ในเดือนที่ผ่านมา ฉันได้อ่านประกาศเกี่ยวกับความปลอดภัยจำนวนหนึ่งเกี่ยวกับการใช้ประโยชน์จากการดำเนินการระยะไกลเนื่องจากช่องโหว่ในการแยกวิเคราะห์ฟอนต์ในระบบปฏิบัติการต่างๆ ตั้งแต่เดสก์ท็อปไปจนถึงมือถือ ในทุกกรณีเหล่านี้ มีการกล่าวถึงปัญหาโดยละเอียด แต่น้อยมากหากมีการกล่าวถึงวิธีแก้ปัญหาที่เป็นไปได้ นอกเหนือจากการอัปเดตของผู้จำหน่าย
ซึ่งค่อนข้างน่าสนใจเพราะมีเครื่องมือที่สามารถช่วยคุณเกี่ยวกับแบบอักษร เรียกว่า Noscript เป็นส่วนขยายเบราว์เซอร์สูงสุดที่มีอยู่ใน Firefox และล่าสุดใน Chrome และช่วยให้คุณสามารถควบคุมการโหลดแบบอักษรในหน้าเว็บของคุณได้ เครื่องมือที่เรียบง่ายและสง่างามที่สามารถประหยัด - หรืออย่างน้อยที่สุดก็ย่อให้เล็กสุด ปวดหัวกับฟอนต์ แต่มันได้รับความสนใจที่สมควรได้รับหรือไม่? ไม่แน่นอน ละครและความกลัวน่าสนใจกว่ามาก มาดูกันว่าให้อะไรบ้าง
Noscript ใน 60 วินาที
หากคุณเคยอ่าน Dedoimedo มาก่อน คุณจะรู้ว่าฉันชอบและใช้ Noscript เป็นส่วนขยายเบราว์เซอร์ที่ต้องมีสำหรับฉัน เมื่อปิดใช้งานสคริปต์ (ส่วนใหญ่) การท่องเว็บจะสนุกยิ่งขึ้น เร็วกว่า สะอาดกว่า องค์ประกอบความปลอดภัยเป็นเรื่องรอง แต่ก็ยังมีอยู่ เมื่อคุณเรียกดูด้วย Noscript จะโหลดเฉพาะข้อมูลบริสุทธิ์เท่านั้น - ข้อความและรูปภาพ อะไรก็ตามที่ต้องใช้สคริปต์ ดี.
สิ่งนี้แปลประสบการณ์อินเทอร์เน็ตสมัยใหม่ - ซึ่งน่ากลัว BTW - เป็นประสบการณ์ที่เงียบสงบ เมื่อคุณจำเป็นต้องทำบางสิ่งที่ต้องใช้ Javascript คุณสามารถสลับการอนุญาตชั่วคราวสำหรับโดเมนเฉพาะ ทำในสิ่งที่ต้องทำ จากนั้นกลับไปที่การท่องเว็บที่เงียบสงบและปกติ
คุณยังสามารถกำหนดค่ารายการที่เชื่อถือได้และไม่น่าเชื่อถือของคุณได้อย่างถาวร - ไซต์ที่จะมีสคริปต์และวัตถุอื่นๆ ที่เปิดใช้งานตามค่าเริ่มต้น และที่ไม่น่าเชื่อถือ แม้ว่าคุณจะอนุญาตชั่วคราวทั้งหมดก็ตาม เรียบง่ายและใช้งานได้จริง แน่นอนว่ามันอาจเป็นเรื่องยุ่งยาก และเนิร์ดเท่านั้นที่สามารถใช้สิ่งนี้ได้อย่างถูกต้อง แต่การพูดคุยเกี่ยวกับความปลอดภัยทั้งหมดนี้ก็เป็นเรื่องเนิร์ดอยู่ดี
ขณะนี้ การเขียนสคริปต์เป็นเพียงลักษณะหนึ่งของฟังก์ชันการทำงานของ Noscript เท่านั้น นอกจากนี้ Add-on ยังสามารถบล็อก/อนุญาตองค์ประกอบอื่นๆ ของเว็บเพจ เช่น วัตถุ ไฟล์มีเดีย เฟรม WebGL - และฟอนต์! อย่าลืมแบบอักษร หากมีแบบอักษรระยะไกล ก็สามารถบล็อกได้ ตามค่าเริ่มต้น Noscript จะบล็อกสคริปต์ แบบอักษร WebGL และองค์ประกอบ Web ping บนเพจ สำหรับไซต์ที่เชื่อถือได้ ทุกอย่างจะได้รับอนุญาต สำหรับสิ่งที่ไม่น่าเชื่อถือ ทุกอย่างจะถูกบล็อก
Noscript &ฟอนต์
ตอนนี้ หากคุณไม่ต้องการลดประสบการณ์การใช้เว็บของคุณด้วยการบล็อกแบบอักษรและต้องปรับแต่งสิทธิ์ในการเขียนสคริปต์อย่างต่อเนื่องสำหรับไซต์นี้และไซต์นั้น สิ่งที่คุณสามารถทำได้มีดังนี้:
- เปิดใช้งานสคริปต์สำหรับโซน DEFAULT
- บล็อกแบบอักษรสำหรับโซน DEFAULT และ TRUSTED
และนั่นแหล่ะ อินเทอร์เน็ตในแต่ละวันของคุณจะทำงานเหมือนเมื่อก่อน - ไซต์จะโหลด (เกือบเต็ม) คุณจะมีสคริปต์ ความคิดเห็น อะไรก็ตามทั้งหมด และสิ่งเดียวที่จะไม่ดำเนินการคือแบบอักษรระยะไกล ดังนั้นหากมีปัญหาก็ไม่มีปัญหา อันที่จริง ไม่มีเหตุผลใดที่สิ่งนี้ไม่ควรเป็นการกำหนดค่าเริ่มต้นของคุณ โดยเฉพาะอย่างยิ่งหากคุณไม่ต้องการให้สคริปต์วิทยาไม่สะดวก
ตอนนี้สิ่งนี้จะทำลายประสบการณ์การใช้ฟอนต์ของคุณ ไซต์ที่ใช้ฟอนต์ระยะไกลแฟนซีจะไม่แสดงผล ดังนั้นคุณอาจเห็นฟอนต์สำรอง (ไม่ว่าจะใช้แทนแบบใดก็ตามในเครื่อง) หรือหากไซต์ต่างๆ ได้รับการกำหนดค่าอย่างแย่มากโดยไม่มีตัวเลือกฟอนต์สำรองใน CSS ไซต์เหล่านั้นก็จะว่างเปล่า สี่เหลี่ยมน่าเกลียด ซึ่งดีมาก!
แน่นอนว่าผู้คนจะเปรียบปรากฏการณ์นี้โดยอัตโนมัติด้วยฟอนต์ที่ไม่ดี แย่ ซุกซน แต่ฉันคิดว่าแบบอักษรระยะไกลทุกตัวนั้นไม่ดี - นั่นไม่จำเป็น ไม่มีเหตุผลใดนอกจากแฟชั่นโง่ๆ ว่าทำไมใครๆ ก็ควรใช้แบบอักษรระยะไกลในหน้าเว็บของตน เพียงเพราะมันเป็นแฟชั่น เช่น ธีมสีเข้ม? หากคุณต้องการฟอนต์แฟนซี ให้ซื้อ วางไว้บนเซิร์ฟเวอร์ของคุณ และให้บริการแก่ผู้ชมของคุณ โอ้ ถูกต้อง เสียเงิน! แต่ Arial หรือ sans-serif นั้นย้อนยุคเกินไป! เคี้ยวไม่พอ
หากคุณสงสัย การบล็อกแบบอักษรบนเว็บไม่ใช่เรื่องใหม่ Noscript จัดการเรื่องนี้มาอย่างน้อยตั้งแต่ปี 2010 และถึงอย่างนั้น ปัญหาแบบอักษรระยะไกลและช่องโหว่ FreeType ก็เกิดขึ้นที่นี่และที่นั่น ไม่มีอะไรเปลี่ยนแปลงจริง ๆ ยกเว้นว่าโฟกัสเปลี่ยนไปเล็กน้อย เพียงเท่านี้
นอกจากนี้ คุณยังสามารถบล็อกไซต์ต่างๆ ที่คุณเห็นว่าไม่ปลอดภัยหรือไม่ปลอดภัยได้อย่างถาวร ดังนั้นหากคุณอนุญาตทั้งหมดสำหรับโดเมนต่างๆ ไซต์ที่ไม่น่าเชื่อถือจะยังคงถูกบล็อก ดังนั้นคุณจึงไม่ต้องกังวลว่าจะเจาะช่องโดยไม่ตั้งใจ การตั้งค่าของคุณผ่านความประมาทเลินเล่อหรือการคลิกเมาส์ที่ขี้เกียจ
พิเศษที่ไม่เกี่ยวข้อง:Windows 10 &Exploit Protection
บางอย่างเฉพาะสำหรับชาว Windows และไม่ใช่ Noscript โดยสิ้นเชิง แต่ฉันรู้สึกว่านี่เป็นช่วงเวลาที่ดีที่จะฝึกฝนคุณค่าของจุดนี้ ฉันรู้สึกหงุดหงิดมากเมื่อทุกคนพูดถึงความหายนะและความโศกเศร้าเกี่ยวกับ Windows แต่พวกเขาก็มักจะไม่พูดถึงกลไกการรักษาความปลอดภัยที่ดีที่สุดที่มีในระบบปฏิบัติการ Windows นั่นคือเฟรมเวิร์ก Exploit Protection ที่สวยงามและค่อนข้างโปร่งใส ซึ่งใช้กล่องเครื่องมือ EMET ในตำนาน แทนที่จะไล่ตามการรักษาความปลอดภัยอย่างไร้ประโยชน์ คุณสามารถตัดปัญหาได้ทันที
หนึ่ง คุณสามารถปิดใช้งานฟอนต์ที่ไม่น่าเชื่อถือในระบบปฏิบัติการได้ทั่วโลก หรือหากคุณคิดว่ามันมากเกินไป คุณสามารถปรับนโยบายต่อแอปพลิเคชันได้โดยใช้ฟังก์ชัน Exploit Protection ง่ายมากอีกครั้ง แต่นั่นไม่ใช่สิ่งที่ได้รับความสนใจเพียงพอ อาจเป็นเพราะไม่มีระดับความลุ้นระทึก
บทกวีแห่งความยุติธรรม:Firefox
สิ่งหนึ่งที่ดูเหมือนจะแพร่หลายมากขึ้นเมื่อเร็วๆ นี้ - ข้อบกพร่องแบบ Zero-day ใน Chrome ตอนนี้ โดยตัวมันเองแล้ว นี่ไม่ใช่สิ่งที่พิเศษหรือใหม่แต่อย่างใด - มีโปรแกรมมากมายที่มีโปรแกรมเหล่านี้และจะมีโปรแกรมเหล่านี้ต่อไปอีกหลายปี พวกเขามาผู้ขายแก้ไขพวกเขาต่อไป หากอยู่บนเน็ต อาจมีบางอย่างผิดพลาดได้ ข้อเท็จจริงง่ายๆ ของชีวิต
สิ่งที่น่าสนใจคือความแพร่หลายของ Chrome slash Chromium เนื่องจากมันกลายเป็นเบราว์เซอร์ที่โดดเด่นโดยเฉพาะบนมือถือ เยาวชนในปัจจุบันอาจพบว่านวนิยายเรื่องนี้ไม่เหมือนใคร แต่เป็นเพียงการเล่าซ้ำของความสุขและเรื่องราวที่เกิดขึ้นกับ Internet Explorer ในช่วงปี 2548-2553 ซึ่งเป็นเบราว์เซอร์ที่ได้รับความนิยมมากที่สุดและมีเป้าหมายมากที่สุดด้วย
จากนั้นยังมีมังกรที่ซ่อนอยู่หมอบอิเลคตรอน ทุกวันนี้มีแอปพลิเคชันมากมาย - เบราว์เซอร์ที่ห่อหุ้มด้วย UI ที่กำหนดเองซึ่งขับเคลื่อนโดยเครื่องยนต์ Chromium ภายใต้ประทุน สิ่งนี้ทำให้การออกแบบที่เรียบง่ายและสง่างาม แต่ก็หมายความว่าหากมีช่องโหว่ใน Chromium ก็มีโอกาสที่ดีที่ช่องโหว่ดังกล่าวอาจมีอยู่ในแอปอื่นๆ ทั้งหมดที่คุณไม่จำเป็นต้องเชื่อมโยงกับการท่องเว็บโดยตรง หากข้อผิดพลาดดังกล่าวปรากฏขึ้นและเมื่อใด สิ่งเหล่านี้จะส่งผลกระทบต่อคุณหรือไม่ ยังไง? เมื่อไร? คุณจะสามารถทราบได้หรือไม่ว่าสิ่งใดที่อาจทำให้เกิดการใช้ประโยชน์จากเบราว์เซอร์ในอินเทอร์เฟซที่ไม่เหมือนเบราว์เซอร์ คำแนะนำ:สิ่งนี้เคยเกิดขึ้นมาก่อน เช่น ช่องโหว่ CVE-2018-1000136 เป็นต้น
จากนั้นคุณก็มี Firefox ซึ่งไม่ได้สวยงามหรือเป็นที่นิยมเหมือนที่เคยเป็นอีกต่อไป แต่ความจริงที่ว่ามันใช้เอนจินการเรนเดอร์ของตัวเองและมีขนาดเล็กกว่าในตลาด ทำให้มีโอกาสน้อยที่จะเป็นตัวเลือกแรกในเกม pwnage เราย้อนเวลากลับไป 15 ปี โลซ่า.
บทสรุป
กระดานข่าวความปลอดภัยล่าสุดส่วนใหญ่เกี่ยวกับระบบปฏิบัติการที่ไม่ใช่ Windows โดยเฉพาะมือถือ ซึ่งออกกฎการป้องกันการใช้ประโยชน์ แต่ Firefox และ Chrome นั้นใช้งานได้ส่วนใหญ่ในระบบปฏิบัติการส่วนใหญ่ และคุณสามารถใช้ส่วนขยาย Noscript เพื่อปรับปรุงสถานะความปลอดภัยและความสามารถในการใช้งานของคุณ เช่นเดียวกับที่ตัวบล็อกโฆษณาบนสมาร์ทโฟนของคุณลดเอฟเฟกต์ไร้สาระลง 99% และปรับปรุงอายุแบตเตอรี่ของคุณ Noscript ก็สามารถช่วยลดเสียงรบกวนและปรับปรุงความปลอดภัยของคุณได้
ฉันรู้ว่าจุดเน้นในที่นี้คือด้านความปลอดภัยของฟอนต์ แต่ไม่ใช่แค่เรื่องนั้น ไม่ ช่องโหว่ของฟอนต์เหล่านี้เป็นส่วนเสริมตามธรรมชาติของโมเดล BAD USAGE ทุกสิ่งสามารถมีข้อบกพร่องและปัญหาได้ ฟอนต์ไม่พิเศษหรือไม่เหมือนใคร ปัญหาที่แท้จริงคือคนใช้ฟอนต์ผิดวิธี เช่นเดียวกับการมอบ Claymore ให้กับเด็ก ยกเว้น CSS ห่วยๆ และการออกแบบเว็บที่ขี้เกียจ แบบอักษรระยะไกลเป็นขอบ bling-bling บนรถเก่าที่เป็นสนิม
การโหลดข้อมูลจากระยะไกลของบุคคลที่สามเป็นปัญหาที่เพิ่มมากขึ้น ไซต์จำนวนมากขึ้นเรื่อยๆ สุ่มสี่สุ่มห้านำข้อมูลโค้ดกลับมาใช้ใหม่ และทุกอย่างก็กลายเป็น "เมฆมาก" - มีความพร่ามัวระหว่างทรัพยากรในพื้นที่และระยะไกล การใช้ที่เก็บข้อมูลบนคลาวด์และเครือข่าย และส่วนอื่นๆ ทั้งหมดที่ทำให้ประสบการณ์อินเทอร์เน็ตซับซ้อน โดยพื้นฐานแล้ว ใช่ คุณจะได้รับความเร็วและขัดเกลาเล็กน้อยที่นี่และที่นั่น แต่ท้ายที่สุด คุณจะเสียทุกอย่างไป รวมถึงแนวทางปฏิบัติในการเขียนโค้ดที่ดีและความปลอดภัยไปพร้อมกัน จากนั้นอีกครั้ง เว็บเสียชีวิตประมาณปี 2014 และชาติล่าสุดนี้เป็นเพียง Idiocracy 2.0
ยังไงก็เถอะ วันเดียวก็บ่นพอแล้ว ใช้ Noscript เพื่อทำให้อินเทอร์เน็ตของคุณงี่เง่าน้อยลง มันไม่เกี่ยวกับการรักษาความปลอดภัย นั่นเป็นเพียงโบนัสเพิ่มเติม มันเกี่ยวกับการบล็อกเรื่องไร้สาระ และยิ่งคุณบล็อกเรื่องไร้สาระมากเท่าไหร่ โอกาสที่นักออกแบบเว็บไซต์จะต้องพิจารณาใหม่ก็จะยิ่งสูงขึ้นเท่านั้น แบบอักษรระยะไกลเป็นเพียงหนึ่งในปัญหามากมายของอินเทอร์เน็ตสมัยใหม่ และไม่มีเหตุผลที่จะต้องร่วมมือกับมัน ระหว่างทาง คุณอาจลดความเสี่ยงของการแฮกอุปกรณ์ของคุณได้ เป็นอันเสร็จเรียบร้อย
ไชโย.