Trong tháng vừa qua, tôi đã đọc khoảng một chục bản tin bảo mật liên quan đến khai thác thực thi từ xa do lỗ hổng phân tích phông chữ trong một loạt hệ điều hành, từ máy tính để bàn đến thiết bị di động. Trong tất cả các trường hợp này, có một đề cập chi tiết về các vấn đề, nhưng rất ít nếu có đề cập đến các giải pháp khả thi, ngoài các bản cập nhật của nhà cung cấp.
Điều này khá hấp dẫn vì có một công cụ có thể giúp bạn với các phông chữ. Nó được gọi là Noscript, đây là một tiện ích mở rộng tối ưu cho trình duyệt có sẵn trong Firefox và gần đây là trong Chrome và nó cho phép bạn kiểm soát việc tải phông chữ trong các trang web của mình. Một công cụ đơn giản và thanh lịch có thể tiết kiệm - hoặc ít nhất, giảm thiểu đáng kể cơn đau đầu với phông chữ. Nhưng nó có nhận được sự chú ý xứng đáng không? Tất nhiên là không, kịch tính và sợ hãi thú vị hơn nhiều. Hãy xem những gì mang lại.
Noscript trong 60 giây
Nếu bạn đã từng đọc Dedoimedo từ lâu, bạn sẽ biết tôi yêu thích và sử dụng Noscript. Đó là một phần mở rộng trình duyệt phải có đối với tôi. Khi scripting (hầu hết) bị vô hiệu hóa, việc duyệt web sẽ thú vị hơn nhiều. Nhanh hơn, sạch hơn. Yếu tố bảo mật là thứ yếu, nhưng nó vẫn tồn tại. Khi bạn duyệt bằng Noscript, chỉ có thông tin thuần túy được tải - văn bản và hình ảnh. Bất cứ thứ gì cần đến kịch bản, meo. Tốt.
Điều này biến trải nghiệm Internet hiện đại - vốn là BTW tồi tệ - thành một trải nghiệm lành mạnh, yên tĩnh. Khi cần thực hiện điều gì đó yêu cầu Javascript, bạn có thể tạm thời chuyển đổi quyền cho một miền cụ thể, thực hiện những gì bạn cần làm rồi quay lại chế độ duyệt yên tĩnh và lành mạnh.
Bạn cũng có thể định cấu hình vĩnh viễn danh sách ĐÁNG TIN CẬY và KHÔNG ĐÁNG TIN CẬY của mình - các trang web sẽ bật tập lệnh và các đối tượng khác theo mặc định và những trang không bật, ngay cả khi bạn tạm thời cho phép tất cả. Đơn giản và thiết thực. Chắc chắn, đó có thể là một rắc rối và chỉ những người lập dị mới có thể sử dụng điều này đúng cách, nhưng dù sao thì tất cả những điều này nói về bảo mật đều là những thứ ngớ ngẩn.
Hiện tại, viết kịch bản chỉ là một khía cạnh trong chức năng của Noscript. Tiện ích bổ sung cũng có thể chặn/cho phép các thành phần trang Web khác, bao gồm các đối tượng, tệp phương tiện, khung, WebGL - và phông chữ! Đừng quên phông chữ. Nếu có phông chữ từ xa, chúng có thể bị chặn. Theo mặc định, Noscript sẽ chặn các phần tử tập lệnh, phông chữ, WebGL và Web ping trên một trang. Đối với các trang web đáng tin cậy, mọi thứ sẽ được cho phép. Vì không đáng tin cậy, mọi thứ sẽ bị chặn.
Noscript &phông chữ
Bây giờ, nếu bạn không muốn làm giảm trải nghiệm Web của mình bằng cách chặn các phông chữ và liên tục phải điều chỉnh quyền truy cập tập lệnh cho trang web này và trang web kia, thì bạn có thể làm như sau:
- Bật tập lệnh cho vùng MẶC ĐỊNH.
- Chặn phông chữ cho vùng MẶC ĐỊNH và ĐÁNG TIN CẬY.
Và thế là xong. Internet hàng ngày của bạn sẽ hoạt động như trước đây - các trang web sẽ tải (gần như đầy đủ), bạn sẽ có tất cả các tập lệnh, nhận xét, nội dung khác và thứ duy nhất sẽ không được xử lý là các phông chữ từ xa. Vì vậy, nếu có vấn đề, thì không có vấn đề. Trên thực tế, không có lý do gì khiến đây không phải là cấu hình mặc định của bạn, đặc biệt nếu bạn không muốn bị phiền phức bởi chữ viết.
Bây giờ, điều này SẼ phá vỡ trải nghiệm phông chữ của bạn. Các trang web sử dụng phông chữ từ xa ưa thích sẽ không hiển thị, vì vậy bạn có thể thấy các phông chữ thay thế (bất kỳ phông chữ thay thế nào có sẵn cục bộ) hoặc nếu các trang web khác nhau được định cấu hình cực kỳ tệ mà không có tùy chọn phông chữ dự phòng trong CSS của chúng, thì các ô vuông xấu xí, trống rỗng. Điều đó thật tuyệt!
Tất nhiên, mọi người sẽ tự động đánh đồng hiện tượng này với những phông chữ xấu, xấu, hư hỏng. Nhưng tôi nghĩ mọi phông chữ từ xa đều tệ - điều đó KHÔNG CẦN THIẾT. Không có lý do gì, ngoài những mốt ngớ ngẩn, tại sao mọi người nên sử dụng các phông chữ từ xa trong các trang của họ. Chỉ vì nó hợp thời trang, giống như chủ đề tối? Nếu bạn muốn phông chữ ưa thích, hãy mua chúng, đặt chúng trên máy chủ của bạn và phục vụ chúng cho khán giả của bạn. Ồ đúng rồi, cái đó tốn tiền! Nhưng Arial hoặc sans-serif thì quá cổ điển! Không đủ kewl.
Ồ, nếu bạn đang thắc mắc, việc chặn phông chữ Web không phải là một điều mới. Noscript đã xử lý vấn đề này ít nhất là từ năm 2010 và thậm chí sau đó, các sự cố về phông chữ từ xa và các lỗ hổng FreeType đã xảy ra ở đây và ở đó. Không có gì thực sự thay đổi, ngoại trừ trọng tâm đã thay đổi một chút. Thế thôi.
Ngoài ra, bạn cũng có thể chặn vĩnh viễn các trang web khác nhau mà bạn cho là không phù hợp hoặc không an toàn, vì vậy nếu bạn cho phép tất cả đối với các miền khác nhau, các trang web không đáng tin cậy sẽ vẫn bị chặn, vì vậy bạn không cần phải lo lắng về việc vô tình chọc thủng lỗ hổng trong thiết lập của bạn do sơ suất hoặc nhấp chuột lười biếng.
Thông tin bổ sung không liên quan:Windows 10 &Bảo vệ chống khai thác
Một cái gì đó dành riêng cho người dùng Windows và hoàn toàn không phải Noscript, nhưng tôi cảm thấy đây là thời điểm tốt để trau dồi giá trị của điểm này. Tôi rất khó chịu khi mọi người rao giảng về sự diệt vong và u ám về Windows, nhưng họ cũng luôn không đề cập đến cơ chế bảo mật tốt nhất hiện có trong hệ điều hành Windows, khung Bảo vệ Khai thác trang nhã và khá minh bạch, dựa trên hộp công cụ EMET huyền thoại. Thay vì chạy theo bảo mật một cách vô ích, bạn có thể giải quyết vấn đề từ trong trứng nước.
Thứ nhất, bạn có thể vô hiệu hóa toàn bộ các phông chữ không đáng tin cậy trong hệ điều hành hoặc nếu bạn cho rằng điều này là quá nhiều, thì bạn có thể điều chỉnh chính sách cho mỗi ứng dụng bằng cách sử dụng chức năng Bảo vệ khai thác. Rất đơn giản, một lần nữa. Nhưng sau đó, đây không phải là thứ thu hút đủ sự chú ý, có thể là do nó không có mức độ hồi hộp như một bộ phim bom tấn.
Thơ công lý:Firefox
Một điều dường như trở nên phổ biến hơn gần đây - rõ ràng là lỗi zero-day trong Chrome. Bây giờ, về bản thân, điều này không có gì đặc biệt hay mới - rất nhiều chương trình đã và sẽ có những chương trình này trong những năm qua. Họ đến, nhà cung cấp vá họ, tiếp theo. Nếu nó ở trên mạng, thì có thể có gì đó không ổn. Sự thật đơn giản của cuộc sống.
Điều thú vị là tính phổ biến của Chrome đã cắt giảm Chromium - vì nó đã trở thành trình duyệt thống trị, đặc biệt là trên thiết bị di động. Giới trẻ ngày nay có thể thấy điều này mới lạ và độc đáo, nhưng đó chỉ là sự lặp lại niềm vui và sự kịch tính với Internet Explorer vào khoảng năm 2005-2010, khi nó là trình duyệt phổ biến nhất và cũng được nhắm mục tiêu nhiều nhất.
Sau đó, còn có con rồng ẩn nấp, Electron đang cúi mình. Rất nhiều ứng dụng ngày nay chỉ có vậy - các trình duyệt được đóng gói với giao diện người dùng tùy chỉnh, được hỗ trợ bởi công cụ Chromium bên trong. Điều này làm cho một thiết kế đơn giản, thanh lịch. Nhưng điều đó cũng có nghĩa là nếu có một lỗ hổng trong Chromium, thì rất có thể lỗ hổng đó cũng có thể tồn tại trong một loạt các ứng dụng khác mà bạn không nhất thiết phải liên kết với trình duyệt thuần túy. Nếu và khi những lỗi như vậy xuất hiện, chúng có ảnh hưởng đến bạn không? Làm sao? Khi? Bạn có thể tìm ra điều gì có thể kích hoạt khai thác giống trình duyệt trong giao diện không giống trình duyệt không? Gợi ý:Điều này đã từng xảy ra trước đây, chẳng hạn như lỗ hổng CVE-2018-1000136.
Và sau đó, bạn có Firefox, không còn hào nhoáng hay phổ biến như trước, nhưng thực tế là nó sử dụng công cụ kết xuất của riêng mình và có dấu ấn thị trường nhỏ hơn khiến nó ít có khả năng trở thành lựa chọn đầu tiên trong trò chơi pwnage. Chúng tôi sắp quay ngược thời gian 15 năm trước. Lolza.
Kết luận
Các bản tin bảo mật gần đây chủ yếu xoay quanh các hệ điều hành không phải Windows, đặc biệt là thiết bị di động. Điều này loại trừ Bảo vệ khai thác, nhưng sau đó Firefox và Chrome phần lớn có sẵn trên hầu hết các hệ điều hành và bạn có thể sử dụng tiện ích mở rộng Noscript để nâng cao lập trường bảo mật và khả năng sử dụng của mình. Giống như trình chặn quảng cáo trên điện thoại thông minh của bạn giảm 99% hiệu ứng nhảm nhí và cải thiện tuổi thọ pin của bạn, Noscript có thể giúp giảm thiểu tiếng ồn hơn nữa và cải thiện tính bảo mật của bạn.
Tôi biết rằng trọng tâm ở đây là khía cạnh bảo mật của phông chữ, nhưng không chỉ có vậy. Không. Các lỗ hổng phông chữ này là một phần mở rộng tự nhiên của mô hình SỬ DỤNG BAD. Bất cứ điều gì có thể có lỗi và vấn đề. Phông chữ không đặc biệt hoặc duy nhất. Vấn đề thực sự là mọi người sử dụng phông chữ sai cách. Giống như đưa Claymore cho một đứa trẻ, ngoại trừ CSS kém chất lượng và thiết kế Web lười biếng. Phông chữ từ xa là những chiếc vành lấp lánh trên một chiếc ô tô cũ rỉ sét.
Tải nội dung từ xa, bên thứ ba là một vấn đề đang gia tăng. Ngày càng có nhiều trang web sử dụng lại một cách mù quáng các đoạn mã và tất cả đều trở nên "mây" - có sự mờ nhạt giữa nội dung cục bộ và nội dung từ xa, việc sử dụng mạng và lưu trữ đám mây cũng như tất cả các bit và phần khác làm phức tạp trải nghiệm Internet. Về bản chất, vâng, bạn đạt được một chút tốc độ và đánh bóng ở đây và ở đó, nhưng cuối cùng, bạn sẽ mất mọi thứ khác, bao gồm cả các phương pháp viết mã lành mạnh và bảo mật trong quá trình thực hiện. Sau đó, một lần nữa, Web đã chết vào khoảng năm 2014 hoặc lâu hơn và phiên bản mới nhất này chỉ là Idiocracy 2.0.
Dù sao, đủ ca ngợi cho một ngày. Sử dụng Noscript để làm cho Internet của bạn bớt ngu ngốc hơn. Đó không phải là về bảo mật. Đó chỉ là một phần thưởng bổ sung. Đó là về việc chặn những thứ nhảm nhí, và bạn càng chặn những thứ nhảm nhí, thì khả năng các nhà thiết kế Web phải xem xét lại cách làm của họ càng cao. Phông chữ từ xa chỉ là một trong nhiều vấn đề với Internet hiện đại và không có lý do gì để hợp tác với nó. Đồng thời, bạn cũng có thể giảm nguy cơ hax0ring thiết bị của mình. Và chúng ta đã hoàn tất.
Chúc mừng.