O JavaScript pode violar sua privacidade e segurança

Propaganda

Você provavelmente já ouviu falar que o JavaScript é perigoso. Bem, isso está parcialmente correto. Javascript posso ser perigoso se as precauções adequadas não forem tomadas. Ele pode ser usado para visualizar ou roubar dados pessoais sem que você perceba que isso está acontecendo. E como o JavaScript é tão onipresente na Web, estamos todos vulneráveis.

Tudo se resume a como o JavaScript realmente funciona O que é JavaScript e como funciona? [Tecnologia explicada] consulte Mais informação . O JavaScript é uma coisa boa, na maioria das vezes, mas é tão flexível e poderoso que mantê-lo sob controle pode ser difícil. Aqui está o que você precisa saber.

Os benefícios do JavaScript

Primeiramente, o JavaScript é um coisa boa. De acordo com a W3Techs, aproximadamente 88,1% de todos os sites usam JavaScript de uma maneira ou de outra. A maioria dos sites de grandes nomes - como Amazon e YouTube - não seria tão útil se a Internet fosse uma zona livre de JavaScript.

Por exemplo, JQuery Tornando a Web interativa: uma introdução ao jQuery

O jQuery é uma biblioteca de scripts do lado do cliente que quase todos os sites modernos usam - torna os sites interativos. Não é a única biblioteca Javascript, mas é a mais desenvolvida, mais suportada e mais usada ... consulte Mais informação é uma biblioteca JavaScript popular que facilita a criação de sites interativos com elementos que podem ser alterados sem a necessidade de recarregar a página inteira. Sites como o Facebook e o Twitter contam com tecnologias como AJAX Tutorial do jQuery (parte 5): AJAX todos eles!Quando chegamos ao final da nossa série de mini-tutoriais do jQuery, já era hora de analisarmos mais detalhadamente um dos recursos mais usados ​​do jQuery. O AJAX permite que um site se comunique com ... consulte Mais informação para manter as páginas da web atualizadas (por exemplo, registros de data e hora, número de curtidas etc.) sem atualizar a página a cada segundo.

Mas, como veremos em breve, o JavaScript não é perfeito. Pode ser abusado e esse abuso leva a cenários que tornam possível bisbilhotar sua atividade na Internet e violar sua privacidade.

Um conselho comum, porém equivocado, é desativar completamente o JavaScript, mas não o recomendamos. Você perderá muitas funcionalidades impressionantes da Web, como o recurso "rolagem infinita" que existe em muitos blogs, redes sociais e sites de notícias.

Mais ainda, algumas explorações de navegador ainda são possíveis, mesmo se você desativar o JavaScript. Portanto, desabilitar o JavaScript devido a questões de segurança é como usar um traje social toda vez que você sai, porque tem medo de se machucar. Na verdade, não irá protegê-lo de muito, mas tornará sua vida miserável.

Bisbilhotando as palavras que você digita

Em julho de 2012, um par de pesquisadores coletou dados de 5 milhões de usuários do Facebook na América e no Reino Unido. O que eles estavam procurando? Autocensura. Mais especificamente, eles queriam saber com que frequência os usuários começariam a escrever uma postagem, mas acabariam excluindo-a. antes de ser realmente publicado.

Eles fizeram isso incorporando um pouco de JavaScript que rastreava as caixas de texto onde os usuários podiam fazer atualizações de status, escrever comentários no mural etc. Os pesquisadores deixaram claro que só gravaram "a presença ou ausência de texto digitado" em vez de "pressionamentos de tecla ou conteúdo", mas a implicação é clara.

isso foi possível para rastrear pressionamentos de teclas e conteúdo. Eles simplesmente escolheram não.

A noção é assustadora. Basta um simples pedaço de JavaScript incorporado para registrar qualquer tipo de atividade em uma página da web - mesmo se você não enviar qualquer coisa! Rolagem na Web, movimentos do mouse, pressionamentos de teclas: tudo isso pode ser rastreado e registrado de acordo com sua vontade ou conhecimento.

Rastreando seus hábitos de navegação

Os recursos de rastreamento do JavaScript não param apenas nas caixas de texto. Através da magia de cookies do navegador O que é um cookie e o que isso tem a ver com minha privacidade? [MakeUseOf explica]A maioria das pessoas sabe que existem cookies espalhados por toda a Internet, prontos e dispostos a serem comidos por quem puder encontrá-los primeiro. Espere o que? Isso não pode estar certo. Sim, existem cookies ... consulte Mais informação , as empresas podem armazenar todos os tipos de informações específicas do usuário: tipo de navegador, preferências, localização etc. A alegação é de que esse tipo de rastreamento é feito para oferecer uma melhor experiência do usuário (por exemplo, anúncios relevantes), mas ainda parece uma violação.

Os cookies são persistentes, o que significa que continuam existindo mesmo depois que você sai da página da Web ou fecha o navegador (a menos que eles expirem ou que você os exclua manualmente). Você vê o problema crescente? Se um cookie persistir de uma página para outra, é possível que uma empresa veja quais sites você acessa.

Isso é melhor explicado com um exemplo: botões de compartilhamento social. Considere o botão Curtir do Facebook, que usa JavaScript para executar sua ação. Quando o navegador carrega a página, ele precisa carregar o botão. Carregar o botão significa fazer uma solicitação ao Facebook para o arquivo JavaScript necessário. Essa solicitação inclui dados como seu endereço IP, a página da web em que você está, quaisquer cookies do Facebook em seu sistema etc.

Só para ficar claro, você não precisa clique o botão para rastrear você. O ato de Carregando é suficiente para esses widgets de compartilhamento coletar dados sobre você.

Dito isto, os botões de compartilhamento social são apenas um dos várias maneiras pelas quais as empresas podem rastrear seus hábitos de navegação 4 atividades online aparentemente inocentes que acompanham seu comportamento consulte Mais informação . Outros exemplos incluem perfis de namoro online, comentários do Disqus e sites que usam Fontes da web gratuitas do Google Como usar as fontes do Google em seu próximo projeto da Web e por que você deveA escolha da fonte é uma decisão de design integral em qualquer site, mas na maioria das vezes nos contentamos com a mesma família serif e sans-serif. Enquanto o corpo principal do texto deve sempre ser algo ... consulte Mais informação .

Injeção de código malicioso

Um dos usos mais insidiosos do JavaScript ocorre na forma de XSS (cross-site scripting). Simplificando, o XSS é uma vulnerabilidade que permite que hackers incorporem código JavaScript malicioso em um site legítimo, que é executado no navegador de um usuário que visita o site local.

Se isso acontecer em um site que lida com informações confidenciais do usuário, como dados financeiros, o código malicioso pode espionar e roubar essas informações. Um passo adiante, o XSS pode ser usado para proliferar vírus e malware, o que aconteceu quando o Twitter foi infectado com o worm StalkDaily O que é o script entre sites (XSS) e por que é uma ameaça à segurançaAs vulnerabilidades de script entre sites são o maior problema de segurança de sites atualmente. Estudos descobriram que eles são surpreendentemente comuns - 55% dos sites continham vulnerabilidades XSS em 2011, de acordo com o último relatório da White Hat Security, lançado em junho ... consulte Mais informação .

O XSS também pode ser usado para algo chamado envenenamento por mecanismo de pesquisa O que é o envenenamento por mecanismo de pesquisa e como ele espalha o malware [MakeUseOf Explica]Se você pensou que pop-ups de malware e spam de e-mail implacável eram os piores, pense novamente. Há um novo concorrente no palco e está espalhando malware como manteiga no calor do deserto. É chamado de mecanismo de pesquisa ... consulte Mais informação . Para encurtar a história, os fabricantes de malware podem usar o JavaScript para infectar sites com altos índices de resultados de pesquisa de maneira que os usuários que tentam visitar esses sites sejam redirecionados para sites infestados por malware em vez de.

E há algo chamado falsificação de solicitação entre sites (CSRF), que é o inverso de um XSS. Esse tipo de código JavaScript malicioso pode explorar o navegador, os cookies e as permissões de segurança de um usuário para executar ações em um site separado.

O que você pode fazer para se proteger contra ataques baseados em JavaScript?

Por fim, a responsabilidade recai sobre os desenvolvedores da web para garantir que seus sites sejam limpos e seguros. Como usuário final, no entanto, você deve sempre manter seus navegadores atualizados e verifique regularmente se há malware Mantenha-se protegido contra todos os tipos de malware com o Avast Free AntivirusA proteção abrangente contra malware não precisa custar uma fortuna. Muitos programas antivírus gratuitos respeitáveis ​​são igualmente eficazes como os pagos e o avast! Free Antivirus está com os melhores programas antivírus do Windows. consulte Mais informação .

Aqui está o que fazer caso você faça encontre malware no seu sistema 10 etapas a serem seguidas ao descobrir malware no seu computadorGostaríamos de pensar que a Internet é um local seguro para gastar nosso tempo (tosse), mas todos sabemos que há riscos em cada esquina. E-mail, mídias sociais, sites maliciosos que funcionaram ... consulte Mais informação .

Dito isto, posso contar com uma mão o número de vezes que me deparei com os problemas acima. JavaScript é uma parte importante da web moderna. Ele fez mais bem do que mal e está aqui para ficar. Interessado em tornar-se um desenvolvedor JavaScript Qual idioma de programação aprender - Programação WebHoje vamos dar uma olhada nas várias linguagens de programação da Web que alimentam a Internet. Esta é a quarta parte de uma série de programação para iniciantes. Na parte 1, aprendemos o básico de ... consulte Mais informação ? Comece com estes recursos de aprendizagem gratuitos Comece a codificar JavaScript agora mesmo com esses 5 excelentes recursos gratuitos consulte Mais informação .

Você já teve algum problema de JavaScript? Você está praticando hábitos seguros de segurança e privacidade? Conte-nos sobre suas experiências nos comentários abaixo!

Créditos da imagem: Notificações do Facebook via Shutterstock, Digitando as mãos via Shutterstock, Botões de compartilhamento social via Shutterstock