你的信用卡号码和用户密码正在被人窃取,而你真的不知道!这篇文章会告诉你,你的功能强大的浏览器是多么的脆弱;这篇文章也会教你,如何用最新的工具,用特定的策略窃取用户资料;最后,作者提供了怎样才能安全地在这个网络世界生活的方式,其中之一是独自生活在与世隔绝的森林里。
木马软件的代码本身是非常的简单,难的是怎么把它种在用户电脑里,悄悄的运行,不被发觉,不被跟踪。现在最脆弱最能被利用的是npm——一个强大的工具,现代网站开发都离不了它。于是,用户可能为了某一功能,安装了某个npm包,而这个包却有一个依赖包,被伪装得很和善的样子,也被安装了。正是这个依赖包成了一个蚂蚁窝,最终让整个千里的堤坝崩溃了。也许,“内容安全策略”CSP是一个比较好的安全方案,然而一个必须和外界交流的信息的网站服务必定可以找得到某个漏洞,就像文中提到的Twitter的CSP允许from-action的例子,可以被黑客利用。
所以,除了生活得与世隔绝以外,最好不要安装第三方软件包,同时把需要提供用户资料信息的的地方用安全的干净的iFrame隔离起来,毕竟,你可能不得不安装某些npm包。
