Viisi Firefoxin tietoturvaa parantavaa laajennuksta
alun perin julkaistu
Turvallisuus-lehdessä 4/2009.
Copyright Antti Vähä-Sipilä
ja Turvallisuus-lehti 2009.
Artikkeli on julkaistu VALO-CD:llä
tekijän ja Turvallisuus-lehden
toimituksen luvalla.
Laajennukset on asennettavissa
VALO-CD:ltä hakemistosta
ohjelmat/firefox-laajennukset/Lisää laajennuksia löytyy
sivulta addons.mozilla.org
Artikkelin on kirjoittanut Antti Vähä-Sipilä.
Yleensä me kaikki pidämme nettiselaimemme aina ajan tasalla ja käytämme vain uusinta versiota. Käyttäjä voi kuitenkin parantaa selaimen turvallisuutta vielä enemmän. Suosittuun Mozilla Firefox -selaimeen voi kerätä lisä toimintoja lisäosilla. Esittelen tässä viisi selailuturvallisuutta lisäävää lisäosaa, joita kaikkia käytän itse aktiivisesti.
Turvallisuutta lisäävät lisäosat ovat nimeltään Petname, NoScript, Flashblock, Adblock Plus ja Cookie Button.
Petname: hauska nähdä vanha tuttu
Salattujen yhteyksien käytön yksi suurimmista ongelmista on se, että pelkkä lukon kuva ruudulla ei paljon toisessa päässä pyörivästä palvelimesta kerro. Harvat myöskään jaksavat katsella varmenteiden tietosisältöä läpi, ja toisaalta ilkeillekin sivustoille myönnetään ihan aitoja varmenteita.
Petname perustuu nerokkaan yksinkertaiseen ideaan: yleensä salatut sivustot ovat niitä, joilla käyttäjä on käynyt ennenkin, kuten nettipankkeja tai kauppoja. Jos sivustolle nyt tullaan uudemman kerran, ei käyttäjän oikeastaan tarvitsisi enää tarkistaa sivuston oikeellisuutta – riittää, kun hän vain voi olla varma siitä, että kyseinen sivusto on sama kuin edellisellä kerralla.
Petname pyrkii tekemään tästä mahdollisimman helppoa. Kun menet kantapaikkaasi ensimmäistä kertaa Petnamen asennuksen jälkeen, lisäosa ei vielä tunne sivustoa ja ilmoittaa siitä selaimen kulmassa nököttävässä laatikossa. Klikkaamalla tähän laatikkoon voit antaa tälle sivulle haluamasi lempinimen, vaikkapa ”mun nettipankkini”.
Tästä eteenpäin lukkoikoneita ja varmenteiden analyysiä ei tarvita. Aina tälle suojatulle sivustolle tullessasi lisäosan laatikko muuttuu vihreäksi ja näet heti, että kyseessä on vaikkapa tämä "mun nettipankkini". Syytä huoleen on vasta sitten, kun surffaat nettipankkiisi tai klikkaat linkkiä sähköpostista ja laatikko ei enää värjäydykään vihreäksi. Silloin on parasta ottaa aikalisä, sillä jokin on pielessä.
Petname-lisäosan vihreä laatikko (oikealla) toivottaa
kävijän tervetulleeksi aiemminkin käytettyyn verkkokauppaan.
Nappularivistössä näkyvissä myös Adblock Plus ja Cookie Button.
NoScript: takaisin 90-luvulle
Selain ei enää aikoihin ole ollut pelkkä sivunnäyttöohjelma. Nykyään selaimet ovat monipuolisia ohjelmien ajoympäristöjä ja sivustot käyttävät selaimessa suoritettavia ohjelmanpätkiä, skriptejä, erityisesti käytettävyyden sujuvoittamiseen.
Skriptit tuovat mukanaan myös paljon riskejä ja joissakin tapauksissa jopa muutoin luotettavakin sivusto voi päätyä tarjoilemaan vaikkapa hyökkääjän sinne asettamia ohjelmanpätkiä. NoScript-lisäosa poistaa oletusarvoisesti kaikki skriptit käytöstä. Monille sivuille tämä on tietenkin toiminnallisesti turmiollista, mutta selaimeen ilmestyy pieni nappula, josta käyttäjän nimeämien luotettujen palvelinten skriptit saa kytkettyä päälle joko väliaikaisesti tai pysyvästi.
NoScript estää myös Flash-animaatiot ja Java-sovelmat kaikilta muilta paitsi luotetuilta sivuilta sekä pystyy suojelemaan käyttäjää tiettyyn rajaan asti joiltakin nimenomaisilta hyökkäystavoilta kuten nk. Cross- Site Scripting-hyökkäyksiltä, joissa luotetulle sivulle yritetään uittaa pahansuopaa koodia.
NoScriptiä pidetään yhtenä parhaimmista selainturvallisuutta lisäävistä lisäosista, mutta sen runsaiden sivuvaikutusten vuoksi sen käyttö saattaa ainakin aluksi – ennen kuin tärkeimmät sivustot on merkitty luotetuiksi – olla melko haastavaa.
CNN.com -sivuston skriptit tulevat useasta eri
lähteestä. NoScript-lisäosan valikosta voi kunkin lähteen erikseen
kieltää tai sallia.
Flashblock: vähemmän vilkkuvia valoja
Flashblock-lisäosa estää Adobe Flash- ja Shockwave-sisältöä latautumasta automaattisesti sivun mukana ja suojelee tällä tavalla selainta mahdollisilta Flash-näyttimen tietoturva-aukoilta.
Jos kyseinen Flash-animaatio kuitenkin on sivuston toiminnan kannalta oleellinen, Flash-animaation tilalle ilmestyvästä play-napista painamalla Flash-animaatio latautuu ja käynnistyy. Usein käytetyt ja luotetut sivustot voi laittaa sallittujen sivustojen listalle, jolloin niiden Flash-animaatiota ei joka kerta erikseen tarvitse klikkailla käyntiin.
Sivuvaikutuksena Flashblock nopeuttaa surffailua esimerkiksi takamaiden kännykkäverkoissa. Kaikkea turhaa Flash-kilkutinta kun ei ole tuolloin pakko ladata hitaan yhteyden yli.
Adblock Plus: mainokset pois
Merkittävässä määrin mainosrahoitteisen Internetin kannalta on hieman huolestuttavaa, että mainoslinkkien kautta tarjoillaan myös tietoturvamielessä epäilyttävää tavaraa. Eräs vuonna 2006 julkaistu tutkimus totesi, että esimerkiksi hakukoneiden mainoksien kautta löytyy merkittävästi enemmän pahantahtoista sisältöä kuin itse hakutuloksia seuraamalla. Vaikka itse jättäisikin mainokset klikkaamatta, Adblock Plus -lisäosa saattaa hillitä muiden koneen käyttäjien intoa seurata niitä.
Lisääntyneen turvallisuuden lisäksi mainosten suodattaminen säästää myös hermoja. Kun mainoksetonta Internetiä on käyttänyt muutaman viikon, tavallisen mainosrahoitteisen sivuston aukaisu ilman Adblock Plussaa tuntuu lähinnä migreenikohtaukselta.
Adblock Plussan asennuksen yhteydessä käyttöön tulee valita yksi tarjotuista sensuurilistoista, johon mainossuodatus perustuu. Lisäosa imuroi päivitykset estolistaan automaattisesti. Tämän jälkeen Adblock Plus ei juuri ongelmia aiheuta – sivustot vain näyttävät siistimmiltä ja latautuvat nopeammin. Tämän vuoksi myös Adblock Plus päätyy helposti mobiilietäkäyttäjän lisäosa-arsenaaliin. Halutessaan käyttäjä voi toki kytkeä mainokset tiettyjen sivustojen osalta erikseen päälle.
Cookie Button: seuranta hankalammaksi
Selainten evästeet (englanniksi "cookie") ovat pieniä tiedonpaloja, joilla sivustot voivat muodostaa istuntoja. Valitettavasti ne mahdollistavat myös käyttäjän profiloinnin, jolloin ne voidaan kokea yksityisyyden suojan uhkana. Erityisesti EU:n ulkopuolella, jossa ei ole yhtä kattavaa yksityisyydensuojalainsäädäntöä, evästeitä käytetään häikäilemättömämmin eri sivustojen välillä käyttäjän toimien seurantaan.
Selainten yksityisyysasetuksissa on yleensä evästeiden hyväksymiselle erilaisia vaihtoehtoja, mutta niiden sujuva käyttö voi olla hankalaa. Cookie Button tuo evästeiden hyväksymisen kätevästi selaimen työkalupalkkiin. Voit esimerkiksi oletusarvoisesti kieltää kaikki evästeet ja sallia istuntokohtaiset evästeet vasta saapuessasi sivustolle - yleensä silloin, kun sivusto valittaa puuttuvista evästeistä.
Lisäosien ongelmat
Liiallisuuksiin ei lisäosien haalimisessa kannata mennä. Jokainen lisäosa tuo mukanaan riskejä, jotka voivat esiintyä selaimen toimimattomuutena ja vaikkapa päivitysongelmina. Hämäräperäisistä lähteistä asennetut lisäosat voivat myös olla tietoturvariskejä. Ja kuten selaimenkin osalta, lisäosatkin on pidettävä ajan tasalla.
Koska nämä turvallisuutta lisäävät lisäosat perustuvat lähinnä turvattomien ominaisuuksien poistamiseen käytöstä, niiden asennus saattaa hankaloittaa joidenkin sivustojen käyttöä. Esimerkiksi monien sivujen Flash-sisältö vaatii ensin skriptien sallimisen NoScriptistä ja heti perään Flashin käynnistämisen Flashblockista. Yleensä tämä ei ole erityisen hankalaa, mutta harmaita hiuksia saattaa kertyä erityisesti NoScriptin ja Cookie Buttonin yhteisvaikutuksena silloin, kun oletusarvona on evästeiden hylkääminen. Tällöin uudelleenohjaukset eri sivustoille vaikkapa verkkokaupan maksutapahtumaa varten saattavat mennä rikki, ellei kumpaakin sivustoa ole merkitty luotetuksi. Lisäksi evästeiden ja skriptien sallimisen jälkeen sivu on ladattava uudestaan.
Yksi ratkaisu tähän ongelmaan on kahden selaimen politiikka: jokapäiväinen surffailu ja erityisesti vapaamuotoinen verkossa samoilu hoituu turvalliseksi säädetyllä Firefoxilla ja satunnaisia (harvinaisia) huonosti suunniteltuja sivustoja varten voi käynnistää kaikilla herkuilla varustetun Safarin tai Internet Explorerin. Silloin vain täytyy edetä kieli keskemmällä suuta ja pitää tämä kakkosselainkin ajan tasalla.