مرورگر خود را امن کنید- قسمت سوم

ایمن سازی مرورگر Firefox
شماره:	IRCAR200903010
امروزه مرورگرهایی مانند IE 7 و Mozilla Firefox تقریباً بر روی همه رایانه ها نصب می شوند و از آنجایی که اغلب اوقات مورد استفاده کاربران قرار می گیرند، ایمن سازی آنها یکی از ضروریات محسوب میشود. متأسفانه در اکثر موارد، مرورگرهایی که به صورت پیش فرض همراه با سیستم عامل نصب میشوند، دارای تنظیمات ایمنی نیستند و عدم ایمن سازی مرورگر، به سرعت منجر به بروز مشکلاتی از قبیل نصب پنهانی هرزنامه ها و در اختیار گرفتن رایانه توسط نفوذگران می شود. قابل ذکر است که تعداد حمله های نرم افزاری که با استفاده از آسیب پذیری مرورگرها به وقوع میپیوندند، روز به روز در حال افزایش است. در قسمتهای قبلی نکاتی کلی در مورد امنیت مرورگرها و نیز ایمن سازی مرورگر IE بیان کردیم. در این قسمت به بیان نحوه ایمن سازی Firefox میپردازیم. بسیاری از ویژگیهای Firefox مانند IE است و فقط در مورد ActiveX و مدل Security Zone با IE متفاوت است. Firefox پشتیبانی زیرین را برای سیاستهای امنیتی قابل تنظیم (CAPS) داراست که مشابه مدل Security Zone در IE است. ولی هیچ واسط کاربر گرافیکی برای تنظیم این گزینه ها وجود ندارد. پیشنهاد میکنیم که در Help این نرمافزار، بخش For Internet Explorer Users را مطالعه نمایید تا تفاوت واژگان به کار رفته در دو مرورگر IE و Firefox را مشاهده کنید. در زیر چندین گام برای غیر فعال سازی برخی ویژگیها در Firefox بیان شدهاند. توجه داشته باشید که ممکن است برخی گزینه های منوها در نسخه های مختلف نرم افزار متفاوت باشند یا اینکه بسته به سیستم عامل میزبان، در محلهای متفاوتی قرار گرفته باشند. برای تغییر تنظیمات Firefox از منوی Tools ، گزینه Options را انتخاب کنید. در پنجره Options که باز شده، اولین قسمت، بخش General یا Main است. در این قسمت شما میتوانید Firefox را به عنوان مرورگر پیش فرض خود تعیین کنید. به خاطر بسپارید که حتما کنار بخش Always ask me where to save files علامت بزنید. این کار باعث میشود که هر زمان که یک صفحه وب بخواهد فایلی را روی سیستم شما ذخیره کند شما از آن مطلع گردید. با انتخاب Allow for Session، هر زمان که مرورگر شما مجددا شروع به کار کند این Cookie نیز پاک خواهد شد. اگر اجازه گرفتن برای هر Cookie کار خسته کننده ای است، میتوانید گزینه Keep until: I close Firefox را انتخاب کنید. این کار از استقرار Cookieهای دائمی روی سیستم شما جلوگیری خواهد کرد. بسیاری از مرورگرهای وب امکان ذخیره اطلاعات مربوط به ورود شما به سایتهای مختلف را دارا هستند. پیشنهاد میکنیم که در حالت عادی از این ویژگی استفاده نکنید. اما اگر میخواهید حتما از این ویژگی استفاده نمایید، قبل از این کار مطمئن شوید که معیارهای لازم برای محافظت از داده های کلمه عبور را رعایت میکنید. در بخش Security در قسمت Passwords، گزینه های مختلفی برای مدیریت کلمات عبور ذخیره شده وجود دارد و یک امکان Master Password نیز برای رمزگذاری داده ها روی کامپیوتر شما در دسترس است. اگر میخواهید به Firefox اجازه دهید که کلمات عبور شما را مدیریت کند حتما از این گزینه استفاده نمایید. اگر گزینه Warn me when sites try to install add-ons را علامت بزنید، زمانی که یک وب سایت بخواهد چنین کاری انجام دهد در قسمت بالای مرورگر یک هشدار به شما اعلام خواهد شد. بخش Content در پنجره Options گزینه ای برای فعال کردن جاوا دارد (Enable Java). جاوا یک زبان برنامه نویسی است که به طراحان وب اجازه میدهد که برنامه هایی را روی کامپیوتر شما اجرا کنند. ما پیشنهاد میکنیم که این ویژگی را غیر فعال کنید. مگر در مواردی که درخواست اجرای برنامه از طرف یک سایت قابل اعتماد باشد. یعنی شما باید در مورد اینکه این سایت قابل اعتماد است و شما میخواهید محتویات آن را مشاهده کنید تصمیم گیری نمایید. اگر این ویژگی را برای مشاهده یک سایت قابل اعتماد فعال کردید، بعد از تمام شدن کار خود دوباره آن را غیر فعال نمایید. روی دکمه Advanced کلیک کنید و ویژگیهای خاص JavaScript را غیرفعال نمایید. ما پیشنهاد میکنیم که تمامی گزینه های این بخش را غیر فعال کنید. در بخش Content گزینه ای برای مدیریت اعمالی که در زمان دانلود کردن فایلها باید انجام شود وجود دارد. اگر در این تنظیمات بطور پیش فرض تعیین شود که زمانی که فایلی دانلود شد به طور خود به خود توسط برنامه مربوطه باز و اجرا گردد درصد خطر بیشتر میشود. آسیب پذیریهای موجود در این نرم افزارها با این روش راحتتر مورد سوء استفاده قرار میگیرند. روی دکمه Manage کلیک کنید و تنظیماتی را که لازم است تغییر دهید. پنجره Download Actions انواع فایلها و عکس العملی را که مرورگر در صورت برخورد با چنین فایلی انجام میدهد نمایش میدهد. در مورد تمامی انواع فایلهای این لیست، Remove Action یا Change Action را انتخاب کنید و در مورد تمام فایلها تعیین کنید که فقط روی کامپیوتر ذخیره شوند (یعنی اجرا نگردند). این کار باعث میشود که امکان سوء استفاده از آسیب پذیریهای موجود در نرم افزارهای شما کمتر گردد. Firefox 1.5 و نسخه های بعدی این مرورگر گزینه ای برای پاک کردن داده های مهم و حساس از مرورگر را دارا هستند. برای استفاده از این ویژگی امنیتی از منوی Tools گزینه Clear Private Data را انتخاب کنید. از آنجاییکه Firefox مانند IE محدوده های امنیتی که به سادگی قابل تنظیم باشند ندارد، تعیین تنظیمات مرورگر با این هدف که بر اساس سایتی که به آن وارد شده عمل خاصی را انجام دهد کار سختی است. برای مثال ممکن است کاربری بخواهد که JavaScript را برای یک سایت خاص و قابل اعتماد فعال کند ولی برای سایر سایتها همچنان غیر فعال باقی بماند. این کار میتواند به عنوان یک add-on مانند NoScript به Firefox اضافه گردد. از آنجاییکه بسیاری از آسیب پذیریهای مرورگرها از اسکریپتها استفاده میکنند، غیرفعال کردن اسکریپتها به طور پیش فرض، امکان سوء استفاده را بسیار کم خواهد کرد. همچنین برای افزایش محافظت NoScript میتواند به گونه ای تنظیم شود که به طور پیش فرض Java، Flash و سایر plug-inها را مسدود نماید. روی آیکون NoScript کلیک کرده و سپس Options را انتخاب نمایید تا پنجره تنظیمات NoScript باز شود. با نصب NoScript، بطور پیش فرض JavaScript غیر فعال خواهد شد. کاربر می تواند با استفاده از منوی NoScript به یک وب سایت اجازه دهد که اسکریپت های خود را بطور موقتی یا دائمی اجرا نماید. اگر بطور موقتی این مجوز به سایتی داده شود، فقط تا زمانی که مرورگر بسته نشده است این مجوز اعتبار دارد. در سربرگ Plugins گزینهها را مانند شکل زیر انتخاب کنید: علاوه بر اینکه سایتهایی که ذاتا خرابکارند میتوانند کاربر را در خطر قرار دهند، سایتهای قابل اعتمادی که مورد سوء استفاده قرار گرفتهاند نیز میتوانند کاربر را تهدید نمایند. به همین دلیل ما پیشنهاد میدهیم که گزینه Apply these restrictions to trusted sites too را فعال نمایید. اگر این گزینه خیلی دردسر ساز است میتوانید آن را غیر فعال کرده و در مقابل خطر آن را نیز پذیرا باشید. مرجع: http://www.cert.org