एक दुर्भावनापूर्ण वेबसाइट - या किसी तृतीय-पक्ष विज्ञापन नेटवर्क से दुर्भावनापूर्ण विज्ञापन वाली वेबसाइट - आपके कंप्यूटर से समझौता करने के लिए इन बग्स में से किसी एक का दुरुपयोग कर सकती है।
क्लिक-टू-प्ले सक्षम करें (या पूरी तरह से फ्लैश अनइंस्टॉल करें)
इन समस्याओं से बचने के लिए आप सैद्धांतिक रूप से फ़्लैश को अनइंस्टॉल कर सकते हैं। आधुनिक वेब ब्राउज़र में आधुनिक HTML5 वीडियो के लिए पूरी तरह से फ्लैश फ्लैश के साथ, इसे कम और कम की आवश्यकता है। सबसे बुरी स्थिति परिदृश्य में जब आप किसी प्रकार की वीडियो साइट पर ठोकर खाते हैं जिसके लिए फ्लैश की आवश्यकता होती है, तो आप हमेशा अपने स्मार्टफोन या टैबलेट को खींच सकते हैं और मोबाइल साइट का उपयोग कर सकते हैं - वे फ्लैश के बिना बनाए जाते हैं।
लेकिन कभी-कभी आपको फ्लैश की आवश्यकता होती है, और हम अनुशंसा नहीं कर सकते कि अधिकांश लोग इसे पूरी तरह से अनइंस्टॉल करें। यदि आप फ्लैश स्थापित करना चाहते हैं - और आप शायद दुखी हैं - क्लिक-टू-प्ले सक्षम करना आपके लिए सबसे अच्छा विकल्प है। यह वेबसाइटों को उन सभी फ्लैश सामग्री को लोड करने से रोकता है जो वे चाहते हैं। जब आप किसी साइट पर जाते हैं, तो आप एक विशिष्ट फ्लैश तत्व - जैसे कि वीडियो लोड करने के लिए प्लेसहोल्डर आइकन पर क्लिक कर सकते हैं। फ़्लैश स्वचालित रूप से नहीं चलाएगा, आपको "ड्राइव-बाय" हमलों से बचाएगा जहां आप किसी वेबसाइट पर जाने से संक्रमित हो जाते हैं।
लेकिन किसी भी वेबसाइट Whitelist मत करो!
आपको क्लिक-टू-प्ले श्वेतसूची का उपयोग नहीं करना चाहिए, जो आपको कुछ विश्वसनीय साइटों पर फ्लैश सामग्री को स्वचालित रूप से लोड करने की अनुमति देता है। यहाँ पर क्यों:
डेलीमोशन, एक लोकप्रिय वीडियो साइट पर विज्ञापनों में हालिया हमले की खोज की गई। यह साइट की तरह श्वेतसूची होगी, इसलिए जब भी वे डेलीमोशन वीडियो देखना चाहते थे तो उन्हें अतिरिक्त क्लिक की आवश्यकता नहीं होगी। लेकिन साइट को श्वेतसूची में रखने से सभी फ्लैश सामग्री लोड हो जाएंगी, जिनमें संभावित रूप से दुर्भावनापूर्ण विज्ञापन शामिल हैं। क्लिक-टू-प्ले का उपयोग करके और इसे लोड करने के लिए मुख्य वीडियो प्लेयर पर क्लिक करने से इस हमले को रोका जा सकता है - क्लिक-टू-प्ले आपको केवल एक पृष्ठ पर विशिष्ट फ़्लैश तत्वों को लोड करने की अनुमति देता है, जिससे आपकी भेद्यता कम हो जाती है।
क्लिक-टू-प्ले पैनसिया नहीं है, क्योंकि कुछ विज्ञापन वीडियो प्लेयर के अंदर वितरित किए जाते हैं। हां, आप किसी प्रकार की शून्य-दिन भेद्यता का उपयोग करके वहां से संभावित रूप से शोषण कर सकते हैं। लेकिन यह हर जोखिम से बचने के बारे में नहीं है - यह जितना संभव हो सके जोखिम को कम करने के बारे में है।
फ्लैश सैंडबॉक्स के लिए क्रोम, क्रोमियम या ओपेरा का प्रयोग करें
फ्लैश जैसे ब्राउज़र प्लग-इन को सुरक्षा के लिए कभी भी "सैंडबॉक्स" नहीं बनाया गया था, जिसमें उन्हें कम अनुमति वाले वातावरण में चलाना शामिल था ताकि फ़्लैश को क्रैक करने वाले हमलों को आपके पूरे कंप्यूटर तक पहुंच न मिले।
Google ने Google Chrome में उपयोग किए जाने वाले "पीपीएपीआई" (या "मिर्च एपीआई") प्लग-इन सिस्टम के साथ इस समस्या को थोड़ा कम कर दिया है और ओपन-सोर्स क्रोमियम ब्राउज जो Chrome के लिए आधार बनाता है। पीपीएपीआई अतिरिक्त सैंडबॉक्सिंग प्रदान करता है, जो आपको कमजोरियों से बचाने में मदद कर सकता है। लेकिन वास्तविक समाधान प्लग-इन को पूरी तरह से बदल रहा है।
एडोब के हालिया सुरक्षा बुलेटिन ने नोट किया: "हम रिपोर्टों से अवगत हैं कि विंडोज 8.1 और उसके बाद वाले इंटरनेट एक्सप्लोरर और फ़ायरफ़ॉक्स चलाने वाले सिस्टम के खिलाफ ड्राइव-बाय-डाउनलोड हमलों के माध्यम से जंगली में इस भेद्यता का सक्रिय रूप से शोषण किया जा रहा है।" क्रोम का स्पष्ट रूप से उल्लेख नहीं किया गया है, जो हो सकता है क्योंकि पीपीएपीआई प्रणाली अतिरिक्त सुरक्षा प्रदान करती है। क्रोम उपयोगकर्ताओं को सुरक्षा की झूठी भावना नहीं होनी चाहिए, क्योंकि यह हर समस्या के खिलाफ सुरक्षित नहीं है - लेकिन क्रोम शायद फ्लैश का उपयोग करने के लिए सबसे सुरक्षित ब्राउज़र है।
क्रोम में एक फ्लैश प्लग-इन शामिल है, लेकिन आप एडोब की वेबसाइट से क्रोमियम या ओपेरा के लिए पीपीएपीआई प्लग-इन भी डाउनलोड कर सकते हैं। क्रोमियम क्रोम और ओपेरा दोनों के लिए आधार बनाता है, इसलिए तीन ब्राउज़रों को फ्लैश के लिए समान सुरक्षा सुविधाएं प्रदान करनी चाहिए।
फ्लैश को स्वचालित रूप से अपडेट रखें
अपने फ़्लैश प्लग-इन को अद्यतन रखना सुनिश्चित करें। यह आपको 0-दिनों से सुरक्षित नहीं करेगा - जिसमें परिभाषा के अनुसार एक पैच जारी नहीं किया गया है - लेकिन यह आपके कंप्यूटर पर फ्लैश प्लग-इन को सुरक्षित करने का एक महत्वपूर्ण हिस्सा है। जब उन सुरक्षा छेदों को पैच किया जाता है, तो आपको अपडेट मिल जाएगा।
इसे करने बहुत सारे तरीके हैं। यदि आप Google क्रोम का उपयोग करते हैं, तो Google में क्रोम के साथ सैंडबॉक्स (पीपीएपीआई) फ्लैश प्लग-इन शामिल है। यह स्वचालित रूप से क्रोम वेब ब्राउज़र के साथ अपडेट हो जाएगा, इसलिए आपको इसके बारे में भी सोचना नहीं है।
विंडोज़ पर, आपको फ्लैश प्लेयर के तहत नियंत्रण कक्ष में यह विकल्प मिल जाएगा। नियंत्रण कक्ष खोलें और शॉर्टकट खोजने के लिए "फ्लैश" की खोज करें, या सिस्टम और सुरक्षा श्रेणी पर क्लिक करें और नीचे स्क्रॉल करें। "फ़्लैश प्लेयर" आइकन पर क्लिक करें, उन्नत टैब पर क्लिक करें, और सुनिश्चित करें कि स्वचालित अपडेट सक्षम हैं।
फ्लैश के लिए एक अलग ब्राउज़र या ब्राउज़र प्रोफाइल का प्रयोग करें
फ्लैश को पूरी तरह से अनइंस्टॉल करने या पूरी तरह से क्लिक-टू-प्ले पर निर्भर करने के बजाय, आप एक अलग ब्राउज़र प्रोफ़ाइल का उपयोग कर सकते हैं जिसमें फ्लैश सक्षम है और इसे फ्लैश की आवश्यकता होने पर ही खोलें।
उदाहरण के लिए, यदि आप अधिकांश समय फ़ायरफ़ॉक्स का उपयोग करते हैं, तो आप फ्लैश को अनइंस्टॉल कर सकते हैं और Google क्रोम इंस्टॉल कर सकते हैं। जब आपको फ्लैश सामग्री का उपयोग करने की आवश्यकता होती है तो Google क्रोम लॉन्च करें (जो एक अंतर्निहित फ़्लैश प्लेयर के साथ आता है)। या, आप ब्राउजर में एक अलग "प्रोफ़ाइल" (क्रोम में उपयोगकर्ता खाता) बना सकते हैं और फ्लैश को केवल अपनी मुख्य प्रोफ़ाइल में अक्षम कर सकते हैं, जिससे फ्लैश को द्वितीयक प्रोफ़ाइल में सक्षम किया जा सकता है। यह फ्लैश को आपके मुख्य ब्राउज़र से अलग क्षेत्र में अलग कर देगा।
ब्राउज़र प्लग-इन खतरनाक हैं - वास्तव में, प्लग-इन और अंतर्निहित प्लग-इन आर्किटेक्चर स्वयं को सुरक्षा में दिमाग में डिज़ाइन नहीं किया गया था। जावा गुच्छा का सबसे खराब है, लेकिन फ्लैश भी समस्याओं की एक अंतहीन स्ट्रीम है। अच्छी खबर यह है कि आपको केवल एक ही प्लग-इन की आवश्यकता है फ्लैश है, और वेब प्रत्येक गुजरने वाले दिन के साथ कम निर्भर करता है।
