Re: [新聞] EITest偽裝技術支援誘騙用戶下載挖礦程式

看板Browsers作者 (道可道非常道)時間6年前 (2017/09/28 00:18), 6年前編輯推噓9(909)
留言18則, 6人參與, 6年前最新討論串2/2 (看更多)
※ 引述《Toge (To Valhalla!)》之銘言: : 推薦用uBlock Origin來擋 : uBlock Origin工具列圖示點下去有個齒輪圖示按鈕 : 點下去進入設定畫面這樣設定: : 1. 第一頁勾選 I am an advanced user : https://imgur.com/QetqLOi.jpg
: 2. 第二頁除了第三個選項,其餘全部勾選 : https://imgur.com/wtxLcUR.jpg
: 3. 回到網站畫面點工具列圖示,這邊需要講解一下,UI寫得有點簡陋= = : https://imgur.com/3hwwiuy.jpg
補充一下,上面的 1. 基本上是為了 3., 如果有人只想設定 2. 而不想設定 3.,可以略過 1.。 : 如果你不想了解這UI的話 : 只要把3rd-party scripts和frames設成左邊紅色就好 : (如圖,但上面的3rd-party不要動) : 大部分的網頁開出來應該都會正常 : 但Coinhive應該都會擋掉 : 記得!!改完了之後左上角有個鎖頭的圖案 : 那是存檔的按鈕,要記得按!不然重開瀏覽器就沒了 ...(中間恕刪) : 弄完了以後 : 你會發現什麼彈出式視窗啦 : 什麼全螢幕提示啦 : 廣告圖片和gif啦 : 一切看不到的tracking和惡意套件啦 : 這些平常沒辦法擋的全部都擋掉了 : 而且網站讀取速度也會變快喔 : 當然這需要一點耐心去設定就是了..... : 手機版的Fx和GC也可以喔 uBlock 功能的確非常強大, 而做以上設定也的確可以擋掉非常多東西、讓網頁快很多。 不過有一點提醒大家, 副作用並沒有 Toge 講的那麼小, 上述設定足以讓非常、非常多網頁運作不正常。 我簡單說明原理: 把 3rd-party (第三方)@改成紅色, 表示要阻擋所有來自與目前網站不同網域的圖片, 只有同一網站的圖片才允許載入。 很不幸地,以部落格文章為例, 部落客的圖片常常是放在圖床, 以最知名的 Blogger 來說, 一個位於 xxx.blogspot.tw 的部落格, 其圖片如果是放在 Google 相簿,網域可能是 1.bp.blogspot.com, 於是你會看到部落格充滿了缺圖。 又如 PTT 使用者常貼 imgur 的圖, 由於 web 版 PTT 的網域是 www.ptt.cc, 而 imgur 的網域是 imgur.com, 所以你上 web ptt 也會看到一堆缺圖。 第三方圖片基本上不太會帶來安全風險, 頂多是廣告,而廣告可以訂閱其他廣告阻擋規則去擋, 雖然擋不住全部,但至少比較不會影響網頁正常運作, 我個人不建議把這項改成紅色3rd-party-script (第三方腳本) 如果改成紅色, 表示要阻擋所有來自與目前網站不同網域的 javascript。 絕大多數的惡意程式碼是透過第三方 javascript 插入及執行, 因此這個設定確實可以去除很多安全風險。 不過副作用也是不少, 因為非常多網站在自己的 javascript 常會用到第三方框架, 比如 jQuery 通常會向 ajax.googleapis.com 取得, 這當然也是和原站台不同網域。 如果你把第三方腳本封鎖,那些框架就無法載入, 網站原本的程式碼沒了第三方框架也會完全無法運作, 於是你會發現很多網站功能無法運作, 比如很多 Blogger 部落客會安裝外掛產生最近文章、最新評論等等, 會因此通通無法運作。 其他像網站的流量計數器之類也是依賴第三方腳本, 所以這樣設定也會讓你常看的網頁的作者得不到流量, 至於這是好是壞就見人見智了。 如果對安全性有疑慮,封鎖第三方腳本最有機會保護你, 但是這也的確可能讓很多網站的正常功能無法運作, 而且腳本無法運作不像圖片那麼明顯可見, 你可能不太容易搞清楚是網站本來就這樣還是你的阻擋規則導致。 3rd-party-frame (第三方框架) 如果改成紅色, 表示要阻擋所有來自與目前網站不同網域的 frame 或 iframe。 frame 現在已經極少使用, 而 iframe 常用於像是 嵌入 Youtube 影片、Disqus 討論區或臉書留言外掛, 或外掛臉書按讚、分享至 XXX 按鈕等等。 如果你勾了,這些外掛的東西都會消失。 現在大多數瀏覽器會實施同源政策, 第三方 frame 不太有能力造成安全風險(9/28補充:請見以下討論), 頂多是可能有煩人的廣告, 但這一樣能透過訂閱廣告阻擋規則去擋。 但話說回來,那些外掛按鈕或留言板也未必有那麼重要, 要不要這樣設定就見仁見智了。 當然,有經驗的使用者還是可以針對需要正常運作的網站設定成開放。 比如把 ajax.googleapis.com、youtube 等加入白名單放行, 或針對你需要的站台特別放行, 做法其實不難,就是在無法正常運作的網頁把右邊設成灰色或綠色, 但是這些都需要經驗,需要對網頁運作有相當瞭解, 不懂的人根本不知道需要把誰加入白名單、應該設灰色或綠色, 它會被 uBlock 作者稱之為進階設定不是沒有原因的。 總之,除非你懂或打算現在開始學習, 並且有心理準備、也願意花時間針對未來可能運作不正常的網頁除錯, 否則做這些設定前還是三思。 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 36.227.217.175 ※ 文章網址: https://www.ptt.cc/bbs/Browsers/M.1506529108.A.F2A.html
09/28 00:44, 6年前 , 1F
這個觀念在用 uMatrix 看得更清楚,因為是矩陣式
09/28 00:44, 1F
09/28 00:45, 6年前 , 2F
不過就像原PO講,擋掉第三方會讓絕大多數網站運作不正常
09/28 00:45, 2F
09/28 00:46, 6年前 , 3F
所以用 uBO 加上規則訂閱是相對簡單入手的。
09/28 00:46, 3F
09/28 06:24, 6年前 , 4F
當然這是比較暴力的方法,但其實試過很多網站,
09/28 06:24, 4F
09/28 06:32, 6年前 , 5F
ajax.googleapis.com也不是每個網站都會有影響,所以我才會
09/28 06:32, 5F
09/28 06:32, 6年前 , 6F
建議要測試,以不影響網站瀏覽體驗為準。套件的說明文件也
09/28 06:32, 6F
09/28 06:32, 6年前 , 7F
說了「minimal set of rules to ensure web pages render p
09/28 06:32, 7F
09/28 06:32, 6年前 , 8F
roperly」
09/28 06:32, 8F
09/28 06:44, 6年前 , 9F
不過感謝詳細補充
09/28 06:44, 9F
09/28 06:50, 6年前 , 10F
另外補充一點,同源政策目前object和ajax都已採用沒錯,但
09/28 06:50, 10F
09/28 06:53, 6年前 , 11F
iframe還是有開放,只要被嵌入的沒有阻擋跨網域嵌入的話
09/28 06:53, 11F
09/28 06:53, 6年前 , 12F
因此開放iframe還是有相當風險存在的
09/28 06:53, 12F
好像不是這樣欸XD 參考維基的說明: https://en.wikipedia.org/wiki/Same-origin_policy 就我的理解,同源政策是指: A網域的網頁中的腳本(javascript;可以來自A網域本身或內嵌第三方的) 嘗試存取被該網頁內嵌的來自不同網域的資源會受到限制, 比如無法發送 XMLHttpRequest (AJAX) 請求、 無法存取不同網域的框架頁的 DOM、window、location 等等。 至於 object... 首先,至少我目前測試 Firefox 55.*, A網域的網頁是可以用 <object> 嵌入來自B網域的物件而不受限制; 其次,假使真的有這種限制,那也不叫同源政策, 而是叫做內容安全政策(content security policy)。 內容安全政策是指,A網域的網頁藉由一些設定, 控制網頁中的各種內嵌元素可以來自哪些網域, 若網域不在允許之列就禁止載入。 如果A網站(網域)A的X網頁以 iframe 內嵌了B網站的Y網頁, 假如沒有同源政策, Y可以用腳本讀取X的使用者資料,比如 cookie 或 localStorage, 傳送到某個地方給駭客接受,駭客有了使用者在A網站的 cookie, 就可以偽造成該使用者登入A網站(不過A網站如有做好安全措施還是有機會擋下), 然後竊取裡面的個資, 如果這使用者是A網站的管理員,那駭客就可以控制整個A網站; 或者Y網頁可以用腳本修改X網頁的內容, 比如加上釣魚連結或顯示各種假資訊等等。 相對的,在有同源政策之下, Y網頁無法竊取X網頁的資訊,也無法修改X網頁的內容, 基本上很難做什麼攻擊。 不過嚴格來說,被嵌入的Y網頁的確還是有可能做一些壞事, 比如自動下載惡意的可執行程式(不過使用者不按執行還是沒用), 或者Y網頁可能把自己布置成很像臉書的介面, 偽造理由詐騙使用者輸入臉書密碼、生日、電郵等資訊(也就是網路釣魚), 所以內嵌第三方框架頁的確不是100%無風險。 總體而言,安全性是第三方圖片>第三方框架頁>第三方腳本。
09/28 08:44, 6年前 , 13F
按照該設定,youtube就不會自動播放影片,變成一直轉圈
09/28 08:44, 13F
對欸,內嵌 Youtube 影片出不來比留言版不顯示有感多了XD 感謝分享。借我補上。
09/28 10:06, 6年前 , 14F
可以將googlevideo.com設成灰色
09/28 10:06, 14F
09/28 10:38, 6年前 , 15F
我是用 scriptblock
09/28 10:38, 15F
ScriptBlock 的所有功能都可以被 uBlock Origin 取代, 除非根本不使用 uBO 的功能,我覺得不太有必要多安裝一個套件。 ※ 編輯: danny0838 (1.164.19.182), 09/28/2017 11:58:14 ※ 編輯: danny0838 (1.164.19.182), 09/28/2017 12:01:54
09/28 15:57, 6年前 , 16F
了解,感謝詳細分析!
09/28 15:57, 16F
09/28 18:24, 6年前 , 17F
推分析。
09/28 18:24, 17F
09/30 15:44, 6年前 , 18F
感謝如此深入淺出易懂的解說,解了長久使用的困惑。
09/30 15:44, 18F
更多 danny0838 的文章
文章代碼(AID): #1PoyzKyg (Browsers)
更多 danny0838 的文章
文章代碼(AID): #1PoyzKyg (Browsers)