سايت ها به ميكروفون و دوربين دستگاه يا رايانه شما مسدود مي شود (مي توان استثنائاتي ا تعريف كرد)، آيا وب سايت ها مي توانند براي دسترسي به رايانه شما از يك پلاگين sandbox نشده استفاده نمايند يا نمي توانند از اين نوع پلاگين ها استفاه نمايند.
مهم ترين تنظيمات و آخرين تنظيم اين صفحه جايي است كه به شما اطمينان مي دهد كه وب سايت ها نمي توانند به طور خودكار مجموعه اي از فايل ها را بر روي رايانه شما بدون اجازه دانلود نمايند. به طور پيش فرض به گونه اي تنظيم شده است كه براي اين كار از كاربر تاييديه مي گيرد اما مي توانيد به طور كلي دانلود خودكار چندين فايل را مسدود كنيد (البته مي توانيد براي سايت هايي كه به آن ها اعتماد داريد، استثنائاتي را در نظر بگيريد).
در بيشتر موارد، بهترين و امن ترين روش عدم اجازه به تمامي گزينه ها و سپس تعيين استثنائات مي باشد. در واقع راهبرد امنيت بالا شامل اعمال داشتن حداقل دسترسي ها است.

گوگل كروم در كسب و كار
تنظيمات امنيتي كه در بالا به آن اشاره شد براي هر دو نسخه عادي گوگل كه مي توانيد از سايت www.google.com/chromeدانلود كنيد و نسخه Business كروم قابل اعمال است. هر دو نسخه ويژگي هاي يكسان دارند اما شما مي توانيد در نسخه Business كروم از خط مشي گروهي استفاده كنيد و كنترل بيشتري بر روي به روز رساني هاي خودكار مرورگر داشته باشيد. در قسمت بعدي مقاله، توضيحات بيشتري در خصوص كروم نسخه Business داده مي شود.

مطالب مرتبط:
مروري بر امنيت مرورگرهاي وب (بخش اول)
مروري بر امنيت مرورگرهاي وب (بخش دوم)
مروري بر امنيت مرورگرهاي وب (بخش سوم)

منبع:
http://www.windowsecurity.com/

برچسب‌ها