Bezpieczeństwo przeglądarki internetowej Na szerokich barkach skromnej przeglądarki internetowej spoczywa duża odpowiedzialność. Przeglądarka internetowa została zaprojektowana do żądania instrukcji z całego Internetu, a instrukcje te są następnie wykonywane prawie bez pytania. Przeglądarka musi wiernie zgromadzić zdalnie pobierane treści w znormalizowanym pliku strawnym i obsługiwać bogaty zestaw funkcji dostępnych w dzisiejszym Web 2.0. Pamiętaj, to jest to samo oprogramowanie, z którym prowadzisz ważne sprawy - od utrzymywania sieci społecznościowych po bankowość internetową. Oczekuje się również, że to oprogramowanie ochroni Ciebie, nawet jeśli zaryzykujesz wiele figuratywnych ciemnych zaułków Internetu. Oczekuje się, że wesprze zejście tak alejką, jednocześnie dokonując bezpiecznego zakupu w innej zakładce lub oknie. Wielu uważa, że ich przeglądarka jest jak samochód pancerny, zapewniając bezpieczne i wygodne środowisko do obserwowania świata zewnętrznego, chroniąc wszystkie aspekty osobistych interesów i odbijając wszystko, co niebezpieczne. Zespół programistów tego oprogramowania do „śpiewania i tańczenia” musi się upewnić, że każdy z licznych zakamarków nie zapewnia możliwości hakera. Niezależnie od tego, czy wiesz to świadomie, za każdym razem, gdy korzystasz z przeglądarki, ufasz zespołowi osób, których prawdopodobnie nigdy nie spotkałeś (i prawdopodobnie nigdy nie będziesz) w celu ochrony ważnych informacji przed atakującymi w Internecie. W tej lekcji przedstawiono metodologię hakowania przeglądarki internetowej, którą można zastosować do ofensywnych starć. Badasz rolę przeglądarki internetowej w ekosystemie internetowym, w tym zagłębiasz się w interakcję między nią a serwerem internetowym. Przeanalizowałeś także niektóre podstawy bezpieczeństwa przeglądarki, które zapewnią podstawę dla pozostałych lekcji. Podstawowe zasady Zapraszamy do chwilowego zapomnienia o przeglądarce internetowej i refleksji nad pustym płótnem zabezpieczającym. Wyobraź sobie siebie w tej sytuacji: jesteś odpowiedzialny za utrzymanie bezpieczeństwa organizacji i musisz podjąć decyzję. Czy wdrażasz oprogramowanie oparte na poziomie ryzyka, jakie będzie ono stwarzać? Oprogramowanie zostanie zainstalowane w standardowym środowisku operacyjnym (SOE) dla prawie każdej maszyny w organizacji. Będzie ono używane do uzyskiwania dostępu do najbardziej wrażliwych danych i przeprowadzania najbardziej wrażliwych operacji. To oprogramowanie będzie podstawowym narzędziem dla praktycznie całego personelu, w tym dyrektora generalnego, zarządu, administratorów systemu, finansów, zasobów ludzkich, a nawet klientów. Przy całej tej kontroli i dostępie do kluczowych danych biznesowych z pewnością brzmi to jak wymarzony cel hakera i propozycja wysokiego ryzyka. Ogólne specyfikacje oprogramowania są następujące: ■ Będzie żądał instrukcji z Internetu i je wykonywał. ■ Obrońca nie będzie kontrolował tych instrukcji. ■ Niektóre instrukcje mówią oprogramowaniu, aby uzyskać więcej instrukcji od: ■ Inne miejsca w Internecie ■ Inne miejsca w intranecie ■ Niestandardowe porty HTTP i HTTPS TCP ■ Niektóre instrukcje nakazują oprogramowaniu wysyłanie danych przez TCP. Może to spowodować ataki na inne urządzenia sieciowe.
20
Embed
ezpieczeństwo przeglądarki internetowejInternecie. W tej lekcji przedstawiono metodologię hakowania przeglądarki internetowej, którą można zastosować do ofensywnych starć.
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
Bezpieczeństwo przeglądarki internetowej
Na szerokich barkach skromnej przeglądarki internetowej spoczywa duża odpowiedzialność.
Przeglądarka internetowa została zaprojektowana do żądania instrukcji z całego Internetu, a instrukcje
te są następnie wykonywane prawie bez pytania. Przeglądarka musi wiernie zgromadzić zdalnie
pobierane treści w znormalizowanym pliku strawnym i obsługiwać bogaty zestaw funkcji dostępnych
w dzisiejszym Web 2.0. Pamiętaj, to jest to samo oprogramowanie, z którym prowadzisz ważne sprawy
- od utrzymywania sieci społecznościowych po bankowość internetową. Oczekuje się również, że to
oprogramowanie ochroni Ciebie, nawet jeśli zaryzykujesz wiele figuratywnych ciemnych zaułków
Internetu. Oczekuje się, że wesprze zejście tak alejką, jednocześnie dokonując bezpiecznego zakupu w
innej zakładce lub oknie. Wielu uważa, że ich przeglądarka jest jak samochód pancerny, zapewniając
bezpieczne i wygodne środowisko do obserwowania świata zewnętrznego, chroniąc wszystkie aspekty
osobistych interesów i odbijając wszystko, co niebezpieczne. Zespół programistów tego
oprogramowania do „śpiewania i tańczenia” musi się upewnić, że każdy z licznych zakamarków nie
zapewnia możliwości hakera. Niezależnie od tego, czy wiesz to świadomie, za każdym razem, gdy
korzystasz z przeglądarki, ufasz zespołowi osób, których prawdopodobnie nigdy nie spotkałeś (i
prawdopodobnie nigdy nie będziesz) w celu ochrony ważnych informacji przed atakującymi w
Internecie. W tej lekcji przedstawiono metodologię hakowania przeglądarki internetowej, którą można
zastosować do ofensywnych starć. Badasz rolę przeglądarki internetowej w ekosystemie
internetowym, w tym zagłębiasz się w interakcję między nią a serwerem internetowym.
Przeanalizowałeś także niektóre podstawy bezpieczeństwa przeglądarki, które zapewnią podstawę dla
pozostałych lekcji.
Podstawowe zasady
Zapraszamy do chwilowego zapomnienia o przeglądarce internetowej i refleksji nad pustym płótnem
zabezpieczającym. Wyobraź sobie siebie w tej sytuacji: jesteś odpowiedzialny za utrzymanie
bezpieczeństwa organizacji i musisz podjąć decyzję. Czy wdrażasz oprogramowanie oparte na poziomie
ryzyka, jakie będzie ono stwarzać? Oprogramowanie zostanie zainstalowane w standardowym
środowisku operacyjnym (SOE) dla prawie każdej maszyny w organizacji. Będzie ono używane do
uzyskiwania dostępu do najbardziej wrażliwych danych i przeprowadzania najbardziej wrażliwych
operacji. To oprogramowanie będzie podstawowym narzędziem dla praktycznie całego personelu, w
tym dyrektora generalnego, zarządu, administratorów systemu, finansów, zasobów ludzkich, a nawet
klientów. Przy całej tej kontroli i dostępie do kluczowych danych biznesowych z pewnością brzmi to jak
wymarzony cel hakera i propozycja wysokiego ryzyka. Ogólne specyfikacje oprogramowania są
następujące:
■ Będzie żądał instrukcji z Internetu i je wykonywał.
■ Obrońca nie będzie kontrolował tych instrukcji.
■ Niektóre instrukcje mówią oprogramowaniu, aby uzyskać więcej instrukcji od:
■ Inne miejsca w Internecie
■ Inne miejsca w intranecie
■ Niestandardowe porty HTTP i HTTPS TCP
■ Niektóre instrukcje nakazują oprogramowaniu wysyłanie danych przez TCP. Może to spowodować
ataki na inne urządzenia sieciowe.
■ Szyfruje komunikację do dowolnych lokalizacji w Internecie. Obrońca nie będzie mógł zobaczyć
komunikacji.
■ Będzie stale zwiększać liczbę atakujących. Będzie aktualizować się w tle bez powiadamiania Cię.
■ Często zależy od wtyczek, aby umożliwić efektywne użycie. Nie ma metody inicjującej do aktualizacji
wtyczek.
Ponadto badania terenowe oprogramowania ujawniają:
■ Wtyczki są ogólnie uważane za mniej bezpieczne niż samo oprogramowanie podstawowe.
■ Każdy wariant oprogramowania ma historię udokumentowanych luk w zabezpieczeniach.
■ Raport wywiadu bezpieczeństwa podsumowujący ataki na to oprogramowanie jako największe
zagrożenie dla przedsiębiorstwa
Bez wątpienia się zorientowaliśmy, że odwołujemy się do przeglądarki internetowej. Zapominając o
tym i wydarzeniach z historii po raz kolejny i wracając do naszej pustej kanwy bezpieczeństwa,
szaleństwem byłoby nie kwestionować mądrości wdrażania tego oprogramowania. Nawet bez korzyści
z danych z pola jego specyfikacje wydają się niezwykle alarmujące z punktu widzenia bezpieczeństwa.
Cała ta dyskusja ma jednak w rzeczywistości charakter czysto koncepcyjny. Jesteśmy już daleko od
punktu, w którym nie ma powrotu, a biorąc pod uwagę masę krytyczną witryn internetowych, nikt nie
może stwierdzić, że przeglądarka internetowa stanowi potencjalnie poważne zagrożenie
bezpieczeństwa i jako taka nie zostanie dostarczona każdemu pracownikowi. Jak już wiesz, wdrożono
dosłownie miliardy przeglądarek internetowych. Niewprowadzenie przeglądarki internetowej do
pracowników organizacji prawie na pewno wpłynie negatywnie na ich produktywność. Nie
wspominając o tym, że byłoby to uważane za raczej drakońskie lub zacofane. Przeglądarka internetowa
ma coraz większe zastosowania i stwarza różne wyzwania związane z hakowaniem i bezpieczeństwem
w zależności od kontekstu użytkowania. Przeglądarka jest tak wszechobecna, że wiele nietechnicznych
populacji uważa ją za „Internet”. Mają ograniczoną ekspozycję na inne przejawy danych, które może
wywołać protokół internetowy. W dobie Internetu daje to przeglądarce niezaprzeczalnie dominującą
pozycję w życiu codziennym, dlatego przemysł informatyczny jest do niej przywiązany. Przeglądarka
internetowa jest prawie wszędzie w sieci - w strefie sieci użytkownika, strefach gości, a nawet w
bezpiecznych strefach DMZ. Nie zapominaj, że w wielu przypadkach administratorzy użytkowników
muszą zarządzać swoimi urządzeniami sieciowymi za pomocą przeglądarek internetowych. Producenci
wskoczyli na modę internetową i wykorzystali dostępność przeglądarek, zamiast wymyślać koło na
nowo. Poleganie na tym oprogramowaniu do przeglądania stron internetowych jest absolutne. W
dzisiejszym świecie bardziej efektywne jest pytanie, gdzie przeglądarka internetowa nie znajduje się w
twojej sieci, niż gdzie jest.
Eksplorowanie przeglądarki
Gdy dotkniesz sieci, sieć dotknie Cię od razu. W rzeczywistości, niezależnie od tego, czy zdajesz sobie z
tego sprawę, czy nie, zapraszasz ją, by cię dotknęła. Poprosisz go, aby sięgnął po różne środki
bezpieczeństwa wprowadzone w celu ochrony sieci i wykonał instrukcje, nad którymi masz kontrolę
tylko na wysokim poziomie, wszystko w imię renderowania strony i dostarczania na ekran nieznanej /
niezaufanej treści. Przeglądarka działa z zestawem uprawnień przyznanych jej przez system
operacyjny, identycznym jak każdy inny program w przestrzeni użytkownika. Te uprawnienia są
równoważne z tymi, które Tobie, użytkownikowi, został przypisane! Nie zapominajmy, że dane
wejściowe użytkownika są przez cały czas niczym więcej niż zestawem instrukcji dla aktualnie
uruchomionego programu - nawet jeśli jest to Eksplorator Windows lub powłoka UNIX. Jedyną różnicą
między danymi wejściowymi użytkownika a danymi wejściowymi otrzymanymi z dowolnego innego
źródła są różnice narzucone przez program odbierający dane wejściowe! Gdy zastosujesz to
zrozumienie do przeglądarki internetowej, której podstawową funkcją jest przyjmowanie i
wykonywanie instrukcji z dowolnych lokalizacji na świecie, potencjalne ryzyko z tym związane staje się
bardziej oczywiste.
Symbioza z aplikacją internetową
Sieć wykorzystuje szeroko rozpowszechnione podejście sieciowe zwane modelem klient-serwer, które
zostało opracowane w latach siedemdziesiątych. Komunikuje się za pomocą procesu odpowiedzi na
żądanie, w którym przeglądarka internetowa realizuje żądanie, a serwer WWW odpowiada
odpowiedzią. Ani serwer sieciowy, ani klient sieciowy nie są w stanie w pełni wykorzystać swojego
potencjału bez drugiego. Są prawie całkowicie współzależne; przeglądarka internetowa nie miałaby
prawie nic do wyświetlenia, a serwer sieciowy nie miałby żadnego celu w udostępnianiu treści. Ta
niezbędna symbioza tworzy niezliczone dynamiczne splecione pasma sieci. Więź między tymi dwoma
kluczowymi elementami obejmuje również pozycję bezpieczeństwa. Bezpieczeństwo przeglądarki
internetowej może mieć wpływ na aplikację internetową i odwrotnie. Niektóre kontrole można
zabezpieczyć w izolacji, ale wiele zależy od ich odpowiednika. W wielu przypadkach związek między
przeglądarką a aplikacją musi zostać wzmocniony lub, z perspektywy hakera, zaatakowany. Na
przykład, gdy serwer WWW ustawia plik cookie na określone pochodzenie, oczekuje się, że
przeglądarka internetowa będzie przestrzegać tej dyrektywy i nie ujawni (potencjalnie wrażliwego)
pliku cookie innym źródłom. Bezpieczeństwo zaangażowania przeglądarki internetowej w aplikację
internetową należy rozumieć w kontekście. W wielu przypadkach dyskusje zagłębiają się w interakcje
między tymi dwoma elementami. Wykorzystanie relacji między tymi dwoma podmiotami omówiono
w kolejnych rozdziałach. Zdecydowanie zachęca się do dalszych badań nad lukami w aplikacjach
internetowych.
Zasady tego samego pochodzenia
Najważniejszą kontrolą bezpieczeństwa w przeglądarce internetowej jest zasada tego samego
pochodzenia, znana również jako SOP. Ta kontrola ogranicza zasoby z jednego źródła współdziałające
z innymi źródłami. SOP uznaje strony o tej samej nazwie hosta, schemacie i porcie za znajdujące się w
tym samym źródle. Jeśli którykolwiek z tych trzech atrybutów jest zmienny, zasób ma inne
pochodzenie. Dlatego pod warunkiem, że zasoby pochodzą z tej samej nazwy hosta, schematu i portu,
mogą one współpracować bez ograniczeń. SOP początkowo został zdefiniowany tylko dla zasobów
zewnętrznych, ale został rozszerzony o inne rodzaje źródeł. Obejmowało to dostęp do lokalnych plików
za pomocą schematu file: // i zasobów związanych z przeglądarką za pomocą schematu chrome: //.
Dzisiejsze przeglądarki obsługują wiele innych programów.
Nagłówki HTTP
Możesz myśleć o nagłówkach HTTP jako o adresie i innych instrukcjach zapisanych na kopercie, które
określają, gdzie paczka powinna się znaleźć i jak należy postępować z zawartością paczki. Przykładami
mogą być „Kruche: obchodzić się ostrożnie”, „Trzymaj płasko” lub „Niebezpieczeństwo: materiały
wybuchowe!” Są to główne dyrektywy, których protokół HTTP używa do dyktowania, co zrobić z
następującą zawartością. Klienci WWW dostarczają nagłówki HTTP na początku wszystkich żądań do
serwera WWW, a serwery WWW odpowiadają nagłówkami HTTP jako pierwszym elementem w każdej
odpowiedzi. Treść nagłówków określa, w jaki sposób następująca treść jest przetwarzana przez serwer
WWW lub przeglądarkę internetową. Niektóre nagłówki są wymagane, aby interakcja mogła działać;
inne są opcjonalne, a niektóre mogą być wykorzystywane wyłącznie w celach informacyjnych.
Języki znaczników
Języki znaczników to sposób określania sposobu wyświetlania zawartości. W szczególności definiują
one znormalizowany sposób tworzenia symboli zastępczych danych i symboli zastępczych do adnotacji
związanych z danymi w tym samym dokumencie. Każda strona internetowa, którą widziałeś w życiu,
prawdopodobnie używała języka znaczników, aby przekazać instrukcje przeglądarki dotyczące
wyświetlania tej strony. Istnieją różne rodzaje języków znaczników. Niektóre języki znaczników są
bardziej popularne niż inne i każdy ma swoje mocne i słabe strony. Jak zapewne już wiesz, HTML jest
wybranym językiem znaczników przeglądarki internetowej.
HTML
HyperText Markup Language, lub HTML, jest podstawowym językiem programowym używanym do
wyświetlania stron internetowych. Choć początkowo rozszerzony ze Standardowego Uogólnionego
Języka Znaczników (SGML), obecny HTML przeszedł wiele zmian od tego czasu. Bezwzględna zależność
od znaczników (współistnienie danych i adnotacji lub instrukcji) jest przyczyną kilku ważnych, trwałych
i systemowych problemów bezpieczeństwa.
XML
XML jest ściśle związany z HTML. Jeśli znasz język HTML, nie znajdziesz zbyt dużego wyzwania dla XML.
Chociaż żadne z nich nie jest szczególnie przyjemne dla ludzkiego oka, oba zapewniają bardzo bogaty
sposób przedstawiania złożonych danych. Plik XML będzie często używany w Internecie, zwykle jako
transport usług internetowych lub inne interakcje zdalnego wywoływania procedur (RPC).
Kaskadowe arkusze stylów
Kaskadowe arkusze stylów (CSS) to główna metoda wykorzystywana przez przeglądarki internetowe
do określania stylu zawartości strony internetowej (nie należy mylić jej z XSS, który jest skrótem od luki
w zabezpieczeniach dotyczącej skryptów krzyżowych). CSS zapewnia sposób na oddzielenie treści od
jej stylu. Bardzo podstawowym tego przykładem jest pogrubienie zdania. Oczywiście CSS jest znacznie
potężniejszy niż ten prosty przykład i rozszerza się na złożoność widzianą w sieci.
Skrypty
Języki skryptów internetowych to sztuka, której warto się nauczyć! Jeśli wchodzisz w interakcję z
internetem na poziomie technicznym, w jednym lub drugim miejscu natkniesz się na nich. Skrypty są
warunkiem wstępnym do pracy w informatyce, która w jakiś sposób wślizgnęła się i zajęła bardzo
ważne miejsce w przeglądarce. W późniejszych lekcjach dowiesz się, że osoby atakujące używają
skryptów w przeglądarce do uruchamiania niektórych z najbardziej popularnych exploitów, w tym XSS.
Będziesz potrzebował tej wiedzy w swoim arsenale.
JavaScript
JavaScript obsługuje funkcjonalne i obiektowe koncepcje programowania. W przeciwieństwie do Java,
który jest silnie typowanym językiem, JavaScript jest pisany luźno. Język ma dominującą pozycję w
ekosystemie internetowym i będzie dostępny w najbliższej przyszłości. Domyślnie działa w każdej
przeglądarce. Znajomość JavaScript jest niezbędna dla Ciebie jako czytelnika, ponieważ większość kodu
w tej książce używa tego języka. Ataki napisane w JavaScript (nie znoszące dziwactw przeglądarki) są
kompatybilne we wszystkich przeglądarkach. To czyni go fantastycznym językiem bazowym do
hakowania przeglądarki.
VBScript
VBScript jest obsługiwany tylko w przeglądarkach Microsoft i rzadko jest używany w poważnym
tworzeniu stron internetowych. Wynika to z faktu, że nie obsługuje on różnych przeglądarek. Jest to
alternatywa Microsoftu dla JavaScript Netscape, a jego pochodzenie sięga wczesnych wojen
przeglądarki. Wiele funkcji można uzyskać w JavaScript. Oczywiście rodzi to pytanie, czy VBScript jest
w ogóle potrzebny. Jeśli już, to wydaje się być powrotem do czasów, gdy Internet Explorer miał
całkowitą dominację w tej przestrzeni.
Model obiektowy dokumentu
Model obiektowy dokumentu (częściej nazywany DOM) to podstawowa koncepcja przeglądarki
internetowej. Jest to interfejs API do interakcji z obiektami w dokumentach HTML lub XML. DOM
zapewnia metodę interakcji języków skryptowych z silnikiem renderującym, zapewniając odniesienia
do elementów HTML w postaci obiektów. DOM jest skutecznie połączony z JavaScript (lub innymi
wybranymi językami skryptowymi). Został stworzony, aby umożliwić zdefiniowaną metodę dostępu do
żywego renderowanego dokumentu, tak aby skrypty działające w przeglądarce mogły odczytywać i /
lub zapisywać do niego dynamicznie. Umożliwiło to zmianę strony bez wysyłania nowych żądań do
serwera WWW i bez konieczności interakcji użytkownika
Silniki do renderowania
Silniki renderowania nazywane są różnymi nazwami w kontekście przeglądarek internetowych, w tym
silników układu i silników przeglądarki internetowej. Nazwy te są używane zamiennie. Te komponenty
odgrywają istotną rolę w ekosystemie przeglądarki. Odpowiadają za konwersję danych do formatu
przydatnego do prezentacji użytkownikowi na ekranie. Przeglądarka internetowa prawdopodobnie
użyje HTML i obrazów w połączeniu z CSS do stworzenia końcowego produktu graficznego, który
użytkownicy zobaczą w swojej przeglądarce. To właśnie te silniki zapewniają użytkownikowi wrażenia
graficzne. Choć zwykle określane graficznie, istnieją oparte na tekście silniki renderujące też takie jak
Lynx i W3M. W Internecie używanych jest wiele silników renderujących. Popularne silniki
renderowania graficznego omówione w naszych lekcjach to WebKit, Blink, Trident i Gecko.
WebKit
WebKit jest najpopularniejszym silnikiem renderującym i jest wykorzystywany w wielu przeglądarkach
internetowych. Najbardziej znaną przeglądarką korzystającą z silnika jest Apple Safari, a w przeszłości
Google Chrome również go używała. Jest to jeden z bardziej popularnych obecnie używanych silników
renderujących. Celem tego projektu typu open source jest przekształcenie WebKit w silnik interakcji i
prezentacji ogólnego zastosowania dla aplikacji. Oprócz zastosowania w przeglądarkach internetowych
silnik jest wykorzystywany w różnego rodzaju oprogramowaniu, w tym w klientach poczty e-mail i
komunikatorach internetowych.
Trident
Mechanizm renderujący firmy Microsoft nazywa się MSHTML lub, częściej, Trident. Nic dziwnego, że
Trident to silnik o zamkniętym źródle znaleziony w Internet Explorerze. Jest to drugi najpopularniejszy
silnik renderujący. Podobnie jak WebKit, Trident jest również używany w oprogramowaniu innym niż
przeglądarki internetowe. Jednym z przykładów jest Google Talk. Oprogramowanie może korzystać z
silnika za pomocą biblioteki mshtml.dll, która jest dostarczana z systemem Windows. Trident po raz
pierwszy pojawił się w wersji 4 przeglądarki internetowej i od tego czasu stał się podstawowym
elementem Internetu. Najnowsza wersja przeglądarki Microsoft Internet Explorer nadal wykorzystuje
Trident jako główny silnik renderujący.
Gecko
Firefox to najwybitniejszy program wykorzystujący silnik renderujący Gecko typu open source. Jest to
prawdopodobnie trzeci najpopularniejszy silnik renderujący po WebKit i Trident. Gecko to silnik
renderujący typu open source, pierwotnie opracowany przez Netscape w latach 90. dla przeglądarki
internetowej Netscape Navigator. Nowoczesne wersje Gecko znajdują się głównie w aplikacjach
opracowanych przez Mozilla Foundation i Mozilla Corporation, w szczególności przeglądarkę Firefox.
Presto
Presto jest mechanizmem renderującym dla Opery. Jednak w 2013 r. Zespół Opery publicznie ogłosił,
że wkrótce porzuci swój wewnętrzny silnik renderujący Presto i przeprowadzi migrację do pakietu
WebKit Chromium. Nazwa pakietu WebKit Chromium została następnie przemianowana na Blink. W
żadnym innym przypadku poważna przeglądarka nie zmieniła kursu z silnikiem renderowania w tak
dramatyczny sposób. To prawie na pewno oznaczać będzie wyginięcie Presto i stanie się jedną z
ostatnich ofiar wojen przeglądarkowych.
Blink
W 2013 roku Google ogłosił, że zienia WebKit, aby utworzyć nowy silnik renderowania Blink.
Początkowym celem Blink jest lepsze wsparcie wieloprocesowej architektury Chrome i zmniejszenie
złożoności przeglądarki. Czas pokaże, czy ten silnik będzie działał tak dobrze, jak WebKit, ale sugestia,
że Google usunie zbędne funkcje, to dobry początek.
Geolokalizacja
Geolokalizacja API zapewnia urządzeniom mobilnym i komputerom stacjonarnym dostęp do położenia
geograficznego przeglądarki internetowej. Osiąga to poprzez różne metody, w tym GPS, triangulację
witryny komórkowej, geolokalizację IP i lokalne punkty dostępu Wi-Fi. Istnieje wiele oczywistych
przypadków, w których informacje te mogłyby zostać wykorzystane w rzeczywistych sytuacjach.
Wprowadzono rygorystyczne zabezpieczenia przeglądarki w celu ograniczenia wyzysku, pozostawiając
główny wektor ataku jako socjotechnikę.
Pamięć internetowa
Pamięć internetowa, czasami nazywana pamięcią DOM, była częścią specyfikacji HTML5, ale już nie
jest. Pomocne może być przeglądanie pamięci internetowej jako doładowanych plików cookie.
Podobnie jak pliki cookie, istnieją dwa główne typy przechowywania: jeden zachowuje się lokalnie, a
drugi jest dostępny podczas sesji. W przypadku pamięci internetowej pamięć lokalna utrzymuje
wielokrotne odwiedziny użytkownika i przechowywanie sesji jest dostępne tylko w zakładce, która go
utworzyła. Jedną z głównych różnic między plikami cookie a pamięcią internetową jest to, że pamięć
internetowa jest tworzona tylko przez JavaScript, a nie przez nagłówki HTTP, ani nie jest przesyłana do
serwera przy każdym żądaniu. Pamięć internetowa pozwala na znacznie większe rozmiary niż
tradycyjne ciasteczka. Rozmiar zależy od przeglądarki, ale ogólnie wynosi co najmniej 5 megabajtów.
Inną ważną różnicą jest to, że nie ma koncepcji ograniczeń ścieżki w przypadku lokalnego
przechowywania
PRZECHOWYWANIE SESJI
Oto prosty przykład użycia interfejsu API do przechowywania danych w sieci Web. Uruchom
następujące polecenia w konsoli JavaScript przeglądarki internetowej. Ustawią wartość „BHH” w