حالة الموضوع:
مغلق
  1. .:: RSS ::.

    .:: RSS ::. عضوية آلية

    الأنتساب:
    ‏9 سبتمبر 2011
    المشاركات:
    14,005
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    36
    الإقامة:
    IQ-T34M
    بصمات المتصفحات وخصوصيه بيانات المستخدمين

    بسم الله الرحمن الرحيم

    ----------

    والصلاة والسلام علي اشرف المرسلين .. سيدنا محمد وسيد الخلق اجمعين
    عليه وعلي اله وصحبه افضل الصلوات والتسليم
    وبعد :-

    السلام عليكم ورحمه الله وبركاته

    ----------

    اهلا باعضاء وزوار واداريين بيت الهكر الاخلاقي
    في هذه الفتره اصبحت خصوصيه المستخدمين علي الشبكه العنكبوتيه
    هي الشغل الشاغل لخبراء امن المعلومات حول العالم
    ولا شك ان الهاكرز تحديدا يهتمون بحمايه معلوماتهم اكثر من اي شخص اخر
    موضوعنا اليوم يتكلم ان احدي التقنيات المعروفه لجلب المعلومات عن المستخدمين
    من خلال المتصفح والتي يتجاهلها الكثيرين للاسف ممن يخوضون
    في مجال امن المعلومات للوهله الاولي

    --------------

    في عالم المعلومات الرقميه فنحن نعرف ان كل حاسوب . كل موجه . كل طابعه . وكل شئ الكتروني
    بشكل عام يتصل بالانترنت او حتي بشبكه لابد وان يكون له معرف فريد ليتم تمييزه عن غيره . وهكذا
    في جميع الامور . لكن هل يمكن تمييز متصفح عن اخر حتي وان كانوا نفس المتصفح ونفس الاصدار ؟؟

    هذا ما سنلقي عليه الضوء من خلال درس اليوم .

    نبدأ علي بركه الله
    -----------

    جميعنا نعلم انه عندما نقوم بتصفح المواقع . فان المتصفحات الخاصه بنا تقوم بارسال واستقبال

    بيانات من والي خادم الويب . هذه البيانات تحتوي علي معلومات بسيطه عن المتصفح
    علي سبيل المثال . معلومات الـ User Agent والتي من خلالها يتم تحديد نوع المتصفح واصداره
    ليتمكن خادم الويب من عرض الصفحه بحسب نوع المتصفح وطريقه عرضه
    سواء اكان المتصفح Firefox او IE او IPhone او او .. الخ
    حقيقه ليست هذه البيانات هي فقط ما يتم ارسالها من قبل المتصفح
    جميعنا قد سمعنا مسبقا عن ما يعرف بالـ plug-ins detector
    وقد تم ذكره في الموضوع التالي

    http://vb.ehcommunity.com/showthread.php?t=70550

    الـ
    plug-ins detector هو عباره عن سكربت وظيفته جمع المعلومات من خلال المتصفح
    كمعلومات الـ User Agent . وتفاصيل الـ Browser Plug-ins وحتي نوع النظام OS
    والاي بي الخاص بك
    والـ Cookies والعديد من البيانات الاخري الموجوده داخل الـ HTTP header
    سكربت الـ
    plug-ins detector ليس شرطا ان يكون مبرمج بلغه الـ php كما ذكر في الموضوع السابق
    في اغلب الاحيان يتم استخدام الجافا سكربت لجمع مثل هذه المعلومات
    وبالطبع لا يخفي علي الجميع خطوره مثل هذه البيانات بالنسبه لمجتمع الـ hackers
    لذالك لابد من تأمينها ومنع مثل هذه السكربتات من جمع المعلومات من خلال متصفحك

    يوجد العديد من الطرق للتحايل علي هذه السكربتات او حتي لمنعها تماما
    لكن قبل ذكر طرق الحمايه دعونا نري بعض الامثله

    قم بالدخول الي الرابط التالي

    https://panopticlick.eff.org/

    ثم قم بالضغط علي كلمه TEST ME التي باللون الاحمر في منتصف الصفحه
    انتظر قليلا . لتري كم البيانات التي تم جمعها من متصفحك بمجرد الدخول
    الي الصفحه !!

    وفي هذا المثال ايضا علي الصفحه التاليه

    http://www.smeenk.com/vrml/detect/detector.htm

    ادخل الي الرابط اعلاه . لتجد كم المعلومات الهائله التي تم جمعها من خلال متصفحك
    ايضا بمجرد زياره الصفحه فقط لا غير !!
    علما بان الاكواد المستخدمه في الصفحتين هي لجمع معلومات بسيطه كنوع من اثبات وجهة النظر فقط . لكن مع قليل
    من الخبره يمكنك كتابه الاكواد التي تريد لتحصل علي المعلومه التي تريد
    اعتقد قد اتضح لنا الان خطوره هذه السكربتات . فهل من المعقول ان نتابع طريقنا وكأن شئيا لم يكن ؟؟
    اذا ما فائده تقنيات وطرق التخفي اثناء الاختراق بشكل عام اذا كانت بياناتك يتم كشفها بمجرد زيارتك
    للموقع ؟؟ !!
    الامر هنا اشبه بشخصين يتحدثان معا . احدهما يريد القاء كره علي الاخر دون ان يعرف الاخر انه هو
    الفاعل . فقرر القائها علي الحائط لترتد الكره في الشخص الاخر . وقد نسي تماما انه يراه
    اثناء القائه للكره ببساطه !!

    -------------

    الان نأتي الي طرح التحايل علي هذه السكربتات ومنعها من جمع معلومات متصفحك
    يوجد العديد من الطرق التي لا تحصي . اشهرهم الاضافه الشهيره User Agent Switcher
    قم بتحميل الاضافه وتثبيتها من الرابط التالي

    https://addons.mozilla.org/en-US/fir...gent-switcher/

    ثم قم بتغيير الـ User Agent من Default الي مثلا iPhone 3.0

    [​IMG]

    ثم قم باعاده الاختبار TEST ME علي الرابط المذكور اعلاه

    [​IMG]

    الان انظر الي معلومات الـ User Agent الخاصه بك

    [​IMG]

    كما نري يمكننا التحايل عليها بغرض التمويه او اخفاء معلوماتك الحقيقيه

    -----------------

    لدينا ايضا الاضافه المشهوره NoScript والتي تفيد بشكل كبير في منع مثل هذه البيانات
    من المرور من متصفحك الي الويب سيرفر
    قم بتحميل وتثبيت الاضافه علي الرابط التالي

    https://addons.mozilla.org/en-us/fir...ddon/noscript/

    الان قم بالدخول الي مواقع الـ Test المذكوره اعلاه

    [​IMG]

    [​IMG]

    كما نري ان الاضافه فعاله للغايه .

    ----------------

    ما هو جدير بالذكر . انه في اختبار TEST ME الخاص بموقع

    panopticlick.eff.org

    ستجد خانه ضمن البيانات المجمعه تحت اسم
    اقتباس:
    one in x browsers have this value​

    هنا في هذه الخانه يتم عرض مثلا رقم وليكن 464.49
    هذا الرقم يعني بان متصفحك يمتلك قيم لا يمتلكها الا متصفح واحد في كل 464.49 متصفح
    وهكذا في جميع خانات البيانات
    اي انه اذا ما تم حسابها . ستجد انه ربما متصفحك فريد من نوعه !!
    ومن هنا اتت التسميه => بصمات المتصفحات
    فالبيانات التي يمررها المتصفح الي خادم الويب . هي تعتبر بمثابه بصمه تدل علي هذا المتصفح
    وقد تختلف البصمه من متصفح الي اخر حتي وان كانو يستخدموا نفس المتصفح ونفس الاصدار


    --------------------------------------


    اكتفي بهذا القدر .
    والي هنا يكون الموضوع قد انتهي

    اتمني الفكره العامه من الموضوع قد وصلت الي الجميع
    الا وهي عدم التركيز علي الامور العميقه . ونسيان البسيط منها

    اسألكم الا تنسوني من صالح دعائكم بظهر الغيب

    اترككم في رعايه الله وامنه
    والسلام عليكم ورحمه الله وبركاته




     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة