آیا قابلیتهای گنجانده شده در فایرفاکس ایمن هستند؟

آنچه در زير ميخوانيد ترجمه ي يادداشت هشدار آميزي است که توسط Paul Festa در CNET News.com نوشته است و به ايرادات امنيتي قابليت جديد مروگر محبوب فايرفاکس موسوم به Greasemonkey که به کاربران اين اجازه را ميدهد تا صفحات وب را بدون آگاهي ناشر آنها براي خود سفارشي يا دستکاري کنند. Greasemonkey کاربران را قادر ميسازد تا آنچه را که تحت عنوان "user script" يا اسکريپت کاربر شناخته ميشود را اجرا کرده و صفحه ي وب مورد نظرشان را به يک صفحه ي دانلود شده تغيير دهند.
[ + ترجمه: ئه سرین رستمی ]

از مزاياي قابليت مذکور اين است كه براي كاربران مشتاقي كه در خواست ايجاد تغييرات در سايتهاي بازديد شده را دارند، امكان برداشتن اسكريپتهاي طراحي شده موجود در سايت را فراهم می آورد. اين ويژگي در حالي ارائه مي شود كه داراي يك ريسك امنيتي مهم مي باشد و مي تواند باعث شود صاحبان صفحات شخصي دچار مشكل شده و مجبور به دوباره طراحي نمودن صفحات خود شوند.

نکته قابل توجه این است که نوعی از اسکریپتها که امکان ایجاد تغییرات دلخواه را می دهند به وسیله افراد شرور روی دستگاه کاربران پیاده سازی می شوند. این نکته جهت احتیاط اخطار داده می شود. به گفته دنی سالیوان، ویرایشگر ناظر موتور جستجو :"به نظر می رسد که در حال حاضر انتشاردهندگان صفحات وب قبول کرده اند که کاربران قابلیت ایجاد تغییرات در سایتها را داشته باشند. برای مثال من می توانم از مرورگر خود این درخواست را داشته باشم که JavaScript را اجرا نکند و این می تواند باعث شود چیزی را که ناشر صفحات وب از صفحاتش انتظار داشته مختل گردد. بعضی از این موارد ممکن است مورد محاکمه قرار بگیرد اما من فکر می کنم که در طولانی مدت ناشرین صفحات وب یا خود را با این قابليت سازگار میکنند و یا راههای جدیدی را برای مقابله و مبارزه ي با آن پیدا میکنند.

Greasemonkey به غير از ايجاد تغييرات ظاهري در صفحات وب کارايي هاي ديگري نيز دارد. به عنوان نمونه Greasemonkey ميتوند صفحات وب را از تبليغات تهي ساز که البته اين کارش دليلي مناسبي است تا ناشرين و طراحان صفحات وب را به مبارزه با خود بطلبد.

ابزار سفارشي سازي صفحات وب که به کاربران قابليت شکافتن و به هم ريختن عناصر اين صفحات را ميدهد ميتواند براي موقعيت فايرفاکس نيز زماني که ناشران با تغييرات در صفحات سرناسازگاري بگذارند خطرناک باشد. به عنوان مثال گوگل هنگامي که در تولبار جديديش قابليتي را تحت عنوان AutoLink افزود که کاربران را قادر ميساخت تا به صفحات وب لينکهاي خاصي را بيافزايند از جانب تعدادي از سايتهاي معتبر به شدت مورد اعتراض قرار گرفت.

و يا به عنوان مثالي ديگر در سال 2001 مایکروسافت چهره زیباتری به ویندوز XP داد که می توانست کلمات موجود در صفحات وب را به به صفحات انتخاب شده از طرف مایکروسافت لینک کند که اين قابليت نيز شديدا مورد تعرض کمپاني هاي مختلف قرار گرفته و بخشي از سياستهاي انحصار گرايانه ي مايکروسافت خوانده شد و اين اعتراض تا جايي ادامه ي يافت که مايکروسافت مجبور شد قابليت فوق را از سيستم عامل ويندوز XP حذف نمايد.

بر طبق گزارش هايي که در صفحه ي اسکريپتهاي کاربران GreaseMonkey آمده است کاربراني که از اين قابليت استفاده ميکنند توانسته اند با دستکاري در بخش هاي DHTML برخي از صفحات وب آنها را کاملا دگرگون کند٬ در ادامه آورده شده است که به عنوان مثال با دستکاري در لينکهاي خبري نيويورک تايمز توانسته اند خوانندگان اين وب سايت را به صفحات خالي از تبليغات هدايت نمايند و ياهمچنين توانسته اند رنگهاي صفحات سايت Slashdot را نيز کاملا عوض کنند آنهم به شکلي که سايت ظاهري بسيار زشت پيدا کرده.

از دیگر طراحیهای انجام شده برای انجام تغییرات اساسی بیشتر، ارتباط برقرار کردن با Yahoo Mail و Gmail با امنیت مضاعف است. این امکان که Butler نامیده می شود کابران را قادر ميساز تا صفحات نتايج جستجو در گوگل را عاري از تبليغات و لينکهاي تبليغاتي نمايند و محدوديت هاي کپي برداري از تصاوير توسط گوگل پرينت را حذف نمايند. ( بر طبق آزمایشهای News.com که اسکریپتهای مختلف را تست کرده و نشان داده است که بعضی از آنها در برآورده کردن نتیجه نهایی مدنظر بسیار مناسبتر از دیگر نمونه ها بوده اند.)

بر طبق آنچه در سايت Greasemonkey آمده است نويسندگان نروژی مرورگر Opera نيز از ايده ي Greasemonkey الهام گرفته اند و ابزار مشابهي را به نسخه بتاي سوم Opera 8 افزوده اند.

ز جمله مشکلات موجود با Greasmonkey و user scripts در حالت کلی اینست که این اسکریپتها قابلیت استفاده در هر دو حالت دوستانه و خصمانه را دارا می باشند. و ممکن است در بررسی که کابران درلیستی فریبنده از این اسکریپتها انجام می دهند در مورد تشخیص این که این اسکریپتها بی خطر و یا خصمانه هستند دچار اشتباه شوند.

به گفته سازندگان Opera در جديدترين پست موجود در سايتشان در مورد ويژگي جديد موجود در آخرين نسخه بتاي اين برنامه: فايلهاي جاوا اسكريپت كاربران (user JavaScript file) مي تواند براي دستگاه شما بدون خطر باشد ولي فايلهايي كه به صورت صحيحي نوشته نشده اند مي توانند سرعت Opera را كاهش دهند و فايلهاي غير دوستانه نقش جاسوس را در دستگاه شما بازي كنند. هرگز اسكريپتي را كه نويسنده آن را نمي شناسيد و يا اطمينان نداريد استفاده و نصب نكنيد، در صورت شك داشتن آن را براي انجمن گفتگوي Opera بفرستيد و در مورد ساختار صحيح آن اطمينان حاصل كنيد.

به گفته ریچارد اسمیت، مشاور امنیتی و کسی که سایت ComputerBytesMan را راه اندازی کرده است : "اسکریپتهای کاربر یا همان user scripts همچینین قابلیت آسان کردن نقشه ها و طرحها جهت دستبرد به پسوردها را دارند. افراد شرور می توانند به راحتی اسکریپتی را جهت دزدیدن مشخصه کاربری و کلمه عبور از صفحات Login با استفاده از این ابزار طراحی کنند. در شرایط عادی جهت این کار احتیاج به این امر دارند که به کامپیوتر قربانی دسترسی پیدا کرده و اسکریپتهای مورد نظر را روی ان نصب کنند. اما با این ابزار مراحل دزدی بسیار راحتتر خواهد شد.

Aaron Boodman کسی که 26 سال سابقه برنامه نویسی در در Seattle را دارد برنامه نویس Greasmonkey است ، وی از هرگونه توضیح در مورد این قابلیت و یا مشکلات امنیتی آن سر باز میزند. اما در آخرین نوشته موجود در سایتش، احتمال وجود ضعف امنیتی در آن را تصدیق میکند و ابراز نگرانی می نماید که Greasmonkey می تواند آسیب پذیر گردد و در انتها به یک رسوایی تبدیل شود.

بودمان نوشته است:" یک هکر می تواند یک اسکریپت را ایجاد کند تا چیزی را که مدنظر کاربر است انجام دهد اما در این میان ارتباطی با سرور هکر برقرار شده و Cookie های دستگاه را برای او ارسال کند. همچنین می تواند شرایط را جهت پیدا کردن رمز عبور فیلدها هموار کند، البته در این زمان خیال من راحت است چراکه مجموعه Greasmonkey یک خانواده کوچک و تکنیکی است و این مسئله هکرها را برای پخش اسکریپتهای حطرناک به دشواری میکشاند. "

در این پست بودمان اشاره کرده است که او آماده دریافت ایده جهت اصلاح امنیت Greasmonkey می باشد. همچنین او در مورد مسیر مشابهی که Opera اجرا کرده است اخطار داده.
او نوشته است :" تمام چیزی که من می توانم بگویم این است که این نیز همانند سایر برنامه هاست و شما باید در هنگام نصب user script ها کمی تفکر کرده و سپس آن را اجرا کنید. مطمئن شوید که نویسنده آن کسی است که شما به او اعتماد دارید و یا مربوط به یکی از شبکه های قابل اعتماد شماست."

[ + منبع: X party به نقل از C|Net ]


Excerpt / Firefox add-on lets surfers tweak sites, but is it safe?: That's one cautionary note making the rounds along with a popular new extension for Firefox that lets people customize Web pages they visit without the knowledge or cooperation of Web publishers. The extension, dubbed Greasemonkey, lets people run what's known as a "user script," which alters a Web page as the page is downloaded. [ + Read full story in C|Net ]

2 comments:

SepehЯ said...

فاير فاکس باشه، ايرادات امنيتي باشه!
فاير فاکس باشه، کوفت باشه!
:D well job dear//

Anonymous said...

salam
khaste nabashid
matn ha va maghale haye khoob va jazzabi ro minivisid .
man saman hastam va webmastere www.tazeha.com va idim ham ine: tazeha_com
khosh hal misham ke behem pm bedid va ba ham hamkari dashte bashim.
ba tashakor:
saman
www.tazeha.com