Nedávna mimopásmová núdzová oprava pre Internet Explorer obsahuje mnoho odborníkov, ktorí odporúčajú akýkoľvek prehliadač okrem IE ako najlepšiu bezpečnostnú ochranu. Aj keď pri používaní menej často napadnutého softvéru existuje určitá bezpečnosť, lepšou otázkou je, ktorá je najbezpečnejšia voľba z najpopulárnejších prehľadávačov? Aké sú najdôležitejšie bezpečnostné prvky, ktoré treba v prehliadači hľadať, a na ktoré slabiny si treba dať pozor?
Táto recenzia sa zameriava na bezpečnostné funkcie nasledujúcich internetových prehľadávačov so systémom Windows: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera Software's Opera a Apple's Safari. Zahrnuté sú všetky okrem prehliadača Chrome, pretože patria medzi najobľúbenejšie prehliadače s dlhou históriou a miliónmi používateľov. Prehliadač Google Chrome je zahrnutý preto, lebo sa môže pochváliť jedinečným bezpečnostným modelom a veľkým očakávaním, že významne prispeje k podielu ostatných prehliadačov na trhu. V recenzii boli použité najnovšie verejne dostupné verzie (vrátane beta verzií). Každý prehľadávač bol testovaný na Windows XP Pro SP3 a Windows Vista Enterprise.
[Previac informácií o zabezpečení prehľadávača a bezpečnostné kontroly Testovacieho centra týkajúce sa prehliadačov Chrome, Firefox, Internet Explorer, Opera a Safari, nájdete v osobitnej správe. ]
Účelom tejto kontroly bolo otestovať bezpečnosť každého prehliadača. Preto tieto recenzie spravidla nezahŕňajú žiadne nové funkcie, ktoré nesúvisia s bezpečnosťou. Pretože sa táto kontrola zameriavala na testovanie bezpečnosti každého konkrétneho prehľadávača, všetky prehľadávače boli testované iba s predvolenými doplnkami nainštalovanými dodávateľom. Napríklad napríklad NoScript je populárny doplnok prehľadávača Firefox, ktorý sa často inštaluje kvôli zvýšeniu bezpečnosti, nie je nainštalovaný predvolene a nie je vytvorený dodávateľom, takže nebol zahrnutý do kontroly.
Úplné zverejnenie: Autor tohto článku je spoločnosťou Microsoft zamestnaný na plný úväzok ako bezpečnostný architekt. Nezúčastňuje sa na vývoji ani marketingu aplikácie Internet Explorer. Denne používa viac prehľadávačov na viacerých platformách OS a má niekoľko obľúbených položiek vrátane prehľadávačov, ktoré nie sú zahrnuté v tejto recenzii.
Vytvára sa bezpečný prehliadač Spravidla musia správcovia považovať každý webový prehliadač pripojený k internetu za vysoké riziko. V prostrediach s veľmi vysokou úrovňou zabezpečenia nemôžu webové prehliadače bežať alebo nesmú zobrazovať obsah z Internetu. Ale za predpokladu, že váš podnik potrebuje prehľadávať internet a hľadať webový prehľadávač s prijateľnou úrovňou zabezpečenia, čítajte ďalej. Zabezpečený prehliadač musí obsahovať minimálne tieto vlastnosti: * Bolo kódované pomocou techník rozvoja zabezpečenia (SDL). * Prešlo kontrolou kódu a nejasnosťou. * Logicky oddeľuje sieťové a miestne zabezpečené domény. * Zabraňuje ľahkému škodlivému diaľkovému ovládaniu. * Zabraňuje škodlivému presmerovaniu. * Má zabezpečené predvolené hodnoty. * Umožňuje používateľovi potvrdiť stiahnutie alebo spustenie súboru. * Zabraňuje nejasnosti URL. * Obsahuje funkcie pretečenia vyrovnávacej pamäte. * Podporuje bežné bezpečné protokoly (SSL, TLS atď.) A šifry (3DES, AES, RSA atď.). * Automaticky sa opravuje a aktualizuje (so súhlasom používateľa).* Má blokovanie automaticky otváraných okien. * Využíva filter proti phishingu. * Zabraňuje zneužitiu súborov cookie webových stránok. * Zabraňuje ľahkému spoofingu URL. * Poskytuje bezpečnostné zóny / domény na oddelenie dôvery a funkčnosti.* Chráni prihlasovacie údaje webových stránok používateľa počas ukladania a používania.* Umožňuje jednoduché povolenie a zakázanie doplnkov prehľadávača. * Zabraňuje škodlivému použitiu okna. * Poskytuje kontrolu súkromia. Ďalším dobrým miestom, kde sa môžete začať učiť podrobné základy zabezpečenia webového prehliadača, je 2. časť Príručky o bezpečnosti prehliadača, ktorú vedie Michal Zalewski. Príručka zabezpečenia prehľadávača predstavuje skvelý úvod do mnohých zákulisných bezpečnostných politík, ktoré sú základom väčšiny súčasných prehľadávačov, a naznačuje, ktoré funkcie sú podporované rôznymi prehľadávačmi. Ako merať bezpečnosť prehliadača Bezpečnostný model. Každý prehľadávač je kódovaný na základe základnej sily vybraného modelu zabezpečenia dodávateľa prehľadávača. Tento model udržuje nedôveryhodnú sieťovú stránku oddelenú od dôveryhodnejších bezpečnostných zón. Ak je malware schopný zneužiť prehľadávač, ako ľahko môže poškodiť celý systém? Aké obrany zahrnul dodávateľ do základnej konštrukcie prehliadača, aby zabránil škodlivému použitiu? Ako je zabránené škodlivému presmerovaniu (napríklad skriptovanie medzi doménami a krádež rámcov)? Je pamäť zabezpečená a vyčistená proti škodlivému použitiu? Poskytuje prehľadávač koncovým používateľom viacero bezpečnostných domén alebo zón s rôznou úrovňou funkčnosti, do ktorých môžu umiestňovať rôzne webové stránky podľa úrovne ich dôveryhodnosti? Aké ochrany koncových používateľov boli zabudované do prehľadávača? Pokúša sa prehliadač o aktualizáciu sám? Všetky tieto a ďalšie otázky smerujú k určeniu vhodnosti bezpečnostného modelu prehliadača. Keď prehliadač pracuje v systéme Windows, využíva výhody ochrany pred spustením údajov (DEP)? Ak beží na systéme Windows Vista, používa virtualizáciu súborov a registrov, povinné kontroly integrity (pozri bočný panel) alebo randomizáciu rozloženia adresného priestoru? Tieto témy si v tejto recenzii vyžadujú príliš veľa priestoru na náležité prediskutovanie, ale všetky štyri mechanizmy môžu malwaru sťažiť kontrolu nad systémom. Sada funkcií a zložitosť. Viac funkcií a zvýšená zložitosť sú protikladom počítačovej bezpečnosti. Ďalšie funkcie znamenajú, že je k dispozícii viac kódu na zneužitie s neočakávanejšími interakciami. Naopak, prehliadač s minimálnou sadou funkcií nemusí byť schopný vykresliť populárne webové stránky, čo núti používateľa používať iný prehľadávač alebo inštalovať potenciálne nezabezpečené doplnky. Autori malvéru často využívajú populárne doplnky. Dôležitou vlastnosťou sú tiež používateľom definované bezpečnostné zóny (tiež známe ako bezpečnostné domény). Menej funkčnosti sa nakoniec premení na lepšie zabezpečenie. Zóny zabezpečenia poskytujú spôsob, ako klasifikovať rôzne webové stránky ako dôveryhodnejšie, a preto vhodné pre vyššiu funkčnosť. Mali by ste byť schopní dôverovať webovým stránkam svojej spoločnosti oveľa viac ako webovým stránkam ponúkajúcim pirátsky softvér alebo malej webovej stránke poskytovanej niekým, koho nepoznáte. Zóny zabezpečenia umožňujú nastavenie rôznych nastavení zabezpečenia a funkcií podľa polohy, domény alebo adresy IP webovej stránky. Domény zabezpečenia sa používajú v každom produkte zabezpečenia počítača (brány firewall, IPS atď.) Na stanovenie bezpečnostných hraníc a oblastí predvolenej dôveryhodnosti. Tento model rozširuje oblasť zabezpečenia v prehliadači. Prehliadače bez zón zabezpečenia vám odporúčajú, aby ste so všetkými webovými stránkami zaobchádzali rovnako dôveryhodne - rovnako ako pred každou návštevou prekonfigurujte prehliadač alebo použite iný prehľadávač pre menej dôveryhodné weby. Oznámenia a útoky na zraniteľnosť. Koľko zraniteľností bolo nájdených a verejne oznámených voči produktu prehliadača? Stúpa počet zraniteľností smerom nahor alebo nadol, keď dodávateľ opraví svoj prehliadač? Aké závažné boli zraniteľné miesta? Umožňujú úplné narušenie systému alebo odmietnutie služby? Koľko zraniteľností je momentálne neopravených? Aká je história útokov nultého dňa na dodávateľa? Ako často je zameraný prehliadač dodávateľa oproti produktu konkurencie? Testy zabezpečenia prehliadača. Ako dopadol prehliadač proti bežne dostupným testovacím balíkom zabezpečenia prehľadávača? V tejto recenzii prešli všetky produkty najznámejšími testami zabezpečenia prehľadávača umiestnenými na internete, takže každá položka bola ďalej vystavená desiatkam škodlivých webových stránok v reálnom živote. Výsledok často nebol pekný. Častokrát som zaznamenával zablokovania prehľadávača, nežiaduci obsah a niekedy aj úplné reštartovanie systému. Funkcie podnikovej správy. obstaráva správcov a technikov, ktorí musia vykonávať úlohy v celom podniku. Zaobstarať si obľúbený individuálny prehliadač pre osobné použitie je vo všeobecnosti ľahké, ale pre celú firmu to vyžaduje špeciálne nástroje. Ak bol prehľadávač vybraný na podnikové použitie, aké ľahké je nainštalovať, nastaviť a spravovať zabezpečené konfigurácie pre každého používateľa? Toto sú všeobecné kategórie, ktoré sa brali do úvahy pri kontrole každého internetového prehliadača. Ako som testoval Internetové testovacie balíčky obsahovali niekoľko testovacích webov zabezpečenia prehliadača, napríklad scanit a Jason's Toolbox; niekoľko webov na testovanie JavaScriptu, Javy a blokovania automaticky otváraných okien; niekoľko webových stránok na testovanie skriptovania medzi servermi (XSS); a niekoľko stránok na testovanie ochrany osobných údajov v prehliadači. Zabezpečenie manipulácie s heslami prehľadávačov som testoval pomocou webovej stránky Password Manager Evaluator a bezpečnosť manipulácie s cookies pomocou webovej stránky Cookie Forensics spoločnosti Gibson Research Corporation. Certifikáty Extended Validation som otestoval pomocou odkazov poskytnutých na webe IIS7. Prešiel som na desiatky webových stránok, o ktorých je známe, že obsahujú živý malware, z niekoľkých verejných a súkromných zoznamov webových stránok s malvérom, vrátane ShadowServeru. Navštívil som tiež desiatky známych phishingových webov, s povolením PhishTank a podobných odkazujúcich stránok. Použil som Process Explorer na sledovanie miestnych procesov a zdrojov počas inštalácie a prebiehajúcich operácií. A pomocou programov Microsoft Network Monitor alebo Wireshark som pričuchol k sieťovému prenosu prehľadávačov a preskúmal výsledky, či nedochádza k úniku informácií. Nakoniec som sa pri týchto hodnoteniach spoliehal aj na verejné testovanie zraniteľnosti vrátane stránok Metasploit a milw0rm.com. Štatistiky zraniteľnosti boli prevzaté zo serverov Secunia.com alebo CVE. Každý prehliadač bol navyše používaný počas niekoľkých týždňov (alebo dlhšie) na testovanie bežného používania, intervalov opráv a ďalších súvisiacich funkcií. Najbezpečnejší prehliadač Celkovým záverom tejto kontroly je teda to, že akýkoľvek plne opravený prehľadávač je možné používať relatívne bezpečne. Prehliadače môžete meniť, ale vaše riziko je rovnaké pre všetky z nich - takmer nulové - ak sú váš prehliadač, operačný systém a všetky doplnky a doplnky úplne opravené. Ak som však predstieral, že som koncový používateľ, ktorý bol podvedený k spusteniu škodlivého spustiteľného súboru (napríklad falošného antivírusového programu), každý prehľadávač umožnil infikovanie a napadnutie systému. Koncoví používatelia systému Windows Vista bez zvýšeného oprávnenia by zabránili výskytu väčšiny malwarových infekcií, ale aj títo používatelia boli ľahko zneužití, ak sa úmyselne zvýšili na úroveň inštalácie škodlivého programu. Tipy na zabezpečenie prehliadača * Pri behu internetového prehliadača sa neprihlasujte ako administrátor alebo root (alebo nepoužívajte UAC v systéme Windows Vista, SU v systéme Linux atď.). * Uistite sa, že prehliadač, operačný systém a všetky doplnky a doplnky sú úplne opravené. * Nenechajte sa oklamať spustením škodlivého kódu. * Ak sa pri prehľadávaní webových stránok neočakávane zobrazí výzva na inštaláciu softvéru tretích strán, otvorte inú kartu a požadovaný softvér si stiahnite priamo z webu dodávateľa softvéru. * Buďte opatrní pri výbere doplnkov a doplnkov, ktoré používate. Mnohé nie sú zabezpečené, mnohé sú veľmi neisté a niektoré sú v skutočnosti maskované ako malware.
