tiistai 8. kesäkuuta 2010

Vältä upotettuja kehyksiä ja JavaScriptiä

Helpommin sanottu kuin tehty. Mutta poistamalla upotetut kehykset (iframe, inline frame) ja JavaScriptin (älä sekoita Javaan) käytöstä, saadaan nostettua selaimen turvallisuutta merkittävästi. Haittaohjelmat leviävät usein upotettuja kehyksiä ja/tai JavaScriptiä hyväksi käyttäen, jopa ns. luotetuilla sivuistoilla voi vaania haitallista koodia. Firefoxille onkin saatavilla mainio NoScript -lisäosa, jolla voi erikseen sallia JavaScriptin halutuille sivuille. Upotetut kehykset sen sijaan ovat NoScriptilläkin oletuksena sallittuja.


Sallimalla upotetut kehykset/JavaScript vain tietyille sivuille, vältytään mahdollisilta haittaohjelmilta. Mutta muista tämä: Jos automaattisesti sallit jokaiselle vierailemallesi sivutolle upotetut kehykset/JavaScriptin, menetät estämisestä tarjotun lisäsuojan. Joten salli upotetut kehykset/JavaScript vain niille sivustoille, jotka todella tarvitsevat kyseisiä ominaisuuksia. JavaScriptiä tarvitsevat useat sivustot, mutta upotettuja kehyksiä ehkä hieman harvemmat.

Sivun lähdekoodiin lisätty iframe-linkki, joka ei näy ulospäin käyttäjälle mitenkään, mutta selain suorittaa linkin haitallisen koodin sivua käsitellessään.
Sivun lähdekoodiin lisätty JavaScript-linkki, joka ei näy ulospäin käyttäjälle mitenkään, mutta selain suorittaa linkin haitallisen koodin sivua käsitellessään.
Yllä esimerkkikuvat iframe ja JavaScript -linkeistä tavallisen HTML-lähdekoodin seassa. Linkit eivät näy ulospäin käyttäjälle mitenkään, mutta normaalioloissa selain suorittaa automattisesti linkkien haitallisen koodin sivua käsitellessään.

Lisäys 27.5.11: Poistin linkin Operan ohjeeseen, koska siinä oli virheellistä tietoa. Opera ei oikeasti poista iframea käytöstä, se vain piilottaa sen.


Linkkejä

Ei kommentteja: