02:44 Быстрые и функциональные, но на сколько безопасные? | ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
Настоящий обзор посвящён проблеме безопасности использования популярных
современных браузеров для платформы Windows. Сделано ревью информации,
касающейся тематике безопасности, предлагаемой русскоязычным
пользователям, на сайтах вендоров, разрабатывающих веб-браузеры, сделано
обобщение и классификация полученной информации. Обзор призван поднять
вопросы безопасности использования современных интернет-технологий на
фоне их всё большей популяризации и всё более прочного вхождения в жизнь
каждого современного человека. Ранее, в конце 2010 года мы уже публиковали аналитическую статью, затрагивающую вопрос способности современных браузеров противодействовать и защищать пользователей от вредоносного ПО. Напомним, что тогда браузер Opera с треском провалился. Сегодня, каждый разработчик интернет-браузеров имеет свои широко
декларируемые преимущества, которые находят отклик в глазах разделившихся на
группы пользователей, и обеспечивают тому или иному браузеру ярых
приверженцев и широкую популярность. Так как браузеры- это свободно распространяемое программное обеспечение, индустрия браузеров
существует, в основном, за счёт косвенных источников дохода. Все
популярные браузеры либо можно установить бесплатно, либо же встроены в
ту или иную операционную систему. Напомним, что Internet Explorer
встроен в Microsoft Windows, начиная с Windows 98, а Safari интегрирован
в Mac OS. Соответственно, конкурировать производителям
интернет-браузеров с использованием экономических рычагов влияния —
невозможно. Зачастую пользователи отдают предпочтение тому или
иному браузеру из-за красивого интерфейса, скорости и удобства в работе
или наличия возможности устанавливать дополнительные расширения. Следовательно, в ход идут иные методы
борьбы «за сердце пользователя» - с использованием таких, весьма
претенциозных, лозунгов как «самый быстрый браузер», «самый удобный
браузер», «самый функциональный браузер», «самый настраиваемый браузер» и
другие. Часто выбор используемого браузера для повседневной работы –
это дело многолетней привычки или слепая вера рекламе производителя
браузера, или вера в идеалы в области развития свободного Интернета,
которые ставят перед собой производители браузеров, или авторитетное
мнение знакомых специалистов, или даже желание постоянно пробовать
что-то новое. Но при этом часто забывается или специально умалчивается о
степени безопасности использования того или иного браузера. А ведь непосредственно через
браузер мы просматриваем содержимое веб-сайтов. Через браузер мы заходим
на сайты интернет-банков, производим оплату товаров и услуг, пользуемся
онлайн-сервисами или обмениваемся конфиденциальной информацией. Именно
на браузер ложится первичная ответственность за безопасность в сети. Так
почему же мы так мало об этом задумываемся? В данном сравнении
мы как обычно рассмотрим пятёрку самых популярных и наиболее используемых для платформы Microsoft Windows:
Заметим, что автор обзора не отдаёт предпочтения одному из данных браузеров, так как каждый из них обладает функционалом, достаточным для всех повседневных интернет-задач, с которыми сталкивается большинство пользователей. Для каждого из рассматриваемых браузеров, мы приведём ту информацию, на которой акцентируют своё внимание производители браузеров по поводу безопасности их продуктов для интернет-сёрфинга, ибо подача такой информации во многом выявляет приоритеты этих производителей в реализации технологий безопасности в выпускаемых ими продуктах. При этом будет предложен обзор информации, приведённой на официальных сайтах соответствующих браузеров, без углубления в технические блоги разработчиков и другую информацию подобного рода, так как пользователи обычно руководствуются именно информацией, расположенной на официальных сайтах. Также, в качестве ограничения, введём такой параметр, как русскоязычность такой информации, т.к. данный обзор ориентируется, в первую очередь, на русскоязычных пользователей. Apple SafariРисунок 1: Настройки безопасности в Apple Safari 5.0.5 Компания Apple, говоря о безопасности, в первую очередь акцентирует внимание на функции Защищённого просмотра. В данном режиме Safari не записывает историю посещаемых сайтов, загружаемого ПО и документов, не сохраняет поисковые запросы, cookies, и данные веб-форм. В Safari также присутствуют функции блокировки всплывающих окон. В Safari встроены и продолжают развиваться технологии, противодействующие атакам с использованием межсайтового скриптинга (XSS, Сross Site Sсriрting, такая аббревиатура используется для исключения путаницы с аббревиатурой Cascading Style Sheets (CSS) – каскадные таблицы стилей). Также в браузер встроены репутационные технологии блокировки вредоносных сайтов: фишинговых, мошеннических, а также сайтов, распространяющих вредоносные программы. Встроена и поддержка EV-сертификатов (Extended Validation), что позволяет легко выделять легитимные сайты. Браузер Safari поддерживает технологии безопасного шифрования для предотвращения перехвата сеансов связи, мошенничества при работе в Интернете. Также поддерживается аутентификация на основе регистрации на безопасных веб-сайтах и наиболее популярные прокси-протоколы. Интересна также функция Безопасные загрузки, благодаря которой при первом открытии каждого сайта отображается источник, из которого была взята та или иная страница. Google ChromeРисунок 2: Настройки безопасности в Google Chrome 12.0 Раздел русскоязычного сайта Google, посвящённый обзору возможностей безопасности браузера Google Chrome, является весьма кратким и лаконичным. В нём говорится о том, что в данном браузере существует защита от мошеннических и фишинговых сайтов, сосредоточенная также в технологии «Безопасный просмотр». Выделяется функциональная возможность под названием «песочница» (в англоязычных материалах соответствующее термину sandboxing), с помощью которого браузер может предотвратить установку в систему вредоносных программ, а также имеет возможность отслеживать влияние кода, который выполняется в одной вкладке браузера на содержимое других открытых вкладок. В Chrome 12 появился фильтр вредоносных файлов на основе репутационных технологий, который при дальнейшем развитии может составить конкуренцию технологии Application Reputation от Microsoft. В англоязычных источниках можно узнать о возможностях обеспечения безопасности более подробно. В частности, в Google Chrome существует технология обеспечения непрерывности HTTPS-соединения и защиты его от компрометации, защита от XSS-атак и другие полезные функции. Поэтому, автор обзора надеется, что компания Google, активно рекламирующая свою продукцию и на территории России, в том числе – с помощью дорогостоящей телевизионной рекламы, выделит ресурсы для того, чтобы перевести на русский язык столь важную для пользователей информацию, дабы способствовать дальнейшей популяризации данного браузера среди интернет-пользователей российского сегмента. Microsoft Internet ExplorerРисунок 3: Настройки безопасности в Internet Explorer 9 Компания Microsoft, говоря о безопасности своего браузера, в первую очередь делает упор на фильтрацию ActiveX-содержимого. В общем-то, проблема небезопасного ActiveX-содержимого актуальна именно для данного браузера, т.к. без дополнительных плагинов в конкурирующих браузерах взаимодействие с активным содержимым, расположенным на интернет-страницах, производится посредством других технологий. Также акцент делается на противодействие XSS-атакам, просмотр в приватном режиме InPrivate и функция защиты от слежения. Реализовано выделение домена второго уровня в адресной строке браузера, жирным цветом, что позволяет легко определить, находится ли пользователь на настоящем сайте, на который хотел зайти, или же на мошенническом, адрес которого сильно похож на адрес настоящего сайта. В качестве уникальной функциональной особенности безопасности можно указать широко рекламируемый фильтр SmartScreen, который в 9-ой версии Internet Explorer имеет возможность фильтровать не только вредоносные сайты по URL, но и, собственно, вредоносные файлы посредством технологии Application Reputation, которая основана на репутационных технологиях. Следует заметить, что актуальная версия Internet Explorer, по мнению автора, значительно усовершенствовалась в плане повышения стандартов информационной безопасности по сравнению с предыдущими версиями данного браузера, и его вполне можно рекомендовать к использованию начинающим интернет-пользователям для совершения операций интернет-банкинга и других потенциально-опасных операций при чётком следовании рекомендациям производителя. Mozilla FirefoxРисунок 4: Настройки безопасности в Mozilla Firefox 5.0 Разработчики браузера Firefox традиционно уделяют безопасности своего браузера пристальное внимание. Поэтому информация о функциях безопасности этого браузера на его официальной странице достаточно пространна. В частности, если пробежаться по заголовкам врезок соответствующего раздела информации о браузере, можно узнать и о поддержке расширенных EV-сертификатов, и защите от XSS-атак, и об интеграции с Родительским контролем Windows 7, о функции «Приватный просмотр», интеграции с антивирусными продуктами, о фильтре вредоносных сайтов, защите от слежки за действиями пользователя в Интернете посредством специальных скриптов, размещаемых на интернет-страницах, и поддержке HTTPS-соединений. При рассмотрении данного браузера следует также обратить внимание на то, что разработчики делают ставку на обширное использование функциональных дополнений (т.н. расширений), которые создаются сторонними разработчиками. С помощью этих дополнений можно значительно повысить безопасность использования данного браузера. Таким образом, браузер является идеальным конструктором для пользователей, которые обладают достаточными знаниями по информационной безопасности и точно знают, что хотят получить от браузера. OperaРисунок 5: Настройки безопасности в Opera 11.11 В
заключение рассмотрим информацию по безопасности, которую предлагают
конечному пользователю разработчики браузера Opera. Как и разработчики
Google Chrome, производители Opera на официальном сайте браузера в этом
вопросе предельно лаконичны. В частности, заявляется о
существовании фильтра от вредоносных интернет-сайтов, режиме приватного
просмотра, поддержке расширенных сертификатов сайтов, и управлении
загружаемыми cookies . Теперь перейдём собственно к сравнению браузеров, на основе того, что мы о них узнали. В качестве некоторого обобщения представим наличие некоторых наиболее важных с точки зрения автора на сегодняшний день технологий безопасности веб-браузеров в виде Таблицы 1, а затем сделаем некоторые выводы. Заметим, что данная таблица не является результатом какого-либо тестирования браузеров (за исключением проверки факта использования технологии ASLR в системе Windows 7 SP1, Ultimate, x64). Данные, представленные в таблице, приводятся на основе информации, предоставляемой производителями браузеров. Таблица 1: Наличие технологий безопасности в популярных веб-браузерах
Поддержка
работы с EV-сертификатами, наличия режима приватного просмотра, а
также возможности соединений с веб-узлами по защищённому протоколу
HTTPS - все это реализовано во всех сравниваемых браузерах. Что касается реализации защиты от компрометации HTTPS -соединения, то здесь ситуация обстоит несколько хуже. Из известных технологий по данному поводу можно упомянуть только возможность слежения за непрерывностью HTTPS-соединений у Google Chrome и закреплённые сайты (pinned sites) у Internet Explorer 9 при использовании совместно с Windows 7. Эта функция основана на том, что пользователи в большинстве случаев набирают в адресной строке сайта лишь его домен (например, domain.com), без указания протокола, по которому необходимо соединяться (http:// или https://). В этом случае браузер сначала соединяется с веб-сервером по протоколу HTTP. Если сервер при этом поддерживает HTTPS-протокол, и на нём настроен автоматический редирект на этот безопасный протокол, то только лишь тогда происходит редирект с HTTP-протокола на HTTPS. По мнению специалистов Microsoft, этого времени, которое уходит на редирект между HTTP- и HTTPS-протокола может быть достаточно для проведения атаки. Использование закреплённых сайтов удобно лишь для небольшого набора наиболее важных сайтов. Поэтому в таблице данная технология для IE9 отмечена как поддерживаемая частично. Фильтр вредоносных сайтов по URL к настоящему времени также присутствует в каждом уважающем себя браузере, но подобное положение вещей возникло относительно недавно. Мы не говорим сейчас о качестве реализации и эффективности данного функционала в браузерах, так как это тема для другого разговора и требующая проведения ряда сравнительных тестов. С технологиями фильтрации опасных сайтов по URL вообще всё не так однозначно. Такая функция есть во всех браузерах, но качество работы такого функционала зависит напрямую от используемых баз и качества фидбэка с пользователями, принимающими непосредственное участие в наполнении соответствующих баз, расположенных в облаках вендоров или их партнёров. Например, Firefox для блокирования вредоносных сайтов пользуется облаками Google. Фактически, информация о новых вредоносных сайтах, которые можно отправить с помощью Firefox, отправляется в компанию Google, и бразуер пользуется соответствующими репутационными технологиями. Остальные браузеры используют собственные репутационные технологии, эффективность которых может существенно различаться, и это тема также для специальных исследований. Отдельно стоит сказать о защите от установки в систему вредоносных программ, по сути, об антивирусном функционале на уровне браузера. Она реализована только в Internet Explorer 9. Фильтр SmartScreen, встроенный в этот браузер, оценивает репутацию для скачиваемых из интернета файлов. В Google Chrome реализована песочница (sandboxing), которая в версии 12 получила поддержку в виде нового компонента, отвечающего за проверку загружаемых файлов на вредоносность с помощью репутационных технологий и уже выглядит как полноценная технология фильтрации вредоносных программ, загружаемых средством браузера. Возможности Mozilla Firefox, по мнению автора, заслуживают лишь половинчатого результата. Следует оговориться, что репутационные технологии проверки файлов, реализованные в Google Chrome 12 на текущий момент выглядят сыровато. Автор обзора провёл небольшой эксперимент, задав привычным движением поисковой системе запрос «аватар скачать на большой скорости» и через несколько кликов нашёл свежую модификацию лже-архива, требующего за «распаковку» отослать деньги злоумышленникам. IE9 вывел сообщение о том, что файл «загружается необычным образом». Chrome 12 тоже несколько секунд проверял файл в своём «облаке», но сообщение о том, что файл не подписан и у него нет издателя, вывела операционная система, а не браузер. Так что новому фильтру загружаемых файлов от Google полноценная единица в итоговой таблице выставлена с надеждой на дальнейшее развитие данного функционала. По крайней мере, Chrome оказался первым браузером после IE, где такой функционал появился. Что касается автоматического обновления браузеров, то обычно под этим подразумевается установка новых минорных версий, закрывающих обнаруженные уязвимости и повышающих стабильность веб-клиентов. Автоматический переход на новую мажорную версию браузеров обычно связан с явным указанием на подобное желание от пользователя. В связи с этим интернет-пользователям можно посоветовать соглашаться на такие предложения, хотя это и может привести к тому, что придётся привыкать к новому внешнему виду и функционалу полюбившегося браузера. Также не помешает следить за новостями, публикуемыми на официальном сайте производителя используемого браузера. Небольшим сюрпризом оказалась поддержка технологии ASLR (Address Space Layout Randomization, рандомизация размещения адресного пространства) всей пятёркой популярных браузеров в реализации для платформы Windows как для исполняемого файла, так и для подгружаемых DLL-библиотек. Это говорит, что разработчики веб-браузеров для Windows «держат руку на пульсе» и следуют рекомендациям Microsoft при создании безопасных приложений. Что касается новой модной функциональной возможности, входящей в подсистемы безопасности интернет-браузера, под названием «защита от слежения», то она заявлена всего в двух описываемых продуктах – Internet Explorer и Mozilla Firefox. Подобные функции позволяют пресекать передачу данных о посещении пользователем сайтов в различные рекламные агентства и маркетинговые отделы компаний, которая совершается посредством специальных скриптов, внедряемых в рекламные объявления и просто в код веб-страниц. В Mozilla Firefox 5 функция включается в разделе «Приватность», настроек браузера, соответствующая настройка называется «Сообщать веб-сайтам, что я не хочу, чтобы за мной следили». В целом в
таблице снова выделился Microsoft Internet Explorer, несильно от него отстают
Mozilla Firefox и Google Chrome. Apple Safari и Opera замыкают список. Стоит повториться, что данная таблица не является
результатом серьёзного тестирования, поэтому расставленные в итоге места
являются субъективными. Главная же цель данного обзора – привлечь
внимание пользователей не только к удобству и скорости работы
браузеров, но также к защите обеспечиваемой ими безопасности при
веб-серфинге и защите конфиденциальной информации. А ее доверяют
браузерам каждую секунду миллионы пользователей по всему миру. Для
того, чтобы показать, что в настоящее время браузеры развиваются весьма
стремительно, укажем, что за время подготовки настоящего обзора успели
выйти новые версии браузеров Opera, Chrome и Firefox. Указанные в обзоре
версии браузеров являлись актуальными на момент публикации обзора, а
уже завтра мы можем получить новую пищу для размышлений, как от
злоумышленников, так и от производителей браузеров, а «баланс сил» может
измениться в ту или иную сторону. Безопасного вам вебсерфинга!
| ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
Всего комментариев: 0 | |