Su questa pagina: [nascondere]
Hai mai considerato cosa c'è dietro la sicurezza web di Chrome? Noi di HowToHosting.guide ti forniremo una rapida panoramica della sicurezza dietro il browser di Google, quali impostazioni potresti modificare, e quali opzioni hai a disposizione per i vari sistemi operativi.
Cominciamo spiegando brevemente cos'è la sicurezza web – è anche chiamato WebAppSec, che si occupa della sicurezza dei siti web, servizi web, e applicazioni. Utilizza principi presi dal livello di sicurezza dell'applicazione ai sistemi basati sul web, ove disponibili.
Google implementa le funzioni di sicurezza nel suo browser, come la protezione da siti e download ingannevoli e pericolosi. Inoltre, tecnologie avanzate come l'isolamento del sito, sandboxing, e la protezione predittiva dal phishing tiene a bada le minacce. Con Google che aggiorna il browser regolarmente ogni sei settimane, le patch per i bug scoperti di recente arrivano non appena sono necessarie.
La protezione di Google Chrome è molto più complicata di quanto tu possa immaginare. Non solo è sviluppato per i principali sistemi operativi e le loro forchette, ma è anche aggiornato frequentemente. Google invita anche gli hacker e gestisce programmi di bug bounty, così i bug possono essere rimossi rapidamente dopo che sono stati scoperti.
Che cos'è la condivisione delle risorse tra le origini?
Esaminiamo più da vicino una delle politiche sulla sicurezza online, che è cruciale – la politica CORS. CORS sta per Cross-Origin Resource Sharing, ed è al centro dei meccanismi di sicurezza di Chrome. Nella suddetta abbreviazione, la parola
CORS è bloccato nei browser moderni per impostazione predefinita (nelle API JavaScript). È bloccato per impedire l'accesso dannoso o il caricamento di script da siti Web pericolosi su altri, il che significa nessuna condivisione tra domini.
Il criterio CORS impedisce ai siti Web dannosi di sfruttare le informazioni sensibili archiviate nel computer di un utente da vari siti Web. Poiché la politica CORS non consente richieste a un file origine, i siti Web dannosi non possono inviare richieste a siti Web utilizzando dati sensibili. Se le credenziali di un utente vengono salvate localmente sul suo computer dal sito web che sta utilizzando, un sito Web dannoso non è in grado di leggere queste credenziali, né inviare una richiesta al sito web in cui si trova l'utente.
Come abilitare e disabilitare la sicurezza web in Chrome?
La disabilitazione del criterio che impedisce il funzionamento di CORS non è consigliata per gli utenti medi, ma molti sviluppatori ne hanno bisogno per i test. Se sei uno sviluppatore o qualsiasi altro ingegnere del software che desidera eseguire richieste Ajax interdominio in applicazioni online in modo efficiente, ci sono alcuni modi per farlo. Se devi disabilitarlo, quindi dovresti anche rimetterlo a posto.
L'installazione di un'estensione del browser progettata specificamente per attivare e disattivare CORS con un semplice clic di un pulsante è un modo pratico per consentire l'accesso ai file alle richieste Ajax cross-site su JavaScript e altro. Non tutte queste estensioni funzionano come previsto, e alcuni di essi non vengono aggiornati. Oltretutto, potrebbero avere bug o persino contenere codice dannoso, quindi cerca bene quali estensioni del browser ti consentirebbero di utilizzare CORS correttamente e come previsto.
Chrome Web Security per Windows, MAC, Linux e Android
CORS, essendo una parte essenziale per la protezione degli utenti è anche etichettato con sicurezza web nella riga di comando del browser di Google. Questo è ciò a cui le persone di solito lo associano e ciò che è compreso da Chrome WebSec.
Ecco come disabilitare tale protezione per ogni piattaforma diversa:
Disabilitazione di CORS nel sistema operativo Windows
premi il Inizio pulsante
genere CMD e verrà visualizzato il prompt dei comandi
Fare clic con il tasto destro su Prompt dei comandi e seleziona Esegui come amministratore per eseguirlo in modalità amministratore
Immettere il seguente flag della riga di comando
→ taskkill / F / IM chrome.exe
Ciò terminerà tutte le schede e le istanze di Chrome, ovunque in Windows.
Per disabilitarlo in per Windows, Digita il seguente:
→ “PATH_TO_CHROME chrome.exe” –disabilita-web-security –disable-gpu –user-data-dir = ~ / chromeTemp
Adesso, è necessario ottenere la posizione della cartella di installazione di Google Chrome e digitarla al posto di PATH_TO_CHROME chrome.exe.
Disabilitazione di CORS in MAC OSX
Per disabilitarlo nel browser di Google per MAC, Digita il seguente:
Esegui il browser Chrome senza criterio CORS (CORS abilitato) per MAC OSX
Disabilitazione di CORS nel sistema operativo Linux
Per disabilitarlo per Linux, Digita il seguente:
Esegui il browser Chrome senza criterio CORS (CORS abilitato) per sistema operativo Linux
Disabilitazione di CORS in Android
Disabilitare la policy in Android può essere complicato. Ti suggeriamo di provare a trovare un'estensione che funzioni su Android. Nel caso in cui non ne trovi, di seguito mostreremo ciò che sappiamo potrebbe funzionare:
Esegui il browser Chrome senza criterio CORS (CORS abilitato) per Android
Speriamo che questo sia tutto ciò di cui hai bisogno. Tutto ora funziona come previsto. E puoi iniziare la tua sessione di test e debug. Dai una rapida occhiata all'ultima sezione per un avviso corretto e ulteriori informazioni sulle impostazioni mostrate e utilizzate nell'articolo.
Leggi anche Cos'è la sicurezza web?
Cosa c'è da sapere su queste impostazioni?
Nuove vulnerabilità e bug vengono alla luce ogni giorno. Le tecnologie di sicurezza web devono essere messe in atto per combatterle efficacemente. La sicurezza deve evolversi più velocemente delle minacce imminenti. Le impostazioni e le modifiche fornite in questo articolo sono a scopo di test di siti Web nuovi o configurati in modo errato.
Il debug e il test potrebbero rivelarsi molto utili nelle mani degli sviluppatori, ma non deve essere utilizzato quotidianamente dagli utenti medi. Per non parlare del fatto che un browser non funzionerà correttamente o adeguatamente in alcuni casi se i comandi sono impostati. Per mantenere intatta la protezione del tuo sito web e il corretto funzionamento dei browser, non manomettere le impostazioni a meno che non le capiate, e sei pienamente consapevole delle possibili implicazioni.
Si noti che questo pezzo è stato scritto alla fine di settembre 2020, e le impostazioni potrebbero cambiare leggermente nel tempo, sebbene il concetto di base rimanga lo stesso. Per Windows, i comandi sono per il prompt dei comandi e non per PowerShell. Potrebbe essere visualizzato un messaggio di avviso nelle versioni precedenti di Chrome, ma ciò non dovrebbe impedirti di eseguire test effettivi.