पिछले एक महीने में, मैंने लगभग एक दर्जन सुरक्षा बुलेटिनों को पढ़ा है, जिसमें डेस्कटॉप से लेकर मोबाइल तक ऑपरेटिंग सिस्टम की श्रेणी में फ़ॉन्ट पार्सिंग भेद्यता के कारण रिमोट एक्जीक्यूशन कारनामे शामिल हैं। इन सभी मामलों में, समस्याओं का विस्तृत उल्लेख था, लेकिन वेंडर अपडेट के अलावा, संभावित समाधानों का बहुत कम उल्लेख किया गया था, यानी।
जो काफी पेचीदा है, क्योंकि एक ऐसा टूल है जो फोंट के साथ आपकी मदद कर सकता है। इसे नोस्क्रिप्ट कहा जाता है, यह फ़ायरफ़ॉक्स और हाल ही में क्रोम में उपलब्ध एक सर्वोच्च ब्राउज़र एक्सटेंशन है, और यह आपको अपने वेबपृष्ठों में फोंट की लोडिंग को नियंत्रित करने की अनुमति देता है। एक सरल और सुरुचिपूर्ण उपकरण जो बचा सकता है - या बहुत कम से कम, फोंट के साथ सिरदर्द को काफी कम कर सकता है। लेकिन क्या इसे वह स्पॉटलाइट मिलती है जिसके वह हकदार है? बिल्कुल नहीं, नाटक और डर कहीं अधिक दिलचस्प हैं। देखते हैं क्या देता है।
60 सेकंड में नोस्क्रिप्ट
यदि आप पहले से ही Dedoimedo पढ़ रहे हैं, तो आप जानते हैं कि मुझे Noscript पसंद है और मैं इसका उपयोग करता हूँ। यह मेरे लिए एक अनिवार्य ब्राउज़र एक्सटेंशन है। स्क्रिप्टिंग (ज्यादातर) अक्षम होने के साथ, ब्राउज़िंग कहीं अधिक मज़ेदार है। तेज़, क्लीनर। सुरक्षा तत्व गौण है, लेकिन फिर भी यह मौजूद है। जब आप नोस्क्रिप्ट के साथ ब्राउज़ करते हैं, तो केवल शुद्ध जानकारी लोड होती है - पाठ और चित्र। कुछ भी जिसके लिए स्क्रिप्ट की आवश्यकता होती है, अभी नहीं। अच्छा।
यह आधुनिक इंटरनेट अनुभव का अनुवाद करता है - जो कि भयानक बीटीडब्ल्यू है - एक समझदार, शांत। जब आपको कुछ ऐसा करने की आवश्यकता होती है जिसके लिए जावास्क्रिप्ट की आवश्यकता होती है, तो आप अस्थायी रूप से किसी विशिष्ट डोमेन के लिए अनुमतियों को टॉगल कर सकते हैं, जो आपको करने की आवश्यकता है वह करें और फिर शांत और स्वस्थ ब्राउज़िंग पर वापस जाएं।
आप अपनी विश्वसनीय और अविश्वसनीय सूचियों को स्थायी रूप से कॉन्फ़िगर भी कर सकते हैं - ऐसी साइटें जिनमें स्क्रिप्ट और अन्य ऑब्जेक्ट डिफ़ॉल्ट रूप से सक्षम होंगे, और जो नहीं होंगे, भले ही आप अस्थायी रूप से सभी को अनुमति दें। सरल और व्यावहारिक। ज़रूर, यह एक परेशानी हो सकती है, और केवल बेवकूफ ही इसका सही तरीके से उपयोग कर सकते हैं, लेकिन फिर भी सुरक्षा के बारे में यह सब बातें बेकार की बातें हैं।
अब, स्क्रिप्टिंग नोस्क्रिप्ट की कार्यक्षमता का केवल एक पहलू है। ऐड-ऑन अन्य वेब पेज तत्वों को ब्लॉक/अनुमति दे सकता है, जिसमें ऑब्जेक्ट, मीडिया फ़ाइलें, फ़्रेम, WebGL - और फ़ॉन्ट शामिल हैं! चलो फोंट मत भूलना। यदि दूरस्थ फ़ॉन्ट हैं, तो उन्हें ब्लॉक किया जा सकता है। डिफ़ॉल्ट रूप से, नोस्क्रिप्ट एक पेज पर स्क्रिप्ट, फोंट, वेबजीएल और वेब पिंग तत्वों को ब्लॉक कर देगा। विश्वसनीय साइटों के लिए, सब कुछ की अनुमति होगी। अविश्वसनीय के लिए, सब कुछ ब्लॉक कर दिया जाएगा।
नोस्क्रिप्ट और फॉन्ट
अब, यदि आप फोंट को अवरुद्ध करके और इस और उस साइट के लिए लगातार स्क्रिप्टिंग अनुमतियों को ट्वीक करके अपने वेब अनुभव को कम नहीं करना चाहते हैं, तो आप जो कर सकते हैं वह इस प्रकार है:
- डिफ़ॉल्ट ज़ोन के लिए स्क्रिप्ट सक्षम करें।
- डिफ़ॉल्ट और विश्वसनीय क्षेत्र के लिए फ़ॉन्ट ब्लॉक करें।
और बस। आपकी दिन-प्रतिदिन की इंटरनेटिंग पहले की तरह व्यवहार करेगी - साइटें लोड होंगी (लगभग पूरी तरह से), आपके पास आपकी सभी स्क्रिप्ट्स, टिप्पणियाँ, क्या नहीं, और केवल एक चीज जो संसाधित नहीं की जाएगी, वह दूरस्थ फोंट हैं। इसलिए अगर मुद्दे हैं, तो कोई मुद्दे नहीं हैं। वास्तव में, वास्तव में ऐसा कोई कारण नहीं है कि यह आपका डिफ़ॉल्ट कॉन्फ़िगरेशन क्यों नहीं होना चाहिए, खासकर यदि आप स्क्रिप्टोलॉजी से परेशान नहीं होना चाहते हैं।
अब, यह आपके फ़ॉन्ट अनुभव को समाप्त कर देगा। फैंसी रिमोट फोंट का उपयोग करने वाली साइटें प्रस्तुत नहीं होंगी, इसलिए आप वैकल्पिक फोंट (स्थानीय रूप से जो भी प्रतिस्थापन उपलब्ध है) देख सकते हैं, या यदि विभिन्न साइटें उनके सीएसएस में फ़ॉलबैक फ़ॉन्ट विकल्प के बिना सुपर-बुरी तरह से कॉन्फ़िगर की गई हैं, तो खाली, बदसूरत वर्ग। जो बहुत अच्छा है!
बेशक, लोग स्वचालित रूप से इस घटना को खराब, खराब, शरारती फोंट के साथ जोड़ देंगे। लेकिन मुझे लगता है कि हर दूरस्थ फ़ॉन्ट खराब है - यह अनावश्यक है। कोई कारण नहीं है, मूर्खतापूर्ण सनक के अलावा, किसी को अपने पृष्ठों में दूरस्थ फोंट का उपयोग क्यों करना चाहिए। सिर्फ इसलिए कि यह फैशनेबल है, डार्क थीम की तरह? यदि आप फैंसी फॉन्ट चाहते हैं, उन्हें खरीदें, उन्हें अपने सर्वर पर रखें, और अपने दर्शकों के लिए उनकी सेवा करें। ओह, यह सही है, इसमें पैसा खर्च होता है! लेकिन एरियल या सेन्स-सेरिफ़ बहुत रेट्रो हैं! केवल पर्याप्त नहीं।
ओह, अगर आप सोच रहे हैं, तो वेब फॉन्ट ब्लॉक करना कोई नई बात नहीं है। Noscript ने इसे कम से कम 2010 से संभाला है, और तब भी, दूरस्थ फ़ॉन्ट समस्याएँ और FreeType भेद्यताएँ यहाँ और वहाँ हुईं। वास्तव में कुछ भी नहीं बदला है, सिवाय फोकस थोड़ा शिफ्ट होने के। बस इतना ही।
एक अतिरिक्त चीज़ के रूप में, आप उन विभिन्न साइटों को स्थायी रूप से ब्लॉक भी कर सकते हैं जिन्हें आप शरारती या असुरक्षित मानते हैं, इसलिए यदि आप विभिन्न डोमेन के लिए कभी-कभी अनुमति देते हैं, तो अविश्वसनीय साइटें अभी भी अवरुद्ध रहेंगी, इसलिए आपको गलती से छेद करने की चिंता करने की आवश्यकता नहीं है लापरवाही या आलसी माउस क्लिक के माध्यम से आपका सेटअप।
असंबंधित अतिरिक्त:Windows 10 और शोषण से सुरक्षा
विंडोज वालों के लिए कुछ विशिष्ट है, और पूरी तरह से नोस्क्रिप्ट नहीं है, लेकिन मुझे लगता है कि इस बिंदु के मूल्य में सुधार करने का यह एक अच्छा क्षण है। मुझे बहुत गुस्सा आता है जब हर कोई विंडोज के बारे में कयामत और निराशा का प्रचार करता है, लेकिन वे हमेशा विंडोज ऑपरेटिंग सिस्टम में उपलब्ध सर्वोत्तम सुरक्षा तंत्र का उल्लेख करने में विफल रहते हैं, सुरुचिपूर्ण और काफी पारदर्शी एक्सप्लॉइट प्रोटेक्शन फ्रेमवर्क, जो कि प्रसिद्ध EMET टूलबॉक्स पर आधारित है। बेकार में सुरक्षा का पीछा करने के बजाय, आप समस्या को जड़ से खत्म कर सकते हैं।
एक, आप ऑपरेटिंग सिस्टम में अविश्वसनीय फोंट को विश्व स्तर पर अक्षम कर सकते हैं, या यदि आपको लगता है कि यह बहुत अधिक है, तो आप एक्सप्लॉइट प्रोटेक्शन कार्यक्षमता का उपयोग करके नीति को प्रति एप्लिकेशन समायोजित कर सकते हैं। बहुत आसान, फिर से। लेकिन फिर, यह कुछ ऐसा नहीं है जिस पर पर्याप्त ध्यान दिया जाता है, शायद इसलिए कि इसमें सस्पेंस का ब्लॉकबस्टर स्तर नहीं है।
पोएटिक जस्टिस:फायरफॉक्स
एक चीज जो हाल ही में अधिक प्रचलित होती दिख रही है - जाहिर तौर पर क्रोम में जीरो-डे बग। अब, अपने आप में, यह कुछ खास या नया नहीं है - कई कार्यक्रमों में ये हो चुके हैं और ये वर्षों से होंगे। वे आते हैं, विक्रेता उन्हें पैच करता है, अगला। अगर यह नेट पर है, तो कुछ गलत हो सकता है। जीवन के सरल तथ्य।
क्रोम स्लैश क्रोमियम की सर्वव्यापकता क्या दिलचस्प है - क्योंकि यह विशेष रूप से मोबाइल पर प्रमुख ब्राउज़र बन गया है। आज के युवाओं को यह उपन्यास और अनूठा लग सकता है, लेकिन यह 2005-2010 के आसपास इंटरनेट एक्सप्लोरर के साथ आनंद और नाटक की पुनरावृत्ति है, जब यह सबसे लोकप्रिय और सबसे अधिक लक्षित ब्राउज़र भी था।
फिर, वहाँ छिपा हुआ ड्रैगन भी है, जो इलैक्ट्रॉन को झुका हुआ है। आजकल अनुप्रयोगों के टन बस इतना ही हैं - हुड के नीचे क्रोमियम इंजन द्वारा संचालित एक कस्टम यूआई के साथ एन्कैप्सुलेटेड ब्राउज़र। यह एक सरल, सुरुचिपूर्ण डिजाइन के लिए बनाता है। लेकिन इसका अर्थ यह भी है कि यदि क्रोमियम में भेद्यता है, तो इस बात की ठोस संभावना है कि ऐसी भेद्यता अन्य ऐप्स की एक पूरी श्रृंखला में भी मौजूद हो सकती है, जिन्हें आप आवश्यक रूप से शुद्ध ब्राउज़िंग से संबद्ध नहीं करेंगे। अगर और जब ऐसे कीड़े प्रकट होते हैं, तो क्या वे आपको प्रभावित करेंगे? कैसे? कब? क्या आप यह पता लगाने में सक्षम होंगे कि गैर-ब्राउज़र-जैसे इंटरफ़ेस में ब्राउज़र-जैसे शोषण को क्या ट्रिगर कर सकता है? संकेत:यह पहले भी हो चुका है, उदाहरण के लिए CVE-2018-1000136 भेद्यता।
और फिर आपके पास फ़ायरफ़ॉक्स है, जो अब उतना ग्लैमरस या उतना लोकप्रिय नहीं है जितना पहले हुआ करता था, लेकिन तथ्य यह है कि यह अपने स्वयं के रेंडरिंग इंजन का उपयोग करता है और बाजार में एक छोटा पदचिह्न है, जिससे pwnage गेम में पहली पसंद होने की संभावना कम हो जाती है। हम एक तरह से 15 साल पीछे चले गए। लोलज़ा।
निष्कर्ष
हाल के सुरक्षा बुलेटिन ज्यादातर गैर-विंडोज ऑपरेटिंग सिस्टम, विशेष रूप से मोबाइल के आसपास थे। जो एक्सप्लॉइट प्रोटेक्शन को नियमबद्ध करता है, लेकिन फिर फ़ायरफ़ॉक्स और क्रोम ज्यादातर ऑपरेटिंग सिस्टम पर बड़े पैमाने पर उपलब्ध हैं, और आप अपनी सुरक्षा और उपयोगिता के रुख को बढ़ाने के लिए नोस्क्रिप्ट एक्सटेंशन का उपयोग कर सकते हैं। जिस तरह आपके स्मार्टफोन पर एडब्लॉकर्स बुलशिट के प्रभाव को 99% तक कम कर देते हैं और आपकी बैटरी लाइफ को बेहतर कर देते हैं, उसी तरह नोस्क्रिप्ट शोर को कम करने और आपकी सुरक्षा को बेहतर बनाने में मदद कर सकता है।
मुझे पता है कि यहां फोकस फोंट के सुरक्षा पहलू पर है, लेकिन यह सिर्फ इतना ही नहीं है। नहीं। ये फ़ॉन्ट कमजोरियां खराब उपयोग मॉडल का एक स्वाभाविक विस्तार हैं। किसी भी चीज में बग और समस्याएं हो सकती हैं। फ़ॉन्ट्स विशेष या अद्वितीय नहीं हैं। असली समस्या यह है कि लोग गलत तरीके से फोंट का इस्तेमाल करते हैं। एक बच्चे को क्लेमोर देने की तरह, इसके घटिया सीएसएस और आलसी वेब डिज़ाइन को छोड़कर। रिमोट फोंट जंग लगी पुरानी कार पर ब्लिंग-ब्लिंग रिम्स हैं।
दूरस्थ, तृतीय-पक्ष सामान लोड करना एक बढ़ता हुआ मुद्दा है। अधिक से अधिक साइटें कोड के स्निपेट्स का अंधाधुंध पुन:उपयोग कर रही हैं, और यह सब "बादल" हो रहा है - स्थानीय और दूरस्थ संपत्तियों, क्लाउड स्टोरेज और नेटवर्क के उपयोग, और अन्य सभी बिट्स और टुकड़ों के बीच धुंधला हो रहा है जो इंटरनेट अनुभव को जटिल बनाते हैं। संक्षेप में, हाँ, आप यहाँ और वहाँ थोड़ी गति और पॉलिश प्राप्त करते हैं, लेकिन अंततः, आप स्वस्थ कोडिंग प्रथाओं और रास्ते में सुरक्षा सहित बाकी सब कुछ खो देते हैं। फिर से, वेब लगभग 2014 या उसके आसपास समाप्त हो गया, और यह नवीनतम अवतार सिर्फ इडियोक्रेसी 2.0 है।
वैसे भी, एक दिन के लिए पर्याप्त शेखी बघारना। अपने इंटरनेट को कम मूर्खतापूर्ण बनाने के लिए नोस्क्रिप्ट का प्रयोग करें। यह सुरक्षा के बारे में नहीं है। यह सिर्फ एक अतिरिक्त बोनस है। यह बुलशिट को ब्लॉक करने के बारे में है, और जितना अधिक बुलशिट आप ब्लॉक करेंगे, वेब डिजाइनरों को अपनी प्रथाओं पर पुनर्विचार करने का मौका उतना ही अधिक होगा। रिमोट फोंट आधुनिक इंटरनेट की कई समस्याओं में से एक है, और इसके साथ सहयोग करने का कोई कारण नहीं है। साथ ही, आप अपने डिवाइस को हैक्स0रिंग करने के जोखिम को भी कम कर सकते हैं। और हमारा काम हो गया।
चीयर्स।