Abstract image of a woman sitting on books and studying on a laptop

Czy naprawdę wiesz co robi twoja przeglądarka?

OWASP, profile picture
OWASP

Prezentacja ze spotkania OWASP Poland, Warszawa 23.06.2016 Obecnie nie można sobie wyobrazić przeglądania Internetu z wyłączonymi skryptami, ale bezpieczeństwo zarówno samych aplikacji webowych, jak i stacji roboczej z przeglądarką pozostawia wiele do życzenia. W prezentacji przedstawione będą problemy związane z naruszeniem prywatności oraz potencjalne możliwości nadużyć spowodowanych przez sam fakt pobierania i przetwarzania obcych skryptów przez przeglądarkę. Omówione zostaną zarówno przyczyny, jak i obecnie dostępne metody zapobiegania zagrożeniom.

Technology
1 of 27
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Czy interfejs webowy jest jak Windows 95? Marcin Marciniak OWASP Guest Network infrastrukture specialist, DOT, Supermedia Marcin.Marciniak@gmail.com 790519941 23.06.2016
2OWASP Znajdź dwie różnice Tak jest (Windows 95) Tak może być (Windows NT 4.0)
3OWASP Geneza problemu obcego kodu Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany: Obcy proces, wstrzyknięcie kodu do pamięci, Obcy obiekt, wtyczka, BHO, Obcy kod w jądrze systemu, Obcy kod pobrany i uruchomiony przez przeglądarkę. Hipertekst + JavaScript + obiekty Główni beneficjenci – cyberprzestępcy, włamywacze, sieci reklamowe, złodzieje danych...
4OWASP Co łączy ze sobą różne strony? - DEMO-
5OWASP Hipertekst jako główna przyczyna problemu Link, łącze do obiektu może prowadzić do dowolnego osiągalnego zasobu: Skrypt, Obraz, Obiekt, Dowolny plik. ...z dowolnej domeny, … także .info lub .download. ¾ stron z domeny .download to spam lub malware – źródło: spamhaus.org
6OWASP Atrapa
7OWASP Badanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG PolandBadanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG Poland Wystąpienie podczas konferencji SEMAFOR 2015Wystąpienie podczas konferencji SEMAFOR 2015
8OWASP Złodzieje już są na stacji roboczej
9OWASP Reklama twoim wrogiem Malvertising Malware w normalnej reklamie, Precyzyjnie do celu, Tanio – 0,19$ za 100 odsłon, Profit (dla złodzieja). Idealny model do CaaS (Crimeware as a Service) ` Motorhed@deviantart
1 0 OWASP
1 1 OWASP Złodzieje to lubią Bezobsługowa emisja, Profilowanie, Zasięg, Skrytość, Trudne śledzenie, Prostota i bezpieczeństwo dla napastnika, Bardzo niskie koszty. beachrain@deviantart
1 2 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Adblock wyłączonyAdblock wyłączony Adblock włączonyAdblock włączony
1 3 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Część obiektów nadal jest ładowanych z wtyczkami włącznie.
1 4 OWASP Czy uBlock Origin jest lepszy? Tak, ale niestety nadal niektóre obiekty przechodzą. Najnowsza wersja jest lepsza. Adblock Plus ma lepsze UI dzięki dodatkom takim jak Element Hiding Helper. Adblock Plus nie blokuje wszystkich reklam! uBlock jest mniej zasobożerny. uBlock blokuje złośliwe lub reklamowe przekierowania, Niestety nie umie poprawić URLa.
1 5 OWASP Skrypty Google'a Spiderlabs, 2013Spiderlabs, 2013
1 6 OWASP Skrypty Google'a Skryptom Google'a ufają nawet banki w swoich systemach transakcyjnych (!). Dane karty -> base64_encode -> podstawienie do Google Analytics. Kto to sprawdzi?
1 7 OWASP Skrypty Google'a Na szczęście podatność została załatana, ale nie wiemy na jak długo.
1 8 OWASP Broń ciężkiego kalibru - Noscript NoScript Selektywne odblokowanieodblokowanie skryptów per domena, Blokowanie clickjackingu, Blokowanie nadużyć skryptów między stronami, Dlaczego nie da się odblokowaćodblokować tylko wybranychwybranych skryptów?
1 9 OWASP NoScript dobry, ale… uMatrix lepszy! Blokowanie macierzowe, Selektywne odblokowanie per domena i obiekt, Trudniejsza obsługa niż w NoScripcie.
2 0 OWASP Duchy precz - Ghostery Blokowanie obiektów: Szpiegujących, Widżetów, Beaconów reklamowych, Ciastek i skryptów śledzących. Wątpliwości, odnośnie do dalszego rozwoju aplikacji.
2 1 OWASP Zjemy wszystkie ciastka – Self-Destructing Cookies. Każda sesja startuje z czystą przeglądarką, Ciacho na czas sesji, Później znika (lub nie). Maksimum funkcjonalności przy utrudnionym szpiegowaniu.
2 2 OWASP Problem z ciastkami Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.
2 3 OWASP Nadal można śledzić Niestety złodzieje informacji nadal to robią, Fingerprint stacji, Rozdzielczość, Zmienne widoczne z przeglądarki Czcionki, Przeliczanie wysokości i widoczności divów, Możliwość wykonania konkretnych skryptów, Pula używanych IP, Flash, Silverlight. Tak działają wszystkie znane mi paywalle, Czasami pomaga Blender albo UAControl.
2 4 OWASP Agent pod kontrolą Podmiana User Agent, Działanie per site, Własny agent, zależnie od potrzeb, Przeglądanie „jak to widzi Google”.
2 5 OWASP Brak narzędzi dla firm i „power userów” Pełna kontrola skryptów i instrukcji, Usuwanie overlay, ciastek, reklam, Autousuwanie szpiegów, Zarządzanie obiektami Flash itp. Czyszczenie fingerprintu, Łatwa modyfikacja strony w locie, Zapis jako skrypt… ...by potem uruchomić ten skrypt na proxy. Czy jest proxy, które to umie?
2 6 OWASP Trudne zadanie Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki. Każdy z dodatków wprowadza obcy kod. Komu można zaufać? Co można audytować? Brak narzędzia dla Edge (tylko Firefox i po części Chrome). William Edwards Deming
2 7 OWASP zasady M.Marciniaka Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery. Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix. Jeśli strona WWW używa obcych skryptów, to być może należy poprawić webmastera – zablokować je, Google Analytics (i klony) to wróg publiczny w firmach, Każdy obcy obiekt jest potencjalnym złodziejem, Firefox nie bez powodu posiada menedżer profili. Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM). Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows XP lub Vista. Lub odwrotnie. Flash? There is a blacklist for that. Albo click-to-play. Gadu-Gadu to pikuś przy Facebooku.

More Related Content

PDF
Piątek z XSolve - Bezpieczne nagłówki HTTP
XSolve
 
PDF
HTML5: Atak i obrona
Krzysztof Kotowicz
 
PDF
Krytyczne błędy konfiguracji
Logicaltrust pl
 
PDF
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
 
PPTX
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Michał Smereczyński
 
PDF
Bezpieczenstwo to podstawa
Bartosz Romanowski
 
PDF
Devops/Sysops security
Logicaltrust pl
 
PPTX
10 przykazań bezpiecznego programowania
SecuRing
 
Piątek z XSolve - Bezpieczne nagłówki HTTP
XSolve
 
HTML5: Atak i obrona
Krzysztof Kotowicz
 
Krytyczne błędy konfiguracji
Logicaltrust pl
 
Testy bezpieczeństwa - niesztampowe przypadki
Logicaltrust pl
 
Bezpieczeństwo WordPress okiem administratora - WordCamp Warszawa 2014
Michał Smereczyński
 
Bezpieczenstwo to podstawa
Bartosz Romanowski
 
Devops/Sysops security
Logicaltrust pl
 
10 przykazań bezpiecznego programowania
SecuRing
 

What's hot (15)

PPTX
Jak tworzyć bezpieczne aplikacje?
SecuRing
 
PDF
Devops security
Logicaltrust pl
 
PDF
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
 
PPTX
WordPress dla początkujących
Katarzyna Javaheri-Szpak
 
PDF
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
PROIDEA
 
PPTX
Shall we play a game? PL version
Maciej Lasyk
 
PDF
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Logicaltrust pl
 
PDF
Malware vs autoryzacja transakcji
SecuRing
 
PDF
Pentester - fakty i mity
Logicaltrust pl
 
PPTX
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Katarzyna Javaheri-Szpak
 
PPTX
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
SecuRing
 
PDF
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
PDF
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
PROIDEA
 
PPTX
TGT#20 - Ataki XSS - Robert Charewicz
Trójmiejska Grupa Testerska
 
PDF
WebView security on iOS (PL)
lpilorz
 
Jak tworzyć bezpieczne aplikacje?
SecuRing
 
Devops security
Logicaltrust pl
 
Co z bezpieczeństwem aplikacji mobilnych? - studium przypadków (KrakWhiteHat ...
Logicaltrust pl
 
WordPress dla początkujących
Katarzyna Javaheri-Szpak
 
4Developers 2015: Frameworki jee vs cross-site scripting (xss) - Piotr Bucki
PROIDEA
 
Shall we play a game? PL version
Maciej Lasyk
 
Urządzenia i usługi bezpieczeństwa IT - pełna ochrona czy... zaproszenie dla ...
Logicaltrust pl
 
Malware vs autoryzacja transakcji
SecuRing
 
Pentester - fakty i mity
Logicaltrust pl
 
Bezpieczeństwo stron opartych na popularnych systemach zarządzania treścią
Katarzyna Javaheri-Szpak
 
Testowanie bezpieczeństwa – jak dostosować zakres do realnych zagrożeń i budżetu
SecuRing
 
OWASP Mobile TOP 10 na przykładzie aplikacji bankowych - Semafor 2016 - Mateu...
Logicaltrust pl
 
JDD2014/ 4Developers 2015: Błędy uwierzytelniania i zarządzania sesją w JEE -...
PROIDEA
 
TGT#20 - Ataki XSS - Robert Charewicz
Trójmiejska Grupa Testerska
 
WebView security on iOS (PL)
lpilorz
 
Ad

Similar to Czy naprawdę wiesz co robi twoja przeglądarka? (20)

PDF
Tworzenie, zaciemnianie i analiza złośliwego kodu JavaScript
Krzysztof Kotowicz
 
PPTX
Hackowanie webaplikacji – ofensywa programisty na przykładzie OWASP TOP 10
Ideo Sp. z o.o.
 
PPTX
Owasp top 10 2010 final PL Beta
Think Secure
 
PDF
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Antoni Orfin
 
PDF
Bezpieczeństwo stron opartych na popularnych CMSach
agencjaadream
 
PDF
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
 
PPTX
Bezpieczeństwo aplikacji czy musi być aż tak źle
SecuRing
 
PDF
Owasp Top10 2010 RC1 PL
Think Secure
 
PDF
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
krakspot
 
PDF
Jak ocalić swoje dane przed SQL injection?
Krzysztof Kotowicz
 
PDF
OWASP Appsensor in action
LeszekMis
 
PPTX
Co nowego w VS 2013 dla programistów ASP.NET?
Bartlomiej Zass
 
PPS
[ISSA] Web Appication Firewall
msobiegraj
 
PDF
[Quality Meetup] M. Witas, D. Młynek – Tabnabbing – bug czy feature twojej pr...
Future Processing
 
PDF
Bezpieczeństwo aplikacji tworzonych w technologii Ajax
Wydawnictwo Helion
 
PPTX
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Adam Ziaja
 
PPTX
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Pawel Krawczyk
 
PDF
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Leszek Mi?
 
PPTX
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA
 
PDF
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Logicaltrust pl
 
Tworzenie, zaciemnianie i analiza złośliwego kodu JavaScript
Krzysztof Kotowicz
 
Hackowanie webaplikacji – ofensywa programisty na przykładzie OWASP TOP 10
Ideo Sp. z o.o.
 
Owasp top 10 2010 final PL Beta
Think Secure
 
Testowanie poziomu bezpieczeństwa aplikacji internetowych
Antoni Orfin
 
Bezpieczeństwo stron opartych na popularnych CMSach
agencjaadream
 
Atmosphere 2014: Scalable and under control - open cloud architecture conside...
PROIDEA
 
Bezpieczeństwo aplikacji czy musi być aż tak źle
SecuRing
 
Owasp Top10 2010 RC1 PL
Think Secure
 
“Jak ocalić swoje dane przed SQL injection?” - Krzysztof Kotowicz na KrakSpot...
krakspot
 
Jak ocalić swoje dane przed SQL injection?
Krzysztof Kotowicz
 
OWASP Appsensor in action
LeszekMis
 
Co nowego w VS 2013 dla programistów ASP.NET?
Bartlomiej Zass
 
[ISSA] Web Appication Firewall
msobiegraj
 
[Quality Meetup] M. Witas, D. Młynek – Tabnabbing – bug czy feature twojej pr...
Future Processing
 
Bezpieczeństwo aplikacji tworzonych w technologii Ajax
Wydawnictwo Helion
 
Praktyczne ataki na aplikacje webowe (TAPT 2015)
Adam Ziaja
 
Dlaczego przejmować się bezpieczeństwem aplikacji (pol)
Pawel Krawczyk
 
Modsecurity-czy-Twoj-WAF-to-potrafi-Leszek-Mis-Linux-Polska
Leszek Mi?
 
4Developers 2015: 10 przykazań bezpiecznego kodowania - Wojciech Dworakowski
PROIDEA
 
Drobne błędy w portalach WWW -- prawdziwe studium przypadku
Logicaltrust pl
 
Ad

More from OWASP (20)

PDF
[OPD 2019] Web Apps vs Blockchain dApps
OWASP
 
PDF
[OPD 2019] Threat modeling at scale
OWASP
 
PDF
[OPD 2019] Life after pentest
OWASP
 
PDF
[OPD 2019] .NET Core Security
OWASP
 
PDF
[OPD 2019] Top 10 Security Facts of 2020
OWASP
 
PDF
[OPD 2019] Governance as a missing part of IT security architecture
OWASP
 
PDF
[OPD 2019] Storm Busters: Auditing & Securing AWS Infrastructure
OWASP
 
PPTX
[OPD 2019] Side-Channels on the Web:
Attacks and Defenses
OWASP
 
PPTX
[OPD 2019] AST Platform and the importance of multi-layered application secu...
OWASP
 
PPTX
[OPD 2019] Inter-application vulnerabilities
OWASP
 
PDF
[OPD 2019] Automated Defense with Serverless computing
OWASP
 
PDF
[OPD 2019] Advanced Data Analysis in RegSOC
OWASP
 
PDF
[OPD 2019] Attacking JWT tokens
OWASP
 
PDF
[OPD 2019] Rumpkernels meet fuzzing
OWASP
 
PDF
[OPD 2019] Trusted types and the end of DOM XSS
OWASP
 
PDF
[Wroclaw #9] The purge - dealing with secrets in Opera Software
OWASP
 
PDF
[Wroclaw #9] To be or Not To Be - Threat Modeling in Security World
OWASP
 
PDF
OWASP Poland 13 November 2018 - Martin Knobloch - Building Secure Software
OWASP
 
PDF
OWASP Poland Day 2018 - Amir Shladovsky - Crypto-mining
OWASP
 
PDF
OWASP Poland Day 2018 - Damian Rusinek - Outsmarting smart contracts
OWASP
 
[OPD 2019] Web Apps vs Blockchain dApps
OWASP
 
[OPD 2019] Threat modeling at scale
OWASP
 
[OPD 2019] Life after pentest
OWASP
 
[OPD 2019] .NET Core Security
OWASP
 
[OPD 2019] Top 10 Security Facts of 2020
OWASP
 
[OPD 2019] Governance as a missing part of IT security architecture
OWASP
 
[OPD 2019] Storm Busters: Auditing & Securing AWS Infrastructure
OWASP
 
[OPD 2019] Side-Channels on the Web:
Attacks and Defenses
OWASP
 
[OPD 2019] AST Platform and the importance of multi-layered application secu...
OWASP
 
[OPD 2019] Inter-application vulnerabilities
OWASP
 
[OPD 2019] Automated Defense with Serverless computing
OWASP
 
[OPD 2019] Advanced Data Analysis in RegSOC
OWASP
 
[OPD 2019] Attacking JWT tokens
OWASP
 
[OPD 2019] Rumpkernels meet fuzzing
OWASP
 
[OPD 2019] Trusted types and the end of DOM XSS
OWASP
 
[Wroclaw #9] The purge - dealing with secrets in Opera Software
OWASP
 
[Wroclaw #9] To be or Not To Be - Threat Modeling in Security World
OWASP
 
OWASP Poland 13 November 2018 - Martin Knobloch - Building Secure Software
OWASP
 
OWASP Poland Day 2018 - Amir Shladovsky - Crypto-mining
OWASP
 
OWASP Poland Day 2018 - Damian Rusinek - Outsmarting smart contracts
OWASP
 

Czy naprawdę wiesz co robi twoja przeglądarka?

  • 1. Copyright © The OWASP Foundation Permission is granted to copy, distribute and/or modify this document under the terms of the OWASP License. The OWASP Foundation OWASP http://www.owasp.org Czy interfejs webowy jest jak Windows 95? Marcin Marciniak OWASP Guest Network infrastrukture specialist, DOT, Supermedia [email protected] 790519941 23.06.2016
  • 2. 2OWASP Znajdź dwie różnice Tak jest (Windows 95) Tak może być (Windows NT 4.0)
  • 3. 3OWASP Geneza problemu obcego kodu Warstwy, którymi kod dostaje się do procesora, gdzie jest wykonywany: Obcy proces, wstrzyknięcie kodu do pamięci, Obcy obiekt, wtyczka, BHO, Obcy kod w jądrze systemu, Obcy kod pobrany i uruchomiony przez przeglądarkę. Hipertekst + JavaScript + obiekty Główni beneficjenci – cyberprzestępcy, włamywacze, sieci reklamowe, złodzieje danych...
  • 4. 4OWASP Co łączy ze sobą różne strony? - DEMO-
  • 5. 5OWASP Hipertekst jako główna przyczyna problemu Link, łącze do obiektu może prowadzić do dowolnego osiągalnego zasobu: Skrypt, Obraz, Obiekt, Dowolny plik. ...z dowolnej domeny, … także .info lub .download. ¾ stron z domeny .download to spam lub malware – źródło: spamhaus.org
  • 7. 7OWASP Badanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG PolandBadanie Bezpieczeństwa, 2014, Marcin Marciniak, IDG Poland Wystąpienie podczas konferencji SEMAFOR 2015Wystąpienie podczas konferencji SEMAFOR 2015
  • 8. 8OWASP Złodzieje już są na stacji roboczej
  • 9. 9OWASP Reklama twoim wrogiem Malvertising Malware w normalnej reklamie, Precyzyjnie do celu, Tanio – 0,19$ za 100 odsłon, Profit (dla złodzieja). Idealny model do CaaS (Crimeware as a Service) ` Motorhed@deviantart
  • 11. 1 1 OWASP Złodzieje to lubią Bezobsługowa emisja, Profilowanie, Zasięg, Skrytość, Trudne śledzenie, Prostota i bezpieczeństwo dla napastnika, Bardzo niskie koszty. beachrain@deviantart
  • 12. 1 2 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Adblock wyłączonyAdblock wyłączony Adblock włączonyAdblock włączony
  • 13. 1 3 OWASP Czy Adblock Plus pomaga? Część obiektów jest tylko ukrywana, Obecność Adblocka można wykryć (rzeczywista wysokość danego diva=0). Część obiektów nadal jest ładowanych z wtyczkami włącznie.
  • 14. 1 4 OWASP Czy uBlock Origin jest lepszy? Tak, ale niestety nadal niektóre obiekty przechodzą. Najnowsza wersja jest lepsza. Adblock Plus ma lepsze UI dzięki dodatkom takim jak Element Hiding Helper. Adblock Plus nie blokuje wszystkich reklam! uBlock jest mniej zasobożerny. uBlock blokuje złośliwe lub reklamowe przekierowania, Niestety nie umie poprawić URLa.
  • 16. 1 6 OWASP Skrypty Google'a Skryptom Google'a ufają nawet banki w swoich systemach transakcyjnych (!). Dane karty -> base64_encode -> podstawienie do Google Analytics. Kto to sprawdzi?
  • 17. 1 7 OWASP Skrypty Google'a Na szczęście podatność została załatana, ale nie wiemy na jak długo.
  • 18. 1 8 OWASP Broń ciężkiego kalibru - Noscript NoScript Selektywne odblokowanieodblokowanie skryptów per domena, Blokowanie clickjackingu, Blokowanie nadużyć skryptów między stronami, Dlaczego nie da się odblokowaćodblokować tylko wybranychwybranych skryptów?
  • 19. 1 9 OWASP NoScript dobry, ale… uMatrix lepszy! Blokowanie macierzowe, Selektywne odblokowanie per domena i obiekt, Trudniejsza obsługa niż w NoScripcie.
  • 20. 2 0 OWASP Duchy precz - Ghostery Blokowanie obiektów: Szpiegujących, Widżetów, Beaconów reklamowych, Ciastek i skryptów śledzących. Wątpliwości, odnośnie do dalszego rozwoju aplikacji.
  • 21. 2 1 OWASP Zjemy wszystkie ciastka – Self-Destructing Cookies. Każda sesja startuje z czystą przeglądarką, Ciacho na czas sesji, Później znika (lub nie). Maksimum funkcjonalności przy utrudnionym szpiegowaniu.
  • 22. 2 2 OWASP Problem z ciastkami Dziś czysta przeglądarka, bez ciastek i śmieci jest czymś nadzwyczajnym.
  • 23. 2 3 OWASP Nadal można śledzić Niestety złodzieje informacji nadal to robią, Fingerprint stacji, Rozdzielczość, Zmienne widoczne z przeglądarki Czcionki, Przeliczanie wysokości i widoczności divów, Możliwość wykonania konkretnych skryptów, Pula używanych IP, Flash, Silverlight. Tak działają wszystkie znane mi paywalle, Czasami pomaga Blender albo UAControl.
  • 24. 2 4 OWASP Agent pod kontrolą Podmiana User Agent, Działanie per site, Własny agent, zależnie od potrzeb, Przeglądanie „jak to widzi Google”.
  • 25. 2 5 OWASP Brak narzędzi dla firm i „power userów” Pełna kontrola skryptów i instrukcji, Usuwanie overlay, ciastek, reklam, Autousuwanie szpiegów, Zarządzanie obiektami Flash itp. Czyszczenie fingerprintu, Łatwa modyfikacja strony w locie, Zapis jako skrypt… ...by potem uruchomić ten skrypt na proxy. Czy jest proxy, które to umie?
  • 26. 2 6 OWASP Trudne zadanie Żaden ze znanych mi obecnie firewalli nie rozpoznaje kontekstu przeglądarki. Każdy z dodatków wprowadza obcy kod. Komu można zaufać? Co można audytować? Brak narzędzia dla Edge (tylko Firefox i po części Chrome). William Edwards Deming
  • 27. 2 7 OWASP zasady M.Marciniaka Tzw. „Wielka Trójka”: Adblock Plus/uBlock, NoScript, Ghostery. Jej Pomocnicy: Self-Destructing Cookies, UAControl, uMatrix. Jeśli strona WWW używa obcych skryptów, to być może należy poprawić webmastera – zablokować je, Google Analytics (i klony) to wróg publiczny w firmach, Każdy obcy obiekt jest potencjalnym złodziejem, Firefox nie bez powodu posiada menedżer profili. Nie wierz AV, IPS ani WAF. Słuchaj ich razem (=SIEM). Działaj na Linuksie, przeglądarkę identyfikuj jak na Windows XP lub Vista. Lub odwrotnie. Flash? There is a blacklist for that. Albo click-to-play. Gadu-Gadu to pikuś przy Facebooku.