១. ព័ត៌មានទូទៅ
កម្មវិធីរុករក (browser) បានក្លាយជាកន្លែងដ៏គ្រោះថ្នាក់បំផុតនៅទីកន្លែងធ្វើការបច្ចុប្បន្ន។ រាល់ផ្ទាំងរុករក (tab) ដែលបុគ្គលិកបើកអាចដើរតួជាចំណុចចូលសម្រាប់មេរោគ ការក្លែងបន្លំ ការលួចព័ត៌មានសម្ងាត់ និងការប្រមូលទិន្នន័យ។ ប៉ុន្តែសម្រាប់អង្គភាពភាគច្រើន កម្មវិធីរុករកនៅតែជាចំណុចដែលខ្វះការយកចិត្តទុកដាក់ ត្រូវបានចាត់ទុកជាឧបករណ៍ធម្មតាជាជាងការចាត់ទុកជាហានិភ័យសន្តិសុខ។ កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ (secure browsers) ត្រូវបានបង្កើតឡើងដើម្បីផ្លាស់ប្ដូរទំនោរនេះ ដោយបំប្លែងកម្មវិធីរុករកឱ្យក្លាយជាចំណុចគ្រប់គ្រងសន្តិសុខ។ ដូច្នេះ តើកត្តាអ្វីដែលធ្វើឱ្យកម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ខុសពីកម្មវិធីរុករកធម្មតា?
២. ការទប់ស្កាត់ការតាមដានសកម្មភាពនិងការបង្កើតប្រវត្តិរូបឥរិយាបថ
គេហទំព័រទំនើបមិនមែនគ្រាន់តែបង្ហាញព័ត៌មានប៉ុណ្ណោះទេ ប៉ុន្តែក៏ប្រមូលព័ត៌មានផងដែរតាមរយៈការប្រើប្រាស់បច្ចេកវិទ្យាតាមដានដូចជា trackers, cookies, pixels, analytics scripts និងបណ្ដាញផ្សាយពាណិជ្ជកម្មដើម្បីបង្កើតប្រវត្តិរូបឥរិយាបថ (behavioral profiles) ដោយជារឿយៗប៉ះពាល់ដល់ឯកជនភាពរបស់អ្នកចូលទស្សនា។ ផ្នែកបន្ថែមនៃកម្មវិធីរុករក (extensions) ក៏អាចធ្វើបែបដូចគ្នាដែរ។ ផ្នែកបន្ថែមទុច្ចរិតអាចចាប់ទិន្នន័យវាយបញ្ចូលរបស់អ្នកប្រើប្រាស់ ដូចជាព័ត៌មានសម្ងាត់, session tokens, ឬទិន្នន័យអាជីវកម្មសម្ងាត់ក្នុងកម្មវិធីវេប (web apps) ដែលបុគ្គលិកប្រើប្រាស់ប្រចាំថ្ងៃ។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ ទប់ស្កាត់សកម្មភាពរបស់ trackers និង scripts របស់សេវាកម្ម third-party រួមមាន cookies, pixels, និងឧបករណ៍បង្កើតប្រវត្តិរូបឥរិយាបថ ដោយត្រួតពិនិត្យទិន្នន័យដែលគេហទំព័រនីមួយៗដំណើរការ និងរក្សាទុក ហើយទប់ស្កាត់សំណើទាំងនោះមុនវាដំណើរការ។ ក្នុងមជ្ឈដ្ឋានសហគ្រាស (enterprise environment) ក្រុមការងារបច្ចេកវិទ្យាព័ត៌មានក៏អាចកំណត់ផ្នែកបន្ថែមនៃកម្មវិធីរុករកណាដែលត្រូវបានអនុញ្ញាត ឬអនុវត្តគោលការណ៍គ្រប់គ្រងសន្តិសុខរបស់ក្រុមហ៊ុនផ្ទាល់ក្នុងការប្រើប្រាស់កម្មវិធីរុករកផងដែរ។
៣. ការការពារពីវិធីសាស្ត្ររក្សាអត្តសញ្ញាណនិងរក្សាភាពអនាមិក
Cookies មិនមែនជាមធ្យោបាយតែមួយគត់ដែលគេហទំព័រប្រើប្រាស់ដើម្បីស្គាល់អ្នកប្រើប្រាស់នោះទេ។ ទោះបី cookies ត្រូវបានទប់ស្កាត់ក៏ដោយ គេហទំព័រនៅអាចកំណត់អត្តសញ្ញាណអ្នកទស្សនាតាមបច្ចេកទេសមួយដែលហៅថាការរក្សាអត្តសញ្ញាណកម្មវិធីរុករក (browser fingerprinting)។
បច្ចេកទេសរក្សាអត្តសញ្ញាណកម្មវិធីរុករកដំណើរការដោយប្រមូលព័ត៌មានលម្អិតបច្ចេកទេសតូចៗអំពីឧបករណ៍ និងកម្មវិធីរុករករបស់អ្នកប្រើប្រាស់ ដូចជាទំហំអេក្រង់, ប្រព័ន្ធប្រតិបត្តិការ, ពុម្ពអក្សរដែលបានដំឡើង, កំណែកម្មវិធីរុករក (browser version), តំបន់ពេលវេលា (time zone), និងការកំណត់ក្រាហ្វិក (graphic settings)។ ព័ត៌មានលម្អិតទាំងនេះបង្កើតបានសំណៅអត្តសញ្ញាណ (fingerprint) ពិសេស ដែលអាចឱ្យគេហទំព័រ អ្នកផ្សាយពាណិជ្ជកម្ម និងអ្នកវាយប្រហារតាមដានអ្នកប្រើប្រាស់ដដែលនៅក្នុងសម័យរុករក (browsing session) ផ្សេងគ្នា និង
គេហទំព័រខុសៗគ្នា ទោះបីជាពួកគេបានលុប cookies, ប្ដូរគណនី, ឬបើកសម័យរុករកថ្មីក៏ដោយ។ បច្ចេកទេសរក្សាអត្តសញ្ញាណក៏ត្រូវបានប្រើប្រាស់ច្រើនផងដែរក្នុងការក្លែងបន្លំ និងការប្រើប្រាស់គណនីខុសបំណង (account abuse) ដែលក្នុងនោះអ្នកវាយប្រហារក្លែងបន្លំសញ្ញាណឧបករណ៍ដើម្បីគេចពីយន្តការសន្តិសុខ ឬក្លែងប្រើប្រាស់អត្តសញ្ញាណអ្នកប្រើប្រាស់។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ប្រឆាំងនឹងបញ្ហានេះតាមពីររបៀប៖ ការប្រើប្រាស់សញ្ញាណកម្មវិធីរុករកដែលមានលក្ខណៈទូទៅ (using standard browser attributes) ដើម្បីកុំឱ្យមានចំណុចសម្គាល់ពិសេស និងការប្រើសញ្ញាណបង្កើតដោយចៃដន្យ (using randomized signals) សម្រាប់សម័យរុករកផ្សេងៗដើម្បីធ្វើឱ្យបច្ចេកទេសរក្សាអត្តសញ្ញាណកម្មវិធីរុករកផ្ដល់លទ្ធផលខុសគ្នាជានិច្ច។ លទ្ធផលបានអំពីវិធីសាស្ត្រប្រឆាំងទាំងពីរនេះគឺ កម្មវិធីរុករកដែលមានលក្ខណៈពិបាកក្នុងការតាមដានមិនមែនគ្រាន់តែតាម cookies ប៉ុណ្ណោះទេ ប៉ុន្ដែតាមសញ្ញាណស៊ីជម្រៅផងដែរ ដែលអ្នកប្រើប្រាស់ភាគច្រើនមិនដឹងថាមានកន្លងមក។
៤. ការគ្រប់គ្រងលម្អិតលើទិន្នន័យ និងសម័យរុករក
កម្មវិធីរុករកទំនើបផ្ដល់ភាពងាយស្រួលដោយអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់នៅតែនៅរក្សាស្ថានភាពចូលគណនី (remain logged in) ទោះបីជាបិទកម្មវិធីរុករកក៏ដោយ ឬឱ្យអ្នកប្រើប្រាស់ចូលគណនីដោយឆាប់រហ័សតាមមុខងាររក្សាទុកពាក្យសម្ងាត់ស្វ័យប្រវត្តិ។ ប៉ុន្តែមុខងារទាន់សម័យទាំងនេះធ្វើឱ្យកម្មវិធីរុករកមានរក្សាទុកទិន្នន័យជាច្រើន ដែលអាចក្លាយជាផ្លូវចូលទៅកាន់ប្រព័ន្ធ គណនី ឬអង្គភាព ប្រសិនបើធ្លាក់ទៅក្នុងដៃទុច្ចរិត។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ ផ្ដល់ឱ្យអ្នកប្រើប្រាស់ និងអង្គភាព នូវការគ្រប់គ្រងកាន់តែលម្អិតលើរបៀបរក្សាទុកទិន្នន័យ, រយៈពេលអតិបរិមានៃសម័យរុករក (active session duration) និងទិន្នន័យផ្សេងៗទៀត ដែលកម្មវិធីរុករកត្រូវបានអនុញ្ញាតឱ្យចងចាំ ឬត្រូវបំភ្លេច។ ជាឧទាហរណ៍ សម័យរុករកអាចត្រូវបានរក្សារហូតត្រឹមកម្មវិធីរុករកត្រូវបានបិទ ឬការបិទមុខងារបំពេញទិន្នន័យស្វ័យប្រវត្តិសម្រាប់ចន្លោះបំពេញទិន្នន័យសម្ងាត់ ដូចជាពាក្យសម្ងាត់ជាដើម។ ការលុបបំបាត់ទិន្នន័យដែលបានរក្សាទុកនេះ ជួយកាត់បន្ថយចំណុចចូលទូទៅបំផុតដែលអ្នកវាយប្រហារប្រើដើម្បីលួចសម័យរុករក ឬ token ផ្ទៀងផ្ទាត់អត្តសញ្ញាណ (authentication tokens)។
៥. ការការពារពីគេហទំព័រទុច្ចរិតនិងបោកប្រាស់
វិធីសាស្ត្រទូទៅបំផុតមួយដែលអ្នកវាយប្រហារប្រើសម្រាប់ចម្លងមេរោគ ឬទទួលបានព័ត៌មានសម្ងាត់គឺតាមរយៈគេហទំព័រទុច្ចរិតនិងក្លែងបន្លំ។
កម្មវិធីរុករកទូទៅផ្ដល់ការការពារកម្រិតមូលដ្ឋានខ្លះ ដូចជាបញ្ជី Google’s Safe Browsing ប៉ុន្តែយន្តការការពារទាំងនេះពឹងផ្អែកជាចម្បងលើតំណភ្ជាប់ (URLs) ដែលត្រូវបានស្គាល់ជាទូទៅថាទុច្ចរិត។ ប្រសិនបើគេហទំព័រក្លែងបន្លំត្រូវបានបង្កើតថ្មី ឬមានតំណភ្ជាប់ខុសបន្តិចពីដែន (domain) ដែលស្គាល់ថាអាក្រក់ អ្នកប្រើប្រាស់នៅតែអាចចូលទៅកាន់គេហទំព័រទុច្ចរិតទាំងនោះដោយមិនមានអ្វីទប់ស្កាត់បានដដែល។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ ប្រើវិធីសាស្ត្រខុសពីនេះ។ ជាជាងការពឹងផ្អែកលើការវិភាគប្រវត្តិតំណភ្ជាប់ កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់វិភាគសកម្មភាពជាក់ស្ដែងរបស់គេហទំព័រថា តើវាព្យាយាមផ្ទុក scripts គួរសង្ស័យ ឬថាតើវាមានលក្ខណៈស្រដៀងនឹងគេហទំព័រពិតប្រាកដដែលគេធ្លាប់ស្គាល់ពីមុនមក (known brand) ជាដើម។ ការវិភាគឥរិយាបថនេះផ្ដល់ការការពារប្រឆាំងនឹងយុទ្ធនាការក្លែងបន្លំដោយប្រើចំណុចខ្សោយ zero-day, ដែនឈ្មោះស្រដៀង (lookalike domains) ដែលទើបចុះបញ្ជី, និងគេហទំព័របញ្ជូនមេរោគដែលមិនទាន់ចូលបញ្ជីបិទខ្ទប់ (blocklist)។
៦. ការធ្វើកូដនីយកម្មចាប់តាំងពីដំបូង
មិនមែនគ្រប់គេហទំព័រទាំងអស់សុទ្ធតែប្រើបច្ចេកវិទ្យា HTTPS ទេ។ គេហទំព័រដែលប្រើ HTTPS មួយចំនួនក៏អាចលេចបញ្ចេញចរាចរណ៍ទិន្នន័យដែលមិនមានកូដនីយកម្ម (encryption) ក្នុងចន្លោះពេលខ្លីនៃការព្យាយាមភ្ជាប់បណ្ដាញមានសុវត្ថិភាពដែរ។
ការតភ្ជាប់ HTTP ដែលគ្មានកូដនីយកម្មមានន័យថា អ្នកណាក៏ដោយក្នុងបណ្ដាញដូចគ្នាអាចអានចរាចរណ៍ទិន្នន័យរបស់អ្នកឃើញទាំងដុល។ ក្នុងហាងកាហ្វេ អាកាសយានដ្ឋាន សណ្ឋាគារ ឬបណ្ដាញសាធារណៈផ្សេងទៀត នោះជាហានិភ័យដែលអាចកើតមានឡើងជាក់ស្ដែង។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ បង្ខំឱ្យប្រើប្រាស់ HTTPS ចាប់តាំងពីដំបូង (by default) ហើយជំរុញឱ្យប្រើពិធីសារ (protocols) ខ្លាំងដូចជា TLS 1.3 ដែលធ្វើឱ្យប្រសើរទាំងសន្តិសុខ និងប្រតិបត្តិការ បើប្រៀបធៀបជាមួយ TLS កំណែចាស់។ មុខងារនេះមានសារៈសំខាន់ក្នុងមជ្ឈដ្ឋានចម្រុះ និង BYOD (hybrid and BYOD environments) ដែលក្រុមការងារបច្ចេកវិទ្យាព័ត៌មានមិនអាចគ្រប់គ្រងបាននូវទីកន្លែងដែលអ្នកប្រើប្រាស់ភ្ជាប់ចេញពី ឬគេហទំព័រដែលគេចូលប្រើ។
៧. ការទប់ស្កាត់ការលេចចេញនូវអាស័យដ្ឋានអាយភី IP និងព័ត៌មានបណ្ដាញ
សេវាកម្ម VPNs មានលក្ខណៈល្អសម្រាប់ការពារឯកជនភាពនៃបណ្ដាញ ប៉ុន្ដែមិនអាចការពារបាន ១០០% ទេ។ ឧទាហរណ៍ល្អមួយ គឺ បច្ចេកវិទ្យា WebRTC ដែលជាបច្ចេកវិទ្យាកម្មវិធីរុករក ដែលអាចឱ្យទំនាក់ទំនងរយៈពេលជាក់ស្ដែង (real-time communication) ដូចជា video calls និងការចែករំលែកឯកសារ peer-to-peer ត្រូវបានភ្ជាប់និងធ្វើឡើងដោយផ្ទាល់ក្នុងកម្មវិធីរុករក។ ដើម្បីធ្វើបែបនេះបាន WebRTC ត្រូវការស្វែងរក និងផ្លាស់ប្ដូរអាស័យដ្ឋានអាយភីតាមរបៀបដែលអាចរំលង VPN មួយចំនួនបាន។ ទោះបីអ្នកប្រើ VPN ក៏ដោយ ក៏កម្មវិធីរុករកអាចនៅតែបង្ហាញអាស័យដ្ឋានអាយភីពិតរបស់អ្នកទៅកាន់គេហទំព័រណាមួយដែលស្នើសុំបានដែរ។ អាស័យដ្ឋានអាយភីអាចបង្ហាញថា អ្នកនៅក្នុងបណ្ដាញណា ទីកន្លែងប្រភពដែលអ្នកភ្ជាប់ចេញពី និងបង្ហាញផ្លូវទៅហេដ្ឋារចនាសម្ព័ន្ធផ្ទៃក្នុង។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់បិទឬគ្រប់គ្រងដោយតឹងរ៉ឹងនូវមុខងារដូចជា WebRTC និងជាដើមដោយទប់ស្កាត់ការហៅ API ដែលបណ្ដាលឱ្យមានការស្វែងរកអាស័យដ្ឋានអាយភី និងបង្ខំចរាចរណ៍ទិន្នន័យ WebRTC ទាំងអស់ ឱ្យឆ្លងកាត់តាម VPN tunnel ជានិច្ច។
៨. ការគ្រប់គ្រង Cookie និង Script កម្រិតខ្ពស់
កម្មវិធីរុករកភាគច្រើនផ្ដល់ជូនអ្នកនូវជម្រើសពីរ ពាក់ព័ន្ធនឹង cookies ៖ យល់ព្រមទទួលយកការប្រើប្រាស់ ឬមិនអនុញ្ញាតឱ្យប្រើ។ ជម្រើសបែបនេះមិនមែនជាចម្លើយល្អទេព្រោះវេបសាយទំនើបពឹងផ្អែកខ្លាំងលើ cookies។ បញ្ហាប្រឈមចម្បងកើតឡើងនៅពេល cookies ត្រូវបានអនុញ្ញាតលើសពីកម្រិតប្រើប្រាស់ចាំបាច់។
កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ប្រើវិធីសាស្ត្រល្អជាងនេះ ដោយកាត់ផ្ដាច់ការប្រើប្រាស់ cookies ទៅតាមគេហទំព័រផ្សេងៗគ្នា។ Cookie ដែលកំណត់ដោយគេហទំព័រមួយ មិនអាចត្រូវបានប្រើដោយគេហទំព័រផ្សេងទៀតឡើយ ទោះបីជាគេហទំព័រទាំងពីរស្ថិតនៅក្នុងសម័យរុករកដូចគ្នាក៏ដោយ។ វិធីនេះទប់ស្កាត់ការតាមដានឆ្លងគេហទំព័រ ហើយការពារកុំឱ្យដែន third-party ទុច្ចរិតចូលប្រើប្រាស់ទិន្នន័យសម័យរុករករបស់គេហទំព័រផ្សេងៗបាន។
មុខងារលុបទិន្នន័យដោយស្វ័យប្រវត្តិ (auto-delete policies) បន្ថែមស្រទាប់ការការពារមួយទៀត ដោយលុប cookies ចោលនៅចុងបញ្ចប់នៃសម័យរុករកនីមួយៗ, បន្ទាប់ពីរយៈពេលដែលបានកំណត់, ឬនៅពេលអ្នកប្រើប្រាស់ចាកចេញពីគេហទំព័រដោយមិនមានបន្សល់ទុក tokens ណាមួយសម្រាប់អ្នកវាយប្រហារលួចយកទៅប្រើប្រាស់បានឡើយ។
ការគ្រប់គ្រងកម្រិត script ដំណើរការទៅតាមរបៀបដូចគ្នា។ ជាជាងការដំណើរការ JavaScript ទាំងអស់ដែលគេហទំព័រស្នើ កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ ឱ្យអ្នកគ្រប់គ្រងកំណត់ scripts ណាដែលអាចត្រូវដំណើរការ ហើយទប់ស្កាត់ការដំណើរការ scripts ផ្សេងៗទៀតទាំងអស់។
៩. សេចក្ដីសរុប
បច្ចុប្បន្ននេះ កម្មវិធីរុករកមិនត្រឹមតែជាវិធីចូលប្រើអ៊ីនធឺណិតប៉ុណ្ណោះទេ។ វាជាកន្លែងដំណើរការស្ទើរតែអ្វីៗទាំងអស់ដែលបុគ្គលិកធ្វើតាមអនឡាញ។ ប្រសិនបើបុគ្គលិកចំណាយពេលភាគច្រើនក្នុងកម្មវិធីរុករក នោះកម្មវិធីរុករកនោះត្រូវតែក្លាយជាចំណុចគ្រប់គ្រងសន្តិសុខស្នូល។
ការប្រើប្រាស់កម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ ជាជំហានបន្ទាប់របស់ដំណើរវិវត្តនៃការប្រើប្រាស់អ៊ីនធឺណិត ហើយអង្គភាពដែលចាប់យកកម្មវិធីរុករកមានសុវត្ថិភាពខ្ពស់ពីឥឡូវទៅនឹងអាចត្រៀមខ្លួនបានជាស្រេចនៅពេលដែលការវាយប្រហារសាយប័រទៅថ្ងៃអនាគតបែរទៅប្រើប្រាស់ចំណុចខ្សោយលើកម្មវិធីរុករកធម្មតាដែលគេគ្រប់គ្នាបានមើលរំលង។
១០. ឯកសារពាក់ព័ន្ធ
- https://hackread.com/7-key-features-make-secure-browsers-safer/
