Ngoài ra, trên Internet không chỉ có một loại chứng chỉ, mà có nhiều cấp độ chứng chỉ. Loại phổ biến nhất mà lúc nào bạn cũng thấy chỉ xác định tên miền thuộc về người đã yêu cầu chứng chỉ thông qua hình thức xác minh qua email. Người yêu cầu có thể là bất kỳ ai, nhưng điều đó không quan trọng, vì điều quan trọng là website đó có chứng chỉ được trình duyệt của bạn công nhận. Điều này cũng đúng với loại chứng chỉ thứ hai là chứng chỉ tổ chức. Tức là website đó dùng chung chứng chỉ với các website khác có liên quan đến cùng một tên miền – nói cách khác, tất cả các tên miền phụ trên mitnicksecurity.com sẽ dùng chung một chứng chỉ.
Cấp xác thực chứng chỉ nghiêm ngặt nhất là là chứng chỉ xác thực mở rộng (extended verification certificate). Trên tất cả các trình duyệt, khi chứng chỉ xác thực mở rộng được cấp, một số phần của URL sẽ chuyển sang màu xanh (thông thường là màu xám). Khi nhấp chuột vào địa chỉ website – www.mitnicksecurity.com – bạn sẽ thấy có thêm các thông tin chi tiết về chứng chỉ và chủ sở hữu chứng chỉ, thường là tên thành phố và tiểu bang đặt máy chủ cung cấp website. Việc xác thực sự tồn tại trong thế giới thực này hàm ý rằng công ty đang giữ URL này là hợp pháp và đã được xác thực bởi một đơn vị chứng thực thứ ba đáng tin cậy.
Có thể bạn đã biết rằng trình duyệt trên thiết bị di động có thể theo dõi vị trí của bạn, nhưng hẳn là bạn sẽ ngạc nhiên khi biết trình duyệt trên máy tính cá nhân truyền thống cũng làm như vậy. Đúng là thế đấy. Bằng cách nào?
Bạn còn nhớ phần tôi giải thích về việc siêu dữ liệu email chứa địa chỉ IP của tất cả các máy chủ xử lý email trên đường di chuyển đến bạn không? Một lần nữa, địa chỉ IP đến từ trình duyệt của bạn có thể xác định nhà cung cấp mà bạn đang sử dụng và khoanh vùng khu vực mà bạn đang ở.
Lần đầu tiên bạn truy cập một website yêu cầu cung cấp thông tin cụ thể về vị trí của bạn (chẳng hạn một website thời tiết), trình duyệt sẽ hỏi bạn có muốn chia sẻ dữ liệu đó với website trên hay không. Lợi ích của việc chia sẻ dữ liệu là website có thể tùy chỉnh danh mục cho bạn. Ví dụ: trên trang washingtonpost.com, có thể bạn sẽ thấy quảng cáo của các doanh nghiệp trong vùng nơi bạn đang sinh sống thay vì ở nơi khác.
Bạn không nhớ trước kia đã trả lời câu hỏi đó của trình duyệt hay chưa? Vậy hãy vào trang kiểm tra ở địa chỉ http://benwerd.com/lab/geo.php. Đây là một trong nhiều website kiểm tra cho bạn biết liệu trình duyệt bạn đang dùng có báo cáo vị trí của bạn hay không. Nếu có nhưng bạn muốn ẩn danh, hãy tắt tính năng này. Điều may mắn là bạn có thể tắt tính năng theo dõi vị trí của trình duyệt. Với Firefox, gõ chữ “about: config” vào thanh địa chỉ URL. Kéo xuống mục “geo” (địa lý) và thay đổi cài đặt thành “disable” (tắt). Lưu những thay đổi của bạn. Với Chrome, vào phần Options>Under the Hood[55] >Content Settings>Location (Tùy chọn>Nâng cao>Cài đặt nội dung>Vị trí). Tùy chọn “Do not allow any site to track my physical location” (Không cho phép bất kỳ trang nào theo dõi vị trí thực của tôi) sẽ tắt tính năng định vị trong Chrome. Các trình duyệt khác cũng có các tùy chọn cấu hình tương tự.
[55] Phiên bản Chrome mới hiện đã thay mục “Under the Hood” thành “Show advanced settings” ở cuối trang cài đặt.
Nếu muốn vui chơi một chút, bạn cũng có thể giả mạo vị trí của mình. Nếu muốn gửi đi thông tin tọa độ giả – ví dụ Nhà Trắng – trong Firefox, bạn có thể cài đặt một plugin có tên là Geolocator. Với Google Chrome, hãy vào mục cài đặt sẵn có tên “emulate geolocation coordinates” (Mô phỏng tọa độ vị trí địa lý) của plugin. Với Chrome, nhấn tổ hợp Ctrl+Shift+I trên Windows hoặc Cmd+Option+I trên Mac để mở Chrome Developer Tools (Công cụ nhà phát triển Chrome). Cửa sổ bảng điều khiển sẽ mở ra, và bạn có thể nhấp vào biểu tượng ba dấu chấm xếp theo chiều dọc ở phía trên cùng bên phải bảng điều khiển, sau đó chọn more tools>sensors (thêm công cụ>cảm biến). Một thẻ cảm biến sẽ xuất hiện để bạn có thể xác định vĩ độ và kinh độ cụ thể muốn chia sẻ. Bạn có thể sử dụng dữ liệu vị trí của một địa điểm nổi tiếng hoặc một vị trí nào đó giữa đại dương. Website sẽ không thể biết thực sự bạn đang ở đâu.
Bạn không những có thể giấu vị trí thực mà còn giấu được cả địa chỉ IP. Ở phần trước, tôi đã nói rằng Tor thực hiện ngẫu nhiên hóa địa chỉ IP hiển thị cho website mà bạn đang truy cập. Nhưng không phải website nào cũng chấp nhận lưu lượng Tor. Chính Facebook mãi đến gần đây mới chấp nhận. Đối với những website không chấp nhận các kết nối Tor, bạn có thể sử dụng proxy.
Một proxy mở là một máy chủ xen giữa bạn và Internet. Ở chương 2, tôi đã giải thích rằng proxy có vai trò như một người phiên dịch – bạn nói với người phiên dịch, rồi anh ta nói lại cho người nói tiếng nước ngoài nghe, nhưng nội dung thông điệp vẫn giữ nguyên. Tôi đã sử dụng từ này để nói về khả năng một người ở một quốc gia thù địch gửi cho bạn một email giả vờ là từ một quốc gia thân cận.
Bạn cũng có thể sử dụng proxy để truy cập vào các website bị giới hạn địa lý – ví dụ, trong trường hợp bạn sống ở một quốc gia giới hạn khả năng tiếp cận Google để tìm kiếm. Hoặc có lẽ bạn phải ẩn danh để tải xuống những nội dung bất hợp pháp hoặc đã có bản quyền thông qua BitTorrent.
Tuy nhiên, proxy không phải là hoàn hảo. Khi sử dụng proxy, hãy lưu ý rằng mỗi trình duyệt phải được đặt cấu hình theo cách thủ công để trỏ đến dịch vụ proxy. Và ngay cả các website proxy tốt nhất cũng thừa nhận rằng các thủ thuật Flash hoặc JavaScript thông minh vẫn có thể phát hiện địa chỉ IP ẩn của bạn – tức địa chỉ mà bạn sử dụng để kết nối với proxy ngay từ đầu. Bạn có thể hạn chế hiệu quả của các thủ thuật này bằng cách chặn hoặc giới hạn việc sử dụng Flash và JavaScript trong trình duyệt đang dùng. Nhưng cách tốt nhất để ngăn chặn sự theo dõi của JavaScript qua trình duyệt là sử dụng plug-in HTTPS Everywhere.
Có rất nhiều dịch vụ proxy thương mại. Nhưng hãy nhớ đọc kỹ chính sách riêng tư của bất kỳ dịch vụ nào mà bạn đăng ký sử dụng. Hãy chú ý đến cách dịch vụ đó xử lý việc mã hóa dữ liệu di chuyển, đồng thời xem nó có tuân thủ pháp luật và các yêu cầu của chính phủ về thông tin hay không.
Ngoài ra còn có một số proxy miễn phí, nhưng cái giá của sự miễn phí này là vô số những quảng cáo vô dụng. Lời khuyên của tôi là hãy cẩn thận với các proxy miễn phí. Trong bài thuyết trình tại hội nghị DEF CON 20, Chema Alonso, chuyên gia an ninh và cũng là bạn tôi, đã làm thí nghiệm lập ra một proxy; vì muốn thu hút những kẻ có ý đồ xấu tìm đến với proxy này, anh cho quảng cáo địa chỉ của nó trên trang xroxy.com. Sau vài ngày đã có hơn 5.000 người sử dụng proxy “ẩn danh” miễn phí này, tuy phần lớn đều dùng nó làm công cụ lừa đảo.
Nhưng đổi lại, Alonso có thể dễ dàng sử dụng proxy miễn phí này để đẩy phần mềm độc hại vào trình duyệt của kẻ xấu và theo dõi hoạt động của họ nhờ vào khung khai thác trình duyệt BeEF. Anh cũng sử dụng một thỏa thuận cấp phép người dùng cuối (end user license agreement – EULA) mà người dùng phải chấp nhận để cho phép anh làm điều đó. Nhờ vậy, anh có thể đọc các email gửi qua proxy này để xác định xem có lưu lượng dữ liệu nào liên quan đến hoạt động tội phạm hay không. Bài học rút ra ở đây là tiền nào của nấy.
Nếu bạn sử dụng proxy với giao thức https, cơ quan thực thi pháp luật hoặc chính phủ sẽ chỉ nhìn thấy địa chỉ IP của proxy chứ không thấy các hoạt động trên website mà bạn truy cập, vì dữ liệu này sẽ được mã hóa. Như đã nói, lưu lượng Internet http thông thường không được mã hóa; do đó bạn cũng phải sử dụng HTTPS Everywhere (vâng, đây là câu trả lời của tôi để phòng tránh hầu hết các thảm họa về trình duyệt).
Để thuận tiện, mọi người thường đồng bộ hóa cài đặt trình duyệt trên nhiều thiết bị khác nhau. Ví dụ, khi bạn đăng nhập vào trình duyệt Chrome hoặc vào một chiếc Chromebook, tất cả các đánh dấu trang, thẻ tab, lịch sử, và các tùy chọn trình duyệt khác của bạn đều được đồng bộ hóa qua tài khoản Google. Các cài đặt này sẽ được tải tự động mỗi khi bạn sử dụng Chrome, dù là trên máy tính cá nhân hay thiết bị di động. Hãy vào trang cài đặt trên trình duyệt Chrome để chọn các thông tin bạn muốn đồng bộ hóa với tài khoản của mình. Trang Dashboard (trang tổng quan) của Google cho bạn toàn quyền kiểm soát trong việc giữ lại hay loại bỏ các thông tin đã được đồng bộ hóa. Không nên đặt chế độ tự động đồng bộ hóa đối với các thông tin nhạy cảm. Firefox của Mozilla cũng có tùy chọn đồng bộ hóa.
Nhược điểm ở đây là kẻ tấn công chỉ cần dụ bạn đăng nhập vào tài khoản Google trên trình duyệt Chrome hoặc Firefox, khi đó tất cả lịch sử tìm kiếm của bạn sẽ được di chuyển sang thiết bị của chúng. Giả sử một người bạn sử dụng máy tính của bạn và đăng nhập vào trình duyệt trong máy. Lúc này, lịch sử, dấu trang,… của người bạn đó sẽ được đồng bộ hóa. Tức là giờ đây có thể xem được lịch sử lướt web cùng nhiều thông tin khác của người bạn đó trên máy tính của bạn. Ngoài ra, nếu bạn đăng nhập vào tài khoản trình duyệt được đồng bộ hóa trên thiết bị công cộng và quên đăng xuất, thì người tiếp theo sử dụng thiết bị đó sẽ thấy được hết các dấu trang và lịch sử trình duyệt của bạn. Nếu bạn đăng nhập vào Google Chrome, thì ngay cả lịch Google, YouTube, và các khía cạnh khác trong tài khoản Google của bạn đều sẽ bị lộ. Nếu phải sử dụng thiết bị công cộng, hãy nhớ đăng xuất trước khi rời đi.
Một nhược điểm khác của đồng bộ hóa là tất cả các thiết bị được kết nối với nhau sẽ hiển thị cùng một nội dung. Nếu bạn sống một mình thì không sao. Nhưng nếu bạn dùng chung tài khoản iCloud, những chuyện dở khóc dở cười có thể xảy ra. Ví dụ, việc cha mẹ cho phép con cái sử dụng chiếc iPad chung của gia đình có thể vô tình khiến trẻ nhìn thấy các nội dung dành cho người lớn.
