مدت‌ها بود جاوا اسكريپت‌ به عنوان يكي از كاربردي‌ترين ابزار تحت وب به كار گرفته مي‌شد اما همين ابزار سودمند به ابزار مناسبي براي خرابكاري در رايانه تبديل شده بود. البته هنوز هم جاوا اسكريپت كاربرد گسترده‌اي دارد اما اين كاربرد دائما در حال كاهش است و جايگزين‌هاي متعددي براي آن پيشنهاد شده است.

با اين كه همه مرورگرها از اجراي اسكريپت‌ها پشتيباني مي‌كنند اما اجراي يك جاوا اسكريپت همچنان ناخوشايند محسوب مي‌شود و روش‌هاي گوناگوني براي سد كردن راه اسكريپت‌ها ابداع شده است.

اين موضوع باعث شد تا برخي از متخصصان امنيت احساس كنند اوضاع به سمت و سوي امنيت در حال حركت است اما آزمايش‌هاي گوناگون روي مرورگرها نتايج ديگري را نشان داد.

موزيلا با فراخواني متخصصان امنيت، تقاضا كرد تا با استفاده از روش‌هاي مختلف به مرورگر اين شركت حمله كنند و آسيب‌پذيري‌هاي آن را تشخيص دهند. فايرفاكس به طور چشم‌گيري در نسخه‌هاي 8 و 9 در مقابل حملات اسكريپت و XSS مقاوم شده است و اين موضوع باعث شد كه مهاجمان به فكر روش‌هاي ديگري باشند. آغاز كشف راه‌هاي تازه براي حمله به فايرفاكس، پرده از آسيب‌پذيري‌هايي برداشت كه بسيار وحشتناك به نظر مي‌رسد و در عين حال نه تنها فايرفاكس، بلكه تمام مرورگرهاي امروزي را تهديد مي‌كند.

آقاي Mario Heiderich يكي از متخصصان شناخته شده امنيت در جهان است كه در آزمايش روي فايرفاكس شركت داشته است. وي با ارسال يك ايميل به مدير موزيلا از كشف آسيب‌پذيري جديد فايرفاكس پرده برداشت. اين آسيب‌پذيري در شرايطي كه هيچ اسكريپتي در حال اجرا نيست، كاملا مهلك عمل مي‌كند. به بركت HTML 5 و ديگر زبان‌هاي برنامه‌نويسي تحت وب، مي‌توان بسياري از كارها را بدون اجراي اسكريپت‌ها انجام داد و اپليكيشن‌هاي تحت وب را به سادگي و با قدرت بيشتري توسعه داد. نمونه اين اپليكيشن‌ها را مي‌توان در بازي‌هاي كوچك تحت وب يافت. بازي‌هايي كه به بازيكن اجازه مي‌دهند يك بازي ماشين را در صفحه مرورگر خود بازي كنند.

تقريبا تمام زبان‌هاي برنامه‌نويسي به وب‌نويسان اجازه مي‌دهند برخي از دكمه‌هاي صفحه كليد را در سايت خود Bind كنند. عمل Bind كردن به اين معناست كه فشردن دكمه خاصي در محيط وب سايت، عمل يا اعمال خاصي را انجام دهد. وقتي با فشردن دكمه‌هاي صفحه‌كليد ماشين بازي تحت وب را هدايت مي‌كنيد، مي‌توانيد با فشار هر دكمه دستورات ديگري نيز صادر كنيد كه هيچ نمود خارجي خاصي ندارند اما بسيار خطرناك هستند.

فشردن دكمه‌ها در صفحات وب مي‌تواند براي يك سايت خاص يك درخواست يا حتي مجوز تلقي شود. اين چنين مجوزي مي‌تواند كوكي ايجاد كند، يك فايل فلش را راه‌اندازي كند و يا بخشي از حافظه Cache مرورگر را براي سايت ارسال كند. در عمل سايت در حال انجام عمل Key Logging است اما دكمه‌هايي كه احتمالا به شكل بي‌معني سرقت مي‌شوند، خروجي معنايي ندارند، بلكه به عنوان يك دستور و يا مجوز از آن‌ها بهره‌برداري مي‌شود.

همه مرورگرهاي امروزي مي‌توانند به اين شكل مورد حمله واقع شوند. از همين رو مايكروسافت، اپل، موزيلا، اپرا و گوگل به طور همزمان كار را براي رفع اين مشكل در مرورگر خود آغاز كرده‌اند. در واقع اين مشكل به طور مستقيم به خود سازندگان مرورگرها باز مي‌گردد اما يك كاربر مي‌تواند حتي از يك مرورگر آسيب‌پذير استفاده كند و كم‌تر مورد تهديد قرار گيرد.

يكي از خطرناك‌ترين كارهايي كه مي‌توان با استفاده از اين روش انجام داد، سرقت اطلاعات از ديگر صفحات و يا سربرگ‌هاي مرورگر است.

ممكن است صفحه فيس‌بوك، صفحه پست الكترونيك و يا صفحه بانكي كاربر در يكي از سربرگ‌ها باز باشد و امكان سرقت اطلاعات شخصي وي و يا اجراي دستورات خاص از همين طريق صادر شود. نكته اين جاست كه كل آسيب‌پذيري به فضاي دسترسي مرورگر محدود مي‌شود و هنوز اثبات نشده است كه بتوان از اين طريق به سيستم‌عامل آسيبي رساند. بنابراين با يك ترفند ساده مي‌توان آسيب‌پذيري را به حداقل رساند.

متخصصان امنيت به كاربران توصيه كرده‌اند تا زمان رفع اين آسيب‌پذيري از دو مرورگر استفاده كنند. يكي از مرورگرها تنها براي انجام فعاليت‌هاي حساس به كار گرفته شود، در حالي كه هرگونه فعاليت خطرناك و يا غير قابل پيش‌بيني به وسيله اين مرورگر خاص، ممنوع تلقي شود. براي انجام امور غير قابل پيش‌بيني مانند جست‌وجوي صفحات، مرور وب به طور تصادفي، مطالعه اخبار و يا باز كردن لينك‌هاي ناشناس نيز از مرورگر ديگري استفاده شود كه تنها براي انجام امور غير ضروري و كم اهميت در نظر گرفته شده است.

برگرفته از بايت مورخ چهارشنبه 1390/11/05