مرورگر خود را امن کنید- قسمت سوم
مدیرکل |
امروزه مرورگرهایی
مانند IE 7 و Mozilla Firefox تقریباً بر روی همه رایانه ها نصب می شوند و
از آنجایی که اغلب اوقات مورد استفاده کاربران قرار می گیرند، ایمن سازی
آنها یکی از ضروریات محسوب می شود. متأسفانه در اکثر موارد، مرورگرهایی که
به صورت پیش فرض همراه با سیستم عامل نصب می شوند، دارای تنظیمات ایمنی
نیستند و عدم ایمن سازی مرورگر، به سرعت منجر به بروز مشکلاتی از قبیل نصب
پنهانی هرزنامه ها و در اختیار گرفتن رایانه توسط نفوذگران می شود. قابل
ذکر است که تعداد حمله های نرم افزاری که با استفاده از آسیب پذیری
مرورگرها به وقوع می پیوندند، روز به روز در حال افزایش است. در قسمتهای
قبلی نکاتی کلی در مورد امنیت مرورگرها و نیز ایمن سازی مرورگر IE
بیان کردیم. در این قسمت به بیان نحوه ایمن سازی Firefox می پردازیم.
بسیاری از ویژگیهای Firefox مانند IE است و فقط در مورد ActiveX و مدل
Security Zone با IE متفاوت است. Firefox پشتیبانی زیرین را برای سیاستهای
امنیتی قابل تنظیم (CAPS) داراست که مشابه مدل Security Zone در IE است.
ولی هیچ واسط کاربر گرافیکی برای تنظیم این گزینه ها وجود ندارد. پیشنهاد
می کنیم که در Help این نرم افزار، بخش For Internet Explorer Users را
مطالعه نمایید تا تفاوت واژگان به کار رفته در دو مرورگر IE و Firefox را
مشاهده کنید. در زیر چندین گام برای غیر فعال سازی برخی ویژگیها در Firefox
بیان شده اند. توجه داشته باشید که ممکن است برخی گزینه های منوها در نسخه
های مختلف نرم افزار متفاوت باشند یا اینکه بسته به سیستم عامل میزبان، در
محلهای متفاوتی قرار گرفته باشند. برای تغییر تنظیمات Firefox از منوی
Tools ، گزینه Options را انتخاب کنید.
در پنجره Options که باز شده، اولین قسمت، بخش General یا Main است. در این قسمت شما می توانید Firefox را به عنوان مرورگر پیش فرض خود تعیین کنید. به خاطر بسپارید که حتما کنار بخش Always ask me where to save files علامت بزنید. این کار باعث می شود که هر زمان که یک صفحه وب بخواهد فایلی را روی سیستم شما ذخیره کند شما از آن مطلع گردید.
با انتخاب Allow for Session، هر زمان که مرورگر شما مجددا شروع به کار کند این Cookie نیز پاک خواهد شد. اگر اجازه گرفتن برای هر Cookie کار خسته کننده ای است، می توانید گزینه Keep until: I close Firefox را انتخاب کنید. این کار از استقرار Cookieهای دائمی روی سیستم شما جلوگیری خواهد کرد.
بسیاری از مرورگرهای وب امکان ذخیره اطلاعات مربوط به ورود شما به سایتهای مختلف را دارا هستند. پیشنهاد می کنیم که در حالت عادی از این ویژگی استفاده نکنید. اما اگر می خواهید حتما از این ویژگی استفاده نمایید، قبل از این کار مطمئن شوید که معیارهای لازم برای محافظت از داده های کلمه عبور را رعایت می کنید. در بخش Security در قسمت Passwords، گزینه های مختلفی برای مدیریت کلمات عبور ذخیره شده وجود دارد و یک امکان Master Password نیز برای رمزگذاری داده ها روی کامپیوتر شما در دسترس است. اگر می خواهید به Firefox اجازه دهید که کلمات عبور شما را مدیریت کند حتما از این گزینه استفاده نمایید. اگر گزینه Warn me when sites try to install add-ons را علامت بزنید، زمانی که یک وب سایت بخواهد چنین کاری انجام دهد در قسمت بالای مرورگر یک هشدار به شما اعلام خواهد شد.
بخش Content در پنجره Options گزینه ای برای فعال کردن جاوا دارد (Enable Java). جاوا یک زبان برنامه نویسی است که به طراحان وب اجازه می دهد که برنامه هایی را روی کامپیوتر شما اجرا کنند. ما پیشنهاد می کنیم که این ویژگی را غیر فعال کنید. مگر در مواردی که درخواست اجرای برنامه از طرف یک سایت قابل اعتماد باشد. یعنی شما باید در مورد اینکه این سایت قابل اعتماد است و شما میخواهید محتویات آن را مشاهده کنید تصمیم گیری نمایید. اگر این ویژگی را برای مشاهده یک سایت قابل اعتماد فعال کردید، بعد از تمام شدن کار خود دوباره آن را غیر فعال نمایید. روی دکمه Advanced کلیک کنید و ویژگیهای خاص JavaScript را غیرفعال نمایید. ما پیشنهاد می کنیم که تمامی گزینه های این بخش را غیر فعال کنید.
در بخش Content گزینه ای برای مدیریت اعمالی که در زمان دانلود کردن فایلها باید انجام شود وجود دارد. اگر در این تنظیمات بطور پیش فرض تعیین شود که زمانی که فایلی دانلود شد به طور خود به خود توسط برنامه مربوطه باز و اجرا گردد درصد خطر بیشتر می شود. آسیب پذیریهای موجود در این نرم افزارها با این روش راحتتر مورد سوء استفاده قرار می گیرند. روی دکمه Manage کلیک کنید و تنظیماتی را که لازم است تغییر دهید.
پنجره Download Actions انواع فایلها و عکس العملی را که مرورگر در صورت برخورد با چنین فایلی انجام می دهد نمایش می دهد. در مورد تمامی انواع فایلهای این لیست، Remove Action یا Change Action را انتخاب کنید و در مورد تمام فایلها تعیین کنید که فقط روی کامپیوتر ذخیره شوند (یعنی اجرا نگردند). این کار باعث می شود که امکان سوء استفاده از آسیب پذیریهای موجود در نرم افزارهای شما کمتر گردد.
Firefox 1.5 و نسخه های بعدی این مرورگر گزینه ای برای پاک کردن داده های مهم و حساس از مرورگر را دارا هستند. برای استفاده از این ویژگی امنیتی از منوی Tools گزینه Clear Private Data را انتخاب کنید.
از آنجاییکه Firefox مانند IE محدوده های امنیتی که به سادگی قابل تنظیم باشند ندارد، تعیین تنظیمات مرورگر با این هدف که بر اساس سایتی که به آن وارد شده عمل خاصی را انجام دهد کار سختی است. برای مثال ممکن است کاربری بخواهد که JavaScript را برای یک سایت خاص و قابل اعتماد فعال کند ولی برای سایر سایتها همچنان غیر فعال باقی بماند. این کار می تواند به عنوان یک add-on مانند NoScript به Firefox اضافه گردد.
از آنجاییکه بسیاری از آسیب پذیریهای مرورگرها از اسکریپت ها استفاده می کنند، غیرفعال کردن اسکریپت ها به طور پیش فرض، امکان سوء استفاده را بسیار کم خواهد کرد. همچنین برای افزایش محافظت NoScript می تواند به گونه ای تنظیم شود که به طور پیش فرض Java، Flash و سایر plug-inها را مسدود نماید. روی آیکون NoScript کلیک کرده و سپس Options را انتخاب نمایید تا پنجره تنظیمات NoScript باز شود. با نصب NoScript، بطور پیش فرض JavaScript غیر فعال خواهد شد. کاربر می تواند با استفاده از منوی NoScript به یک وب سایت اجازه دهد که اسکریپت های خود را بطور موقتی یا دائمی اجرا نماید. اگر بطور موقتی این مجوز به سایتی داده شود، فقط تا زمانی که مرورگر بسته نشده است این مجوز اعتبار دارد.
در سربرگ Plugins گزینه ها را مانند شکل زیر انتخاب کنید:
علاوه بر اینکه سایتهایی که ذاتا خرابکارند می توانند کاربر را در خطر قرار دهند، سایتهای قابل اعتمادی که مورد سوء استفاده قرار گرفته اند نیز می توانند کاربر را تهدید نمایند. به همین دلیل ما پیشنهاد می دهیم که گزینه Apply these restrictions to trusted sites too را فعال نمایید. اگر این گزینه خیلی دردسر ساز است می توانید آن را غیر فعال کرده و در مقابل خطر آن را نیز پذیرا باشید.
مرجع:
http://www.cert.org
در پنجره Options که باز شده، اولین قسمت، بخش General یا Main است. در این قسمت شما می توانید Firefox را به عنوان مرورگر پیش فرض خود تعیین کنید. به خاطر بسپارید که حتما کنار بخش Always ask me where to save files علامت بزنید. این کار باعث می شود که هر زمان که یک صفحه وب بخواهد فایلی را روی سیستم شما ذخیره کند شما از آن مطلع گردید.
با انتخاب Allow for Session، هر زمان که مرورگر شما مجددا شروع به کار کند این Cookie نیز پاک خواهد شد. اگر اجازه گرفتن برای هر Cookie کار خسته کننده ای است، می توانید گزینه Keep until: I close Firefox را انتخاب کنید. این کار از استقرار Cookieهای دائمی روی سیستم شما جلوگیری خواهد کرد.
بسیاری از مرورگرهای وب امکان ذخیره اطلاعات مربوط به ورود شما به سایتهای مختلف را دارا هستند. پیشنهاد می کنیم که در حالت عادی از این ویژگی استفاده نکنید. اما اگر می خواهید حتما از این ویژگی استفاده نمایید، قبل از این کار مطمئن شوید که معیارهای لازم برای محافظت از داده های کلمه عبور را رعایت می کنید. در بخش Security در قسمت Passwords، گزینه های مختلفی برای مدیریت کلمات عبور ذخیره شده وجود دارد و یک امکان Master Password نیز برای رمزگذاری داده ها روی کامپیوتر شما در دسترس است. اگر می خواهید به Firefox اجازه دهید که کلمات عبور شما را مدیریت کند حتما از این گزینه استفاده نمایید. اگر گزینه Warn me when sites try to install add-ons را علامت بزنید، زمانی که یک وب سایت بخواهد چنین کاری انجام دهد در قسمت بالای مرورگر یک هشدار به شما اعلام خواهد شد.
بخش Content در پنجره Options گزینه ای برای فعال کردن جاوا دارد (Enable Java). جاوا یک زبان برنامه نویسی است که به طراحان وب اجازه می دهد که برنامه هایی را روی کامپیوتر شما اجرا کنند. ما پیشنهاد می کنیم که این ویژگی را غیر فعال کنید. مگر در مواردی که درخواست اجرای برنامه از طرف یک سایت قابل اعتماد باشد. یعنی شما باید در مورد اینکه این سایت قابل اعتماد است و شما میخواهید محتویات آن را مشاهده کنید تصمیم گیری نمایید. اگر این ویژگی را برای مشاهده یک سایت قابل اعتماد فعال کردید، بعد از تمام شدن کار خود دوباره آن را غیر فعال نمایید. روی دکمه Advanced کلیک کنید و ویژگیهای خاص JavaScript را غیرفعال نمایید. ما پیشنهاد می کنیم که تمامی گزینه های این بخش را غیر فعال کنید.
در بخش Content گزینه ای برای مدیریت اعمالی که در زمان دانلود کردن فایلها باید انجام شود وجود دارد. اگر در این تنظیمات بطور پیش فرض تعیین شود که زمانی که فایلی دانلود شد به طور خود به خود توسط برنامه مربوطه باز و اجرا گردد درصد خطر بیشتر می شود. آسیب پذیریهای موجود در این نرم افزارها با این روش راحتتر مورد سوء استفاده قرار می گیرند. روی دکمه Manage کلیک کنید و تنظیماتی را که لازم است تغییر دهید.
پنجره Download Actions انواع فایلها و عکس العملی را که مرورگر در صورت برخورد با چنین فایلی انجام می دهد نمایش می دهد. در مورد تمامی انواع فایلهای این لیست، Remove Action یا Change Action را انتخاب کنید و در مورد تمام فایلها تعیین کنید که فقط روی کامپیوتر ذخیره شوند (یعنی اجرا نگردند). این کار باعث می شود که امکان سوء استفاده از آسیب پذیریهای موجود در نرم افزارهای شما کمتر گردد.
Firefox 1.5 و نسخه های بعدی این مرورگر گزینه ای برای پاک کردن داده های مهم و حساس از مرورگر را دارا هستند. برای استفاده از این ویژگی امنیتی از منوی Tools گزینه Clear Private Data را انتخاب کنید.
از آنجاییکه Firefox مانند IE محدوده های امنیتی که به سادگی قابل تنظیم باشند ندارد، تعیین تنظیمات مرورگر با این هدف که بر اساس سایتی که به آن وارد شده عمل خاصی را انجام دهد کار سختی است. برای مثال ممکن است کاربری بخواهد که JavaScript را برای یک سایت خاص و قابل اعتماد فعال کند ولی برای سایر سایتها همچنان غیر فعال باقی بماند. این کار می تواند به عنوان یک add-on مانند NoScript به Firefox اضافه گردد.
از آنجاییکه بسیاری از آسیب پذیریهای مرورگرها از اسکریپت ها استفاده می کنند، غیرفعال کردن اسکریپت ها به طور پیش فرض، امکان سوء استفاده را بسیار کم خواهد کرد. همچنین برای افزایش محافظت NoScript می تواند به گونه ای تنظیم شود که به طور پیش فرض Java، Flash و سایر plug-inها را مسدود نماید. روی آیکون NoScript کلیک کرده و سپس Options را انتخاب نمایید تا پنجره تنظیمات NoScript باز شود. با نصب NoScript، بطور پیش فرض JavaScript غیر فعال خواهد شد. کاربر می تواند با استفاده از منوی NoScript به یک وب سایت اجازه دهد که اسکریپت های خود را بطور موقتی یا دائمی اجرا نماید. اگر بطور موقتی این مجوز به سایتی داده شود، فقط تا زمانی که مرورگر بسته نشده است این مجوز اعتبار دارد.
در سربرگ Plugins گزینه ها را مانند شکل زیر انتخاب کنید:
علاوه بر اینکه سایتهایی که ذاتا خرابکارند می توانند کاربر را در خطر قرار دهند، سایتهای قابل اعتمادی که مورد سوء استفاده قرار گرفته اند نیز می توانند کاربر را تهدید نمایند. به همین دلیل ما پیشنهاد می دهیم که گزینه Apply these restrictions to trusted sites too را فعال نمایید. اگر این گزینه خیلی دردسر ساز است می توانید آن را غیر فعال کرده و در مقابل خطر آن را نیز پذیرا باشید.
مرجع:
http://www.cert.org
