Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
Jak surfować bezpieczniej dzięki Click-to-Play?
Większość złośliwych stron internetowych próbuje zainfekować nasze systemy za pośrednictwem popularnych wtyczek w przeglądarkach internetowych, takich jak Java, czy też Flash. Całkowita rezygnacja z wtyczek może oznaczać brak dostępu do wielu treści, dlatego lepszym rozwiązaniem może być skorzystanie z mało znanej funkcji samych przeglądarek, jaką jest Click-to-Play.
Twórcy złośliwego oprogramowania tworzonego z myślą o masowym infekowaniu internautów jako cel obierają przede wszystkim wtyczki w przeglądarkach internetowych. Nic dziwnego, gdyż Java czy Flash są powszechnie uważane za synonim dziurawego oprogramowania.
Chcąc uniknąć większości ataków typu drive-by download (sytuacja, w której komputer internauty jest infekowany w momencie odwiedzenia złośliwej strony internetowej) pozostaje nam albo skorzystanie ze specjalnego, dedykowanego do bezpiecznego surfowania systemu, albo wyłączenie wtyczek.
Możemy również zastosować trzecie podejście, stanowiące sensowny kompromis pomiędzy bezpieczeństwem i funkcjonalnością, jakim jest ręczne kontrolowanie aktywności wtyczek. Taką możliwość daje nam właśnie funkcja Click-to-Play, obecna niemal we wszystkich współczesnych przeglądarkach internetowych. Po jej aktywacji, działanie wszystkich wtyczek zostanie zablokowane – do czasu ręcznego zezwolenia na uruchomienie lub dodania witryny do listy wyjątków.
Mozilla Firefox
W celu włączenia Click-to-Play w Firefoksie, otwieramy przeglądarkę i w pasku adresowym wpisujemy „about:config”. Po zaakceptowaniu ostrzeżenia naszym oczom ukażą się liczne opcje konfiguracyjne. W celu odnalezienia interesującego nas ustawienia, w polu wyszukiwania wpisujemy „plugins.click_to_play” i przełączamy wartość na „true”.
Od tej pory działanie wszystkich wtyczek zostało zablokowane. Uruchomianie poszczególnych treści jest możliwe poprzez kliknięcie w zablokowany obszar. Możliwe jest również dodawanie całych witryn do wykluczeń – wystarczy tylko kliknąć na niebieski klocek po lewej stronie paska adresowego.
Google Chrome
W przeglądarce firmy Google wystarczy tylko wejść w Ustawienia i w polu wyszukiwania wpisać „wtyczki”. Następnie wybieramy „Ustawienia treści…” i w sekcji „Wtyczki” zaznaczamy „Kliknij, by uruchomić”. Z tego samego poziomu możliwe jest również zarządzanie wyjątkami. Wyjątki można również dodawać podczas surfowania, za pomocą ikony z czerwonym krzyżykiem znajdującej się po prawej stronie paska adresowego.
Opera
Użytkownicy Opery, w celu skorzystania z dobrodziejstw Click-to-Play muszą tylko włączyć funkcję Opera Turbo, która da dokładnie taki sam efekt. Odblokowanie wszystkich wtyczek na stronie jest możliwe korzystając z ikonki – klocka po prawej stronie paska adresowego.
[Aktualizacja]
Jak słusznie zauważył svL w pierwszym komentarzu do wpisu, w Operze możliwe jest również włączenie samego Click-to-Play (Preferencje -> Zaawansowane -> Zawartość -> Zaznaczamy „Włączaj wtyczki tylko na żądanie”.) bez korzystania z całego pakietu „Turbo”.
Internet Explorer
Niestety, użytkownicy IE nie mogą w prosty sposób skorzystać z dobrodziejstw Click-to-Play. Nawet w najnowszej 10. wersji nie uświadczymy odpowiedniej opcji konfiguracyjnej.
Czy w praktyce warto korzystać z funkcji typu Click-to-Play? Moim zdaniem warto spróbować. Jeśli tylko w rozsądny sposób będziemy zarządzać wyjątkami, zachowując dostęp do interesujących nas treści możemy znacząco podnieść odporność naszego systemu na ataki typu drive-by download i to również te wykorzystujące luki zero-day!
– Wojciech Smol, (wojciech.smol<at>sekurak.pl)
Opera turbo ma też inne właściwości, włączenie tylko click-to-play ustawia się w preferencjach -> zaawansowane -> zawartość i zaznaczyć włączaj wtyczki tylko na żądanie.
@svL,
Dodałem aktualizację dla Opery, dzięki za informację.
Dokładnie, włączenie opera turbo może prowadzić do spowolnienia działania Opery na szerokopasmowych łączach. Cały ruch jest kierowany na serwery proxy Opery.
Dzięki za art
@Paweł,
Proszę bardzo i zapraszam do czytania kolejnych ;).
Ale w Chromie, to chyba bardziej trzeba pacnąć „Kliknij, aby uruchomić”, a nie „Blokuj wszystkie” (jeżeli chcemy osiągnąć Click-to-Play:)
Łukasz,
Oczywiście — poprawiłem, chyba podświadomie chciałem by było jeszcze bardziej bezpiecznie!
o jakbym zobaczył rozszerzenie mojego komentarza z http://sekurak.pl/modyfikowanie-tresci-przez-isp/
Dobry temat…
Pozdrawiam
Patryk
Ja to poznałem dawno temu dzięki Operze (chyba pierwsza miała tę opcję w miejscu widocznym dla przeciętnego użytkownika? nie, nie fanboy, używam Chromium) i raczej nie ze względów bezpieczeństwa tego używałem, ale by mi nagle coś znienacka nie zaczęło grać i żebym nie musiał przeszukiwać 20+ kart by to wyłączyć. :p
Jeszcze jeden plus tego jest taki, że nawet jak filtry w AdBlocku nie wyłapią jakiejś reklamy to i tak się jej nie zobaczy.
Jeżeli chodzi o Javę to najlepiej po prostu jej obsługę wyłączyć w przeglądarce… Naprawdę bardzo rzadko kiedy trafiam na coś wymagającego Javy, a nawet jeśli coś takiego jest to zazwyczaj łatwo można znaleźć alternatywę w nie-Javie. Mam obsługę Javy wyłączoną od dawien-dawna i jakoś tego nie odczuwam.
Jest w ogóle coś popularnego i nadal korzystającego z Javy?
@pskosinski
JDownloader ;-)
A click-to-play skutecznie ukróca żywot tego czego adblock nie wyfiltrował.
U mnie w FF plugins.click_to_play jest ustawione na true lecz nic to nie daje.
Gdy tylko wejdę na stronę to zaraz odtwarzają się filmy 8-(
Bo w FF oprócz about:config -> plugins.click_to_play masz jeszcze ustawienia dla każdej wtyczki z osobna. Wchodzisz w dodatki->wtyczki i tam masz dla każej wtyczki drop-box w którym domyslnie masz wybrane „zawsze aktywuj”. Wystarczy dla odpowiednich wtyczek zmienić na „pytaj o aktywację”