你的信用卡號碼和用戶密碼正在被人竊取弦赖,而你真的不知道!這篇文章會告訴你浦辨,你的功能強大的瀏覽器是多么的脆弱蹬竖;這篇文章也會教你,如何用最新的工具流酬,用特定的策略竊取用戶資料案腺;最后,作者提供了怎樣才能安全地在這個網(wǎng)絡世界生活的方式康吵,其中之一是獨自生活在與世隔絕的森林里劈榨。
木馬軟件的代碼本身是非常的簡單,難的是怎么把它種在用戶電腦里晦嵌,悄悄的運行同辣,不被發(fā)覺拷姿,不被跟蹤。現(xiàn)在最脆弱最能被利用的是npm——一個強大的工具旱函,現(xiàn)代網(wǎng)站開發(fā)都離不了它响巢。于是,用戶可能為了某一功能棒妨,安裝了某個npm包踪古,而這個包卻有一個依賴包,被偽裝得很和善的樣子券腔,也被安裝了伏穆。正是這個依賴包成了一個螞蟻窩,最終讓整個千里的堤壩崩潰了纷纫。也許枕扫,“內容安全策略”CSP是一個比較好的安全方案,然而一個必須和外界交流的信息的網(wǎng)站服務必定可以找得到某個漏洞辱魁,就像文中提到的Twitter的CSP允許from-action的例子烟瞧,可以被黑客利用。
所以染簇,除了生活得與世隔絕以外参滴,最好不要安裝第三方軟件包,同時把需要提供用戶資料信息的的地方用安全的干凈的iFrame隔離起來锻弓,畢竟卵洗,你可能不得不安裝某些npm包。
