3 maneiras JavaScript pode violar sua privacidade e segurança

O JavaScript é uma coisa boa para a maior parte, mas acontece de ser tão flexível e tão poderoso que mantê-lo sob controle pode ser difícil. Aqui está o que você precisa saber.

O JavaScript é uma coisa boa para a maior parte, mas acontece de ser tão flexível e tão poderoso que mantê-lo sob controle pode ser difícil.  Aqui está o que você precisa saber.
Propaganda

Você provavelmente já ouviu falar que o JavaScript é perigoso. Bem, isso está parcialmente correto. JavaScript pode ser perigoso se as devidas precauções não forem tomadas. Ele pode ser usado para visualizar ou roubar dados pessoais sem você perceber que isso está acontecendo. E como o JavaScript é tão onipresente na web, estamos todos vulneráveis.

Tudo se resume a como o JavaScript realmente funciona. O que é JavaScript e como funciona? [Tecnologia Explicada] O que é JavaScript e como funciona? [Tecnologia Explicada] Leia Mais. O JavaScript é uma coisa boa para a maior parte, mas acontece de ser tão flexível e tão poderoso que mantê-lo sob controle pode ser difícil. Aqui está o que você precisa saber.

Os benefícios do JavaScript

Primeiras coisas primeiro, JavaScript é uma coisa boa . De acordo com a W3Techs, aproximadamente 88, 1% de todos os sites usam JavaScript de uma forma ou de outra. A maioria dos sites de grande nome - como Amazon e YouTube - não seria nem de perto tão útil se a Internet fosse uma zona livre de JavaScript.

Por exemplo, JQuery Tornando a Web interativa: uma introdução ao jQuery Fazendo a Web interativa: uma introdução ao jQuery jQuery é uma biblioteca de scripts do lado do cliente que quase todos os sites modernos usam - isso torna os sites interativos. Não é a única biblioteca Javascript, mas é a mais desenvolvida, mais suportada e mais amplamente usada .... Read More é uma biblioteca JavaScript popular que facilita a criação de sites interativos com elementos que podem ser alterados sem ter que recarregar a biblioteca. página inteira. Sites como o Facebook e o Twitter contam com tecnologias como o AJAX jQuery Tutorial (Parte 5): AJAX Them All! Tutorial jQuery (Parte 5): AJAX Them All! À medida que nos aproximamos do final da nossa série de mini-tutoriais da jQuery, já era hora de dar uma olhada mais profunda em um dos recursos mais usados ​​do jQuery. O AJAX permite que um site se comunique com ... Leia mais para manter as páginas da Web atualizadas (por exemplo, registros de data e hora, número de curtidas etc.) sem atualizar a página a cada segundo.

javascript-security-privacy-benefits

Mas, como veremos em breve, o JavaScript não é perfeito. Pode ser abusado, e esse abuso leva a cenários que tornam possível espionar sua atividade na Internet e violar sua privacidade.

Um conselho comum, ainda que equivocado, é desabilitar totalmente o JavaScript, mas não o recomendamos. Você perderia muito da incrível funcionalidade da Web, como o recurso de "rolagem infinita" existente em muitos blogs, redes sociais e sites de notícias.

Mas mais ainda, algumas explorações de navegador ainda são possíveis, mesmo se você desativar o JavaScript. Assim, desabilitar o JavaScript devido a preocupações com a segurança é como usar uma roupa da bolha toda vez que você for para fora porque tem medo de se machucar. Não te protegerá muito, mas vai tornar sua vida miserável.

Snooping as palavras que você digita

Em julho de 2012, um par de pesquisadores coletou dados de 5 milhões de usuários do Facebook nos Estados Unidos e no Reino Unido. O que eles estavam procurando? Autocensura. Mais especificamente, eles queriam saber com que frequência os usuários começariam a escrever uma postagem, mas acabariam excluindo-a antes que ela fosse publicada.

Eles fizeram isso incorporando um pouco de JavaScript que rastreou as caixas de texto onde os usuários podiam fazer atualizações de status, escrever comentários na parede etc. Os pesquisadores deixaram claro que só gravavam “a presença ou ausência de texto digitado” em vez de “pressionamentos de tecla ou conteúdo”. ”, Mas a implicação é clara.

javascript-segurança-privacidade-digitação

Foi possível rastrear as teclas digitadas e o conteúdo. Eles apenas escolheram não.

A noção é assustadora. Um simples pedaço de JavaScript incorporado é tudo o que é necessário para registrar qualquer tipo de atividade em uma página da Web - mesmo que você não envie nada de verdade! Rolagem na web, movimentos do mouse, pressionamentos de tecla: tudo isso pode ser rastreado e gravado contra sua vontade ou conhecimento.

Rastreando seus hábitos de navegação

Os recursos de rastreamento do JavaScript não param apenas nas caixas de texto. Através da magia dos cookies do navegador O que é um cookie e o que ele tem a ver com a minha privacidade? [MakeUseOf explica] O que é um cookie e o que ele tem a ver com minha privacidade? [MakeUseOf Explains] A maioria das pessoas sabe que existem cookies espalhados por toda a Internet, prontos e dispostos a serem consumidos por quem os encontrar primeiro. Espere o que? Isso não pode estar certo. Sim, existem cookies ... Leia mais, as empresas podem armazenar todos os tipos de informações específicas do usuário: tipo de navegador, preferências, localização etc. A alegação é que esse tipo de rastreamento é feito para oferecer uma melhor experiência ao usuário anúncios), mas ainda parece uma violação.

Os cookies são persistentes, o que significa que eles continuam a existir mesmo depois que você sai da página da Web ou fecha o navegador (a menos que eles expirem ou você os exclua manualmente). Você vê o problema crescente? Se um cookie persistir de uma página da web para uma página da web, é possível que uma empresa veja quais sites você visita.

javascript-security-privacy-social

Isso é melhor explicado com um exemplo: botões de compartilhamento social. Considere o botão Curtir do Facebook, que usa JavaScript para executar sua ação. Quando o seu navegador carrega a página, tem que carregar o botão. Carregar o botão significa fazer uma solicitação ao Facebook para o arquivo JavaScript necessário. Essa solicitação inclui dados como seu endereço IP, a página da Web em que você está, qualquer cookie do Facebook em seu sistema, etc.

Só para ficar claro, você não precisa clicar no botão para rastreá-lo. O ato de carregar é suficiente para que esses widgets compartilhem dados sobre você.

Dito isto, os botões de compartilhamento social são apenas uma das muitas maneiras pelas quais as empresas podem rastrear seus hábitos de navegação 4 Atividades on-line aparentemente inocentes que rastreiam seu comportamento 4 Atividades on-line aparentemente inocentes que rastreiam seu comportamento Leia mais. Outros exemplos incluem perfis de encontros on-line, comentários do Disqus e sites que usam fontes gratuitas do Google Como usar fontes do Google no seu próximo projeto da Web e por que você deve usar fontes do Google no seu próximo projeto da Web e por que você deve escolher a fonte decisão de projeto integral em qualquer site, mas na maioria das vezes estamos satisfeitos com a mesma família de serifas e serifas. Enquanto o corpo principal do texto deve ser sempre algo ... Leia Mais.

Injeção de código mal-intencionado

Um dos usos mais insidiosos do JavaScript ocorre na forma de cross-site scripting (XSS). Simplificando, o XSS é uma vulnerabilidade que permite que hackers incorporem código JavaScript malicioso em um site que, de outra forma, seria legítimo, e que é executado no navegador de um usuário que visita o site.

Se isso acontecer em um site que lida com informações confidenciais do usuário, como dados financeiros, o código mal-intencionado poderá espionar e roubar essas informações. Levado um passo adiante, o XSS pode ser usado para proliferar vírus e malware, que é o que aconteceu quando o Twitter foi infectado com o worm StalkDaily O que é uma ameaça de segurança? (XSS) O que é Cross-Site Scripting? ), E por que é uma ameaça à segurança As vulnerabilidades de script entre sites são o maior problema de segurança de sites atualmente. Estudos descobriram que são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, divulgado em junho ... Read More.

javascript-security-privacy-malicious

XSS também pode ser usado para algo chamado envenenamento do Search Engine O que é Search Engine Envenenamento e como ele espalha malware [MakeUseOf Explains] O que é o Search Engine Envenenamento e como ele espalha malware [MakeUseOf Explains] o pior disso, pense novamente. Há um novo concorrente no palco e está espalhando malwares como manteiga no calor do deserto. É chamado de mecanismo de busca ... Leia Mais. Para encurtar a história, os criadores de malware podem usar o JavaScript para infectar sites com classificações elevadas de resultados de pesquisa, de modo que os usuários que tentam visitar esses sites sejam redirecionados para sites infestados de malware.

E há algo chamado falsificação de solicitação entre sites (CSRF), que é o inverso de um XSS. Esse tipo de código JavaScript malicioso pode explorar o navegador, os cookies e as permissões de segurança de um usuário para realizar ações em um site separado.

O que você pode fazer para proteger contra ataques baseados em JavaScript?

Em última análise, a responsabilidade recai sobre os desenvolvedores da Web para garantir que seus sites estejam limpos e seguros. Como usuário final, no entanto, você deve sempre manter seus navegadores atualizados e regularmente procurar por malware Mantenha-se protegido contra todos os tipos de malware com o Avast Free Antivirus Mantenha-se protegido contra todos os tipos de malware com o Avast Free Antivirus A abrangente proteção contra malware não precisa custar uma fortuna. Muitos programas antivírus gratuitos respeitáveis ​​são igualmente eficazes como os pagos e o avast! O Free Antivirus é compatível com os melhores programas antivírus do Windows. Consulte Mais informação .

Veja o que fazer no caso de você encontrar malware no seu sistema 10 Passos a seguir ao descobrir o malware no seu computador 10 passos a seguir ao descobrir o malware no seu computador Gostaríamos de pensar que a Internet é um lugar seguro para gastar nosso tempo (tosse), mas todos nós sabemos que há riscos em cada esquina. E-mail, mídia social, sites maliciosos que funcionaram ... Leia Mais.

Dito isto, posso contar em uma mão o número de vezes que me deparei com os problemas acima. JavaScript é uma parte importante da web moderna. Isso tem feito mais bem para nós do que mal e está aqui para ficar. Interessado em se tornar um desenvolvedor de JavaScript Qual Linguagem de Programação para Aprender - Programação na Web Qual Linguagem de Programação para Aprender - Programação na Web Hoje vamos dar uma olhada nas várias linguagens de programação da Web que alimentam a Internet. Esta é a quarta parte de uma série de programação para iniciantes. Na parte 1, aprendemos o básico de ... Leia mais? Comece com esses recursos de aprendizado gratuitos Comece a codificar o JavaScript agora mesmo Com estes 5 recursos gratuitos, comece a codificar o JavaScript agora mesmo com esses 5 recursos gratuitos Leia mais.

Você já se deparou com algum problema de JavaScript? Você está praticando hábitos seguros para segurança e privacidade? Conte-nos sobre suas experiências nos comentários abaixo!

Créditos da Imagem: Notificações do Facebook Via Shutterstock, Digitando as Mãos Via Shutterstock, Botões de Ações Sociais Via Shutterstock

In this article