Penting untuk memahami fungsi dan fitur dari web browbser yang Anda gunakan. Mengaktifkan beberapa fitur browser web dapat menurunkan keamanan. Sering kali,vendor akan mengaktifkan fitur secara default untuk meningkatkan kinerja komputasi, tetapi fitur ini mungkin berakhir meningkatkan risiko ke komputer.
Penyerang berfokus pada sisi klien memanfaatkan sistem (komputer) melalui berbagai kerentanan. Mereka menggunakan kelemahan ini untuk mengambil kendali
dari komputer Anda, mencuri informasi Anda, menghancurkan file Anda, dan
menggunakan komputer Anda untuk menyerang komputer lain.
Sebuah cara murah penyerang melakukan ini adalah dengan mengeksploitasi kelemahan pada web browser. Penyerang dapat membuat sebuah halaman web yang berbahaya dengan tampilan yang menyakinkan anda yang menunjukan sebagai web yang memerangi hacker dan membujuk anda untuk maelakukan scan online atau mengijinkan anda untuk mendownload program anti trojan atau spyware yang akan terlihat seperti program normal lainya.
Informasi tambahan tentang spyware tersedia dalam dokumen berikut:
http://www.cert.org/archive/pdf/spyware2005.pdf.
Daripada penargetan secara aktif dan menyerang sistem rentan, situs web peyerang dapat bersifat pasif dan terlihat seperti web yang ramah dan memajakan pengunjung. Sebuah dokumen HTML atau java script yang berisi script pengalih juga dapat diemail kepada korban. Dalam kasus ini, tindakan membuka email atau lampiran dapat membahayakan sistem.
Beberapa fitur browser web tertentu dan risiko yang terkait secara singkat dijelaskan di bawah ini. Memahami apa fitur yang berbeda yang akan membantu Anda memahami bagaimana mereka mempengaruhi fungsi web browser dan keamanan komputer Anda.
ActiveX adalah teknologi yang digunakan oleh Microsoft Internet Explorer pada sistem Windows Microsoft. ActiveX memungkinkan aplikasi atau bagian dari aplikasi untuk digunakan oleh browser web.
Sebuah halaman web dapat menggunakan komponen ActiveX yang mungkin sudah berada di sistem Windows, atau sebuah situs dapat menyediakan komponen sebagai objek download. Ini memberikan fungsi tambahan untuk browsing web tradisional, tetapi mungkin juga memperkenalkan kerentanan lebih berat jika tidak benar dilaksanakan.
ActiveX telah diganggu dengan berbagai kerentanan dan masalah pelaksanaan. Satu masalah dengan menggunakan ActiveX dalam browser web adalah bahwa hal itu sangat meningkatkan
serangan permukaan, atau “attackability,” dari sebuah sistem.
Menginstal setiap aplikasi Windows memperkenalkan kemungkinan kontrol ActiveX baru yang diinstal. Kerentanan dalam objek ActiveX dapat dieksploitasi melalui Internet Explorer,
Pada tahun 2000, CERT / CC mengadakan workshop untuk menganalisis keamanan di ActiveX. Hasil dari workshop dapat dilihat di http://www.cert.org/reports/activeX_report.pdf..
Banyak kerentanan terhadap kontrol ActiveX mengakibatkan dampak yang parah. Seringkali seorang penyerang dapat mengontrol komputer. Anda dapat mencari Catatan Vulnerability Database untuk kerentanan ActiveX di http://www.kb.cert.org/vuls/byid?searchview&query=activex.
Java adalah pemrograman berorientasi objek bahasa yang dapat digunakan untuk
mengembangkan konten aktif untuk situs web. Sebuah Java Virtual Machine, atau
JVM, digunakan untuk mengeksekusi kode Java, atau “applet,” yang disediakan oleh
situs web.
Beberapa sistem operasi datang dengan JVM, sementara yang lainnya
memerlukan JVM untuk diinstal Jawa sebelum dapat digunakan. Java applet adalah
sistem operasi independen. Biasanya menjalankan applet Java dalam “sandbox” di
mana interaksi dengan sistem sisa terbatas. Namun, berbagai implementasi dari
JVM mengandung kerentanan yang memungkinkan sebuah applet untuk memotong batasan
ini. Signed applet Java juga bisa melewatkan sandbox pembatasan, tetapi mereka
umumnya meminta pengguna sebelum mereka dapat mengeksekusi. Anda dapat mencari
Catatan Vulnerability Database untuk kerentanan di http://www.kb.cert.org/vuls/byid?searchview&query=java.
Plug-in aplikasi dimaksudkan untuk digunakan dalam browser web. Netscape telah mengembangkan standar untuk mengembangkan NPAPI plug-in, namun standar ini
digunakan oleh banyak web browser, termasuk Mozilla Firefox dan Safari.
Plug-in yang serupa dengan kontrol ActiveX, tetapi tidak dapat dijalankan di luar browser web. Adobe Flash adalah contoh aplikasi yang tersedia sebagai plug-in. Plug-in dapat mengandung kelemahan pemrograman seperti buffer overflows, atau mereka mungkin mengandung cacat desain seperti pelanggaran lintas domain, yang muncul ketika same
origin policy tidak diikuti.
Cookies dapat berisi informasi tentang situs yang Anda kunjungi, atau bahkan mungkin berisi mandat untuk mengakses situs. Cookie dirancang untuk dapat dibaca hanya oleh situs web yang menciptakan Cookie. Session cookies dibersihkan bila browser ditutup, dan gigih cookie akan tetap pada komputer sampai tanggal kedaluwarsa yang ditetapkan tercapai.
Cookie dapat digunakan untuk secara unik mengidentifikasi pengunjung situs web, yang sebagian orang menganggap sebagai pelanggaran privasi. Jika situs web menggunakan cookie untuk otentikasi, maka penyerang dapat memperoleh akses tidak sah ke situs tersebut dengan mendapatkan cookie. Persistent cookie menimbulkan risiko yang lebih tinggi dari sesi cookie karena mereka tetap berada di komputer lama.
VBScript adalah bahasa scripting lain yang unik pada Microsoft Windows Internet Explorer. VBScript serupa dengan JavaScript, tetapi tidak seperti yang banyak digunakan di situs web karena keterbatasan kompatibilitas dengan browser lainnya.
Kemampuan untuk menjalankan bahasa scripting seperti JavaScript atau VBScript halaman web memungkinkan penulis untuk menambahkan jumlah yang signifikan fitur dan interaktivitas untuk halaman web. Namun, kemampuan yang sama ini dapat disalahgunakan oleh penyerang. Konfigurasi default untuk kebanyakan browser web scripting memungkinkan dukungan, yang dapat memperkenalkan beberapa kelemahan, seperti berikut:
- Cross-Zone dan Cross-Domain Vulnerabilities Kebanyakan web browser menggunakanmodel keamanan untuk mencegah script di situs web dari mengakses data dalam domain yang berbeda. Model keamanan ini terutama didasarkan pada Netscape Sama Kebijakan Asal: http://www.mozilla.org/projects/security/components/same-origin.html.. Internet Explorer juga memiliki kebijakan untuk memberlakukan pemisahan zona keamanan: http://www.microsoft.com/windows/ie/ie6/using/howto/security/setup.mspx. Vulnerabilities yang melanggar model keamanan ini dapat digunakan untuk melakukan tindakan bahwa situs yang biasanya tidak bisa tampil. Dampak dari tindakan ini mirip dengan kerentanan pada cross-site scripting . Namun, jika suatu kerentanan memungkinkan penyerang untuk menyeberang ke komputer lokal zona atau kawasan yang dilindungi lainnya, penyerang mungkin dapat sewenang-wenang untuk mengeksekusi perintah pada sistem yang rentan. Anda dapat mencari Catatan Vulnerability Database untuk cross-zona dan lintas domain kerentanan di http://www.kb.cert.org/vuls/byid?searchview&query=cross-domain.
- Detection evasion (Deteksi penghindaran) Anti-virus, Intrusion Detection Systems ( IDS), dan Intrusion Prevention System (IPS) umumnya bekerja dengan mencari pola-pola tertentu dalam isi packet . Jika pola seorang programer “nakal” terdeteksi, maka tindakan yang tepat dapat dilakukan untuk melindungi pengguna. Tetapi karena sifat dinamis dari bahasa pemrograman, scripting di halaman web dapat digunakan untuk menghindari sistem perlindungan semacam itu.
sumber 
CERT CSIRT development team (CDT)
Carnegie Mellon University
JUST PROGRESS 
Satu respons untuk “Web Browser Fitur dan Risiko”