Firefox chặn các tập lệnh mã hóa được ẩn mặc định trên các trang web

Diễn đàn - Ngày đăng : 10:08, 16/04/2019

Bản phát hành sắp tới của Firefox sẽ cung cấp cho người dùng một tính năng mới chặn hai vấn đề ngày càng phổ biến trên web ngày nay: tập lệnh vân tay (fingerprint scripts) và tiền ảo (cryptojacking).

Kết quả hình ảnh cho Firefox to block cryptomining scripts hidden on websites by default

Vân tay cho phép các công ty quảng cáo âm thầm theo dõi người dùng trên web và kiếm lợi từ hoạt động và sở thích của người dùng.

Tập lệnh đào tiền ảo được coi là “những kẻ ăn bám” lợi dụng lợi ích của JavaScript khai thác tiền ảo trên các trang web và bí mật loại bỏ bộ xử lý trung tâm (CPU) của khách hàng truy cập để 'kiếm' tiền.

Tiền ảo dựa trên web ngày càng được phát triển từ khi ra mắt công cụ khai thác Monero dựa trên JavaScript. Mặt khác, mã độc đào tiền ảo Coinhive đã nhanh chóng mã hóa hoặc chiếm quyền điều khiển bộ xử lý trung tâm (CPU) của nạn nhân thông qua trình duyệt để khai thác tiền ảo.

Mozilla đã tiết lộ rằng Firefox Nightly 68 và Firefox Beta 67 sẽ bao gồm các biện pháp bảo vệ chống lại cả hai mối đe dọa. Danh sách đen được thực hiện bởi Disconnect, một nhà sản xuất VPN nổi tiếng với những nỗ lực chống theo dõi.

Catalin Cimpanu của ZDNet đã tiết lộ Mozilla đã có những nỗ lực chống lại dấu vân tay bằng cách sử dụng 'hộp thư' trong Firefox 67 vào tuần trước. Tuy nhiên, Mozilla hiện đã chia sẻ chi tiết hơn về những nỗ lực đó và các biện pháp bảo vệ liên quan đến chống lại tiền ảo.

Mozilla đang thực hiện cách tiếp cận đa chiều với mục đích lấy dấu vân tay. Hộp thư (Letterboxing) có vai  trò ngăn chặn kỹ thuật gắn thẻ trình duyệt. Phần thứ hai là thu thập một danh sách đen các trang web sử dụng ngôn ngữ lập trình dấu vân tay và các trang web sử dụng ngôn ngữ lập trình đào tiền ảo.

Tính năng chặn ngôn ngữ lập trình hiện là một phần trong cài đặt 'Chặn nội dung' của Firefox trong tab 'Quyền riêng tư và bảo mật'. Trong phần 'Chặn nội dung', người dùng Firefox có thể tích chặn một hoặc cả hai công nghệ đào tiền ảo và dấu vân tay.

Kết quả hình ảnh cho Firefox to block cryptomining scripts hidden on websites by default

"Sau khi được kích hoạt, Firefox sẽ chặn bất kỳ ngôn ngữ liên quan đến đào tiền ảo và dấu vân tay được xác định bởi công cụ bảo mật. Arthur Edelstein của Mozilla cho biết thêm rằng các biện pháp bảo vệ sẽ được bật ở chế độ mặc định trong vài tuần tới.

Firefox 67 dự kiến sẽ phát hành vào giữa tháng 5. Từ giờ cho đến khi phát hành, Mozilla đang tìm kiếm và thu thập phản hồi về hiệu quả của các biện pháp bảo vệ mới. Giống như hầu hết các giải pháp bảo mật, Mozilla thực hiện bảo mật mới không được chặt chẽ. Danh sách đen do Disconnect cung cấp, có thể không đầy đủ hoặc trở nên lỗi thời vì các trang web sẽ bổ sung các ngôn ngữ lập trình vi phạm mới. Hơn nữa, có rất nhiều kỹ thuật để lấy dấu vân tay của thiết bị thông qua các trình duyệt không được xem xét đến. Tuy nhiên, có một số cách bảo mật còn hơn là không có gì và có thể thu hút người dùng đang tìm lý do không muốn sử dụng Chrome.

Mozilla cho biết họ có kế hoạch tiếp tục làm việc với Disconnect để cải thiện và mở rộng tập hợp các tên miền bị Firefox chặn. Mozilla cũng lo ngại rằng việc bật tính năng này có thể phá vỡ một số trang web trong trình duyệt. Tuy nhiên, nhà sản xuất trình duyệt xác nhận rằng Mozilla có kế hoạch kích hoạt các bảo vệ chặn một số tên miền theo mặc định trong các bản phát hành Firefox trong tương lai.

Ngọc Phượng, Chu Thanh Hòa, Lâm Thị Nguyệt