Wat kunnen we allemaal doen aan extra veiligheid op het internet en waarom zijn er zo veel gevaren?

Browsers op het internet, wat hebben ze gemeen (behalve misschien dat ze de “internetknop” zijn)? Ze kunnen geen onderscheid maken tussen kwaadaardige inhoud en goedaardige. Omdat deze tekortkoming moest worden aangepakt, werd de beveiliging van de inhoud geïntroduceerd.

Wat zorgt ervoor dat inhoud kwaadaardig wordt?

Veel van deze kwaadaardige inhoud kan ofwel cross-site scripting (XSS) of clickjacking zijn. Clickjacking is, zoals de term al aangeeft, een vorm van het verbergen van een hyperlink in de klikbare inhoud van een andere website. Op deze manier wordt de gebruiker gelokt naar acties waarvan hij zich niet bewust is, maakt hij klikken die hij nooit bedoeld heeft en onthult hij mogelijk waardevolle of zelfs vertrouwelijke informatie aan de aanvaller.

Welke zaken zien we momenteel veel tegenkomen op het internet?

Cross-site scripting daarentegen kan veel gevaarlijker zijn, omdat het 84% van de beveiligingsproblemen veroorzaakt. Cross-site scripting valt in de categorie van de code-injectie, aangezien de kwaadwillende inhoud in de website opneemt en toegang krijgt tot alle informatie onder de paraplu van de legitieme site.

Deze twee vormen de meest voorkomende aanvallers van een website die hetzelfde herkomstbeleid omzeilt. Dit beleid is een belangrijk veiligheidsaspect van de webwereld, aangezien het mechanisme ervan is dat het twee webpagina’s alleen koppelt als ze dezelfde oorsprong hebben. In de praktijk betekent dit dat als iemand kwaadaardige inhoud in de ene webpagina injecteert, hij geen toegang kan krijgen tot de informatie van een andere pagina.

Wat kan ik als beginner doen om veiliger op het internet te zijn?

Dit model waarborgt de vertrouwelijkheid van gegevens, aangezien de eigenaar van de website veilige, betrouwbare en dus witte lijsten met inhoud levert en een breed scala aan soorten inhoud omvat, zoals HTML5, JavaScript, CSS, afbeeldingen, audiobestanden en vele andere. De Content Security Policy standaard stelt eigenaren in staat om de inhoud van hun website vooraf te definiëren, of het nu gaat om inline scripts, of om bronnen.

Elke pagina kan een standaard beveiligingsbeleid hebben om de schade te minimaliseren in dergelijke gevallen waarin een aanvaller al kwaadaardige inhoud heeft geïnjecteerd. Er zijn bijvoorbeeld veel manieren waarop de eigenaar kan specificeren welke content veilig is en dus welke men zonder problemen in elke pagina kan laden. De meest gebruikelijke zijn:

1) Vertrouw alleen scripts van dezelfde bron via HTTPS

2) De geladen beelden moeten afkomstig zijn van een bepaald CDN

3) Frames of inline scripts mogen niet worden toegestaan.

4) Laat alleen lettertypes van Google Fonts toe