Η πρόσφατη ενημερωμένη έκδοση κώδικα έκτακτης ανάγκης εκτός του συγκροτήματος για τον Internet Explorer έχει πολλούς ειδικούς που προτείνουν οποιοδήποτε πρόγραμμα περιήγησης, αλλά το IE ως την καλύτερη άμυνα ασφαλείας. Παρόλο που υπάρχει κάποια ασφάλεια στη χρήση λογισμικού που συχνά επιτίθεται, μια καλύτερη ερώτηση είναι ποια είναι η ασφαλέστερη επιλογή μεταξύ των πιο δημοφιλών προγραμμάτων περιήγησης; Ποιες είναι οι πιο σημαντικές δυνατότητες ασφαλείας που πρέπει να αναζητήσετε σε ένα πρόγραμμα περιήγησης και ποιες είναι οι αδυναμίες που πρέπει να προσέχετε;
Αυτή η κριτική εστιάζει σε λειτουργίες ασφαλείας των ακόλουθων προγραμμάτων περιήγησης Διαδικτύου που βασίζονται σε Windows: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera Software's Opera και Apple's Safari. Όλα εκτός από το Chrome περιλαμβάνονται επειδή κατατάσσονται μεταξύ των πιο δημοφιλών προγραμμάτων περιήγησης, με μακροχρόνια αρχεία και εκατομμύρια χρήστες. Το Google Chrome συμπεριλαμβάνεται επειδή διαθέτει ένα μοναδικό μοντέλο ασφαλείας και την ευρεία προσδοκία να κερδίσει σημαντικά το μερίδιο αγοράς των άλλων προγραμμάτων περιήγησης. Οι τελευταίες διαθέσιμες στο κοινό εκδόσεις (συμπεριλαμβανομένων των εκδόσεων beta) έχουν χρησιμοποιηθεί στην κριτική. Κάθε πρόγραμμα περιήγησης έχει δοκιμαστεί σε Windows XP Pro SP3 και Windows Vista Enterprise.
[ Γιαπερισσότερα σχετικά με την ασφάλεια του προγράμματος περιήγησης και τις κριτικές ασφαλείας του Test Center για τα Chrome, Firefox, Internet Explorer, Opera και Safari, δείτε την ειδική αναφορά. ]
Ο σκοπός αυτής της κριτικής ήταν να δοκιμάσει την καταλληλότητα ασφάλειας κάθε προγράμματος περιήγησης. Ως εκ τούτου, αυτές οι κριτικές γενικά δεν καλύπτουν νέες δυνατότητες που δεν σχετίζονται με την ασφάλεια. Επίσης, δεδομένου ότι αυτή η κριτική επικεντρώθηκε στη δοκιμή της ασφάλειας κάθε συγκεκριμένου προγράμματος περιήγησης, όλα τα προγράμματα περιήγησης ελέγχθηκαν μόνο με τα προεπιλεγμένα εγκατεστημένα από τον προμηθευτή πρόσθετα. Για παράδειγμα, αν και το NoScript είναι ένα δημοφιλές πρόσθετο του προγράμματος περιήγησης Firefox που εγκαθίσταται συχνά για να βελτιώσει την ασφάλεια, δεν είναι εγκατεστημένο από προεπιλογή και δεν έχει δημιουργηθεί από τον προμηθευτή, επομένως δεν συμπεριλήφθηκε στην κριτική.
Πλήρης αποκάλυψη: Ο συντάκτης αυτού του άρθρου απασχολείται πλήρους απασχόλησης από τη Microsoft ως αρχιτέκτονας ασφαλείας. Δεν έχει καμία συμμετοχή στην ανάπτυξη ή εμπορία του Internet Explorer. Χρησιμοποιεί πολλά προγράμματα περιήγησης σε πολλές πλατφόρμες λειτουργιών καθημερινά και έχει πολλά αγαπημένα, συμπεριλαμβανομένων των προγραμμάτων περιήγησης που δεν περιλαμβάνονται σε αυτήν την κριτική.
Δημιουργία ασφαλούς προγράμματος περιήγησης Σε γενικές γραμμές, οι διαχειριστές πρέπει να θεωρούν κάθε πρόγραμμα περιήγησης στο Διαδίκτυο συνδεδεμένο ως υψηλό κίνδυνο. Σε περιβάλλοντα υψηλής ασφάλειας, δεν επιτρέπεται η εκτέλεση προγραμμάτων περιήγησης στο Web ή δεν επιτρέπεται η απόδοση περιεχομένου από το Διαδίκτυο. Ωστόσο, υποθέτοντας ότι η επιχείρησή σας πρέπει να περιηγηθεί στο Διαδίκτυο και να αναζητήσει ένα πρόγραμμα περιήγησης στο Web με αποδεκτό επίπεδο ασφάλειας, συνεχίστε να διαβάζετε. Ένα ασφαλές πρόγραμμα περιήγησης πρέπει να περιλαμβάνει τουλάχιστον τα ακόλουθα χαρακτηριστικά: * Κωδικοποιήθηκε χρησιμοποιώντας τεχνικές κύκλου ζωής ανάπτυξης ασφαλείας (SDL). * Έχει υποβληθεί σε έλεγχο κώδικα και ασαφή. * Διαχωρίζει λογικά τους τομείς δικτύου και τοπικής ασφάλειας. * Αποτρέπει εύκολο κακόβουλο τηλεχειριστήριο. * Αποτρέπει κακόβουλη ανακατεύθυνση. * Έχει ασφαλείς προεπιλογές. * Επιτρέπει στον χρήστη να επιβεβαιώσει οποιαδήποτε λήψη ή εκτέλεση αρχείου. * Αποτρέπει την αφάνεια των διευθύνσεων URL. * Περιέχει δυνατότητες υπερχείλισης κατά του buffer. * Υποστηρίζει κοινά ασφαλή πρωτόκολλα (SSL, TLS, κ.λπ.) και ciphers (3DES, AES, RSA κ.λπ.). * Επιδιορθώνει και ενημερώνεται αυτόματα (με τη συγκατάθεση του χρήστη).* Έχει αποκλεισμό αναδυόμενων παραθύρων. * Χρησιμοποιεί ένα φίλτρο anti-phishing. * Αποτρέπει την κατάχρηση cookie της τοποθεσίας Web. * Αποτρέπει την εύκολη πλαστογράφηση URL. * Παρέχει ζώνες ασφαλείας / τομείς για να διαχωρίσει την εμπιστοσύνη και τη λειτουργικότητα.* Προστατεύει τα διαπιστευτήρια σύνδεσης του ιστότοπου του χρήστη κατά την αποθήκευση και τη χρήση.* Επιτρέπει την εύκολη ενεργοποίηση και απενεργοποίηση των πρόσθετων του προγράμματος περιήγησης. * Αποτρέπει την άτακτη χρήση παραθύρων. * Παρέχει ελέγχους απορρήτου. Ένα άλλο καλό μέρος για να αρχίσετε να μαθαίνετε τα λεπτομερή βασικά στοιχεία της ασφάλειας του προγράμματος περιήγησης στο Web είναι το Μέρος 2 του Εγχειριδίου ασφάλειας του προγράμματος περιήγησης, το οποίο συντηρεί ο Michal Zalewski. Το Εγχειρίδιο ασφαλείας του προγράμματος περιήγησης παρέχει μια εξαιρετική εισαγωγή σε πολλές από τις πολιτικές ασφαλείας στο παρασκήνιο που διέπουν τα περισσότερα από τα σημερινά προγράμματα περιήγησης και υποδεικνύει ποιες λειτουργίες υποστηρίζονται σε διάφορα προγράμματα περιήγησης. Πώς να μετρήσετε την ασφάλεια ενός προγράμματος περιήγησης Μοντέλο ασφαλείας. Κάθε πρόγραμμα περιήγησης κωδικοποιείται στην υποκείμενη ισχύ του επιλεγμένου μοντέλου ασφαλείας του προμηθευτή του προγράμματος περιήγησης. Αυτό το μοντέλο είναι αυτό που διατηρεί τη μη αξιόπιστη πλευρά του δικτύου χωρισμένη από τις πιο αξιόπιστες ζώνες ασφαλείας. Εάν το κακόβουλο λογισμικό μπορεί να εκμεταλλευτεί το πρόγραμμα περιήγησης, πόσο εύκολα μπορεί να θέσει σε κίνδυνο ολόκληρο το σύστημα; Ποιες άμυνες συμπεριέλαβε ο προμηθευτής στον υποκείμενο σχεδιασμό του προγράμματος περιήγησης για την αποτροπή κακόβουλης χρήσης; Πώς αποτρέπεται η κακόβουλη ανακατεύθυνση (όπως δέσμες ενεργειών μεταξύ ιστότοπων και κλοπή καρέ); Διασφαλίζεται η μνήμη και εκκαθαρίζεται από κακόβουλη επαναχρησιμοποίηση; Το πρόγραμμα περιήγησης παρέχει στους τελικούς χρήστες πολλαπλούς τομείς ασφάλειας ή ζώνες με διαφορετικά επίπεδα λειτουργικότητας για να τοποθετήσουν διαφορετικούς ιστότοπους ανάλογα με το επίπεδο της σχετικής εμπιστοσύνης τους; Ποιες προστασίες τελικού χρήστη έχουν ενσωματωθεί στο πρόγραμμα περιήγησης; Το πρόγραμμα περιήγησης επιχειρεί να ενημερωθεί; Όλες αυτές οι ερωτήσεις, και πολλά άλλα, αφορούν τον καθορισμό της καταλληλότητας ενός μοντέλου ασφαλείας ενός προγράμματος περιήγησης. Όταν το πρόγραμμα περιήγησης εκτελείται σε Windows, εκμεταλλεύεται την Πρόληψη εκτέλεσης δεδομένων (DEP); Εάν εκτελείται σε Windows Vista, χρησιμοποιεί εικονικοποίηση αρχείων και μητρώου, Υποχρεωτικά στοιχεία ελέγχου ακεραιότητας (βλέπε πλευρική γραμμή) ή Τυχαιοποίηση διάταξης χώρου διευθύνσεων; Αυτά τα θέματα απαιτούν πολύ χώρο για να συζητηθούν κατάλληλα σε αυτήν την κριτική, αλλά και οι τέσσερις μηχανισμοί μπορούν να δυσκολέψουν το κακόβουλο λογισμικό να αποκτήσει έλεγχο συστήματος. Σύνολο χαρακτηριστικών και πολυπλοκότητα. Περισσότερα χαρακτηριστικά και αυξημένη πολυπλοκότητα είναι το αντίθετο της ασφάλειας του υπολογιστή. Πρόσθετες δυνατότητες σημαίνουν περισσότερο διαθέσιμο κώδικα για εκμετάλλευση με πιο απρόσμενες αλληλεπιδράσεις. Αντίθετα, ένα πρόγραμμα περιήγησης με ένα ελάχιστο σύνολο δυνατοτήτων ενδέχεται να μην είναι σε θέση να αποδώσει δημοφιλείς τοποθεσίες Web, γεγονός που αναγκάζει τον χρήστη να χρησιμοποιήσει άλλο πρόγραμμα περιήγησης ή να εγκαταστήσει δυνητικά ανασφαλή πρόσθετα. Τα δημοφιλή πρόσθετα χρησιμοποιούνται συχνά από συγγραφείς κακόβουλου λογισμικού. Οι ζώνες ασφαλείας που καθορίζονται από τον χρήστη (επίσης γνωστές ως τομείς ασφαλείας) είναι επίσης ένα σημαντικό χαρακτηριστικό. Τελικά, η λιγότερη λειτουργικότητα μεταφράζεται σε καλύτερη ασφάλεια. Οι ζώνες ασφαλείας παρέχουν έναν τρόπο για να ταξινομήσετε διάφορες τοποθεσίες Web ως πιο αξιόπιστες και, ως εκ τούτου, κατάλληλες για μεγαλύτερη λειτουργικότητα. Θα πρέπει να μπορείτε να εμπιστεύεστε τους ιστότοπους της εταιρείας σας πολύ περισσότερο από έναν ιστότοπο που προσφέρει πειρατικό λογισμικό ή μια μικρή ιστοσελίδα που εξυπηρετείται από κάποιον που δεν γνωρίζετε. Οι ζώνες ασφαλείας σάς επιτρέπουν να ορίσετε διάφορες ρυθμίσεις ασφαλείας και λειτουργίες με βάση την τοποθεσία, τον τομέα ή τη διεύθυνση IP της τοποθεσίας Web. Οι τομείς ασφαλείας χρησιμοποιούνται σε κάθε προϊόν ασφάλειας υπολογιστών (τείχη προστασίας, IPS και ούτω καθεξής) για τον καθορισμό ορίων ασφαλείας και περιοχών εμπιστοσύνης. Έχοντας μια ζώνη ασφαλείας σε ένα πρόγραμμα περιήγησης επεκτείνει αυτό το μοντέλο. Τα προγράμματα περιήγησης χωρίς ζώνες ασφαλείας σάς ενθαρρύνουν να αντιμετωπίζετε όλους τους ιστότοπους με το ίδιο επίπεδο εμπιστοσύνης - καθώς και να επαναδιαμορφώσετε το πρόγραμμα περιήγησης ή να χρησιμοποιήσετε άλλο πρόγραμμα περιήγησης για λιγότερο αξιόπιστους ιστότοπους πριν από κάθε επίσκεψη. Ανακοινώσεις και επιθέσεις ευπάθειας. Πόσες ευπάθειες έχουν βρεθεί και ανακοινωθεί δημοσίως έναντι του προϊόντος του προγράμματος περιήγησης; Οι μετρήσεις ευπάθειας ανεβαίνουν ή κατεβαίνουν καθώς ο προμηθευτής διορθώνει το πρόγραμμα περιήγησής του; Πόσο σοβαρές ήταν οι ευπάθειες; Επιτρέπουν τον πλήρη συμβιβασμό του συστήματος ή την άρνηση υπηρεσίας; Πόσες ευπάθειες προς το παρόν δεν έχουν διορθωθεί; Ποια είναι η ιστορία των επιθέσεων μηδενικών ημερών κατά του πωλητή; Πόσο συχνά στοχεύεται το πρόγραμμα περιήγησης του προμηθευτή έναντι ενός προϊόντος ανταγωνιστή; Δοκιμές ασφάλειας προγράμματος περιήγησης. Πώς τακτοποίησε το πρόγραμμα περιήγησης σε δημοφιλείς διαθέσιμες σουίτες δοκιμών ασφαλείας του προγράμματος περιήγησης; Σε αυτήν την κριτική, όλα τα προϊόντα πέρασαν τις πιο γνωστές δοκιμές ασφαλείας του προγράμματος περιήγησης που βρίσκονται στο Διαδίκτυο, οπότε κάθε αντικείμενο εκτέθηκε περαιτέρω σε δεκάδες κακόβουλους ιστότοπους πραγματικής ζωής. Συχνά το αποτέλεσμα δεν ήταν όμορφο. Βίωσα συχνά κλειδώματα του προγράμματος περιήγησης, απαράδεκτο περιεχόμενο και μερικές φορές ολοκληρωμένες επανεκκινήσεις του συστήματος. Δυνατότητες διαχείρισης επιχειρήσεων. εξυπηρετεί διαχειριστές και τεχνικούς που πρέπει να εκτελέσουν εργασίες σε μια ολόκληρη επιχείρηση. Είναι γενικά εύκολο να εξασφαλίσετε ένα αγαπημένο μεμονωμένο πρόγραμμα περιήγησης για προσωπική χρήση, αλλά για να το κάνετε για μια ολόκληρη επιχείρηση απαιτείται ειδικά εργαλεία Εάν το πρόγραμμα περιήγησης επιλέχθηκε για εταιρική χρήση, πόσο εύκολο είναι να εγκαταστήσετε, να ορίσετε και να διαχειριστείτε ασφαλείς διαμορφώσεις για κάθε χρήστη; Αυτές είναι οι γενικές κατηγορίες που εξετάστηκαν κατά την εξέταση κάθε προγράμματος περιήγησης στο Διαδίκτυο. Πώς δοκίμασα Οι δοκιμαστικές σουίτες που βασίζονται στο Διαδίκτυο περιελάμβαναν αρκετούς ιστότοπους δοκιμών ασφαλείας του προγράμματος περιήγησης, όπως το scanit και το Jason's Toolbox. αρκετοί ιστότοποι δοκιμών αποκλεισμού JavaScript, Java και αναδυόμενων παραθύρων. αρκετοί ιστότοποι δοκιμών δέσμης ενεργειών μεταξύ ιστότοπων (XSS). και αρκετούς ιστότοπους δοκιμών απορρήτου του προγράμματος περιήγησης. Δοκίμασα την ασφάλεια του χειρισμού κωδικών πρόσβασης των προγραμμάτων περιήγησης χρησιμοποιώντας την τοποθεσία Web του Password Manager Evaluator και την ασφάλεια του χειρισμού cookie χρησιμοποιώντας την τοποθεσία Web της Cookson Forensics της Gibson Research Corporation. Δοκίμασα πιστοποιητικά εκτεταμένης επικύρωσης χρησιμοποιώντας συνδέσμους που παρέχονται στον ιστότοπο IIS7. Έκανα περιήγηση σε δεκάδες ιστότοπους που είναι γνωστό ότι περιέχουν ζωντανά κακόβουλα προγράμματα από διάφορες λίστες ιστότοπων δημόσιων και ιδιωτικών κακόβουλων προγραμμάτων, συμπεριλαμβανομένου του ShadowServer Επισκέφθηκα επίσης δεκάδες γνωστούς ιστότοπους ηλεκτρονικού ψαρέματος, ευγενική προσφορά του PhishTank και παρόμοιων ιστότοπων παραπομπής. Χρησιμοποίησα το Process Explorer για την παρακολούθηση τοπικών διεργασιών και πόρων κατά την εγκατάσταση και τις τρέχουσες λειτουργίες. Και μύρισα την κυκλοφορία δικτύου των προγραμμάτων περιήγησης χρησιμοποιώντας το Microsoft Network Monitor ή το Wireshark και εξέτασα τα αποτελέσματα για διαρροές πληροφοριών. Τέλος, βασίστηκα επίσης σε δοκιμές ευπάθειας του κοινού για αυτές τις αξιολογήσεις, συμπεριλαμβανομένων των Metasploit και milw0rm.com. Τα στατιστικά στοιχεία ευπάθειας λαμβάνονται από το Secunia.com ή το CVE. Επιπλέον, κάθε πρόγραμμα περιήγησης χρησιμοποιήθηκε για μια σειρά αρκετών εβδομάδων (ή περισσότερο) για τη δοκιμή της γενικής χρήσης, των διαστημάτων ενημέρωσης κώδικα και άλλων σχετικών λειτουργιών. Το πιο ασφαλές πρόγραμμα περιήγησης Ως εκ τούτου, το γενικό συμπέρασμα αυτής της αξιολόγησης είναι ότι οποιοδήποτε πρόγραμμα περιήγησης που έχει διορθωθεί πλήρως μπορεί να χρησιμοποιηθεί σχετικά με ασφάλεια. Μπορείτε να αλλάξετε προγράμματα περιήγησης, αλλά ο κίνδυνος είναι ο ίδιος με όλα αυτά - σχεδόν μηδέν - εάν το πρόγραμμα περιήγησής σας, το λειτουργικό σύστημα και όλα τα πρόσθετα και προσθήκες είναι πλήρως διορθωμένα. Ωστόσο, αν προσποιούμαι ότι είμαι τελικός χρήστης που εξαπατήθηκε να εκτελεί κακόβουλο εκτελέσιμο πρόγραμμα (όπως ένα ψεύτικο πρόγραμμα προστασίας από ιούς), κάθε πρόγραμμα περιήγησης επέτρεπε στο σύστημα να μολυνθεί και να παραβιαστεί. Οι τελικοί χρήστες που εκτελούνται σε Windows Vista χωρίς αυξημένα διαπιστευτήρια θα είχαν αποτρέψει την εμφάνιση περισσότερων μολύνσεων από κακόβουλα προγράμματα, αλλά ακόμη και αυτοί οι χρήστες εκμεταλλεύονταν εύκολα αν σκόπιμα ανυψώνονταν για να εγκαταστήσουν το πρόγραμμα απατεώνων. Συμβουλές ασφάλειας προγράμματος περιήγησης * Μην συνδεθείτε ως διαχειριστής ή root όταν εκτελείτε πρόγραμμα περιήγησης στο Διαδίκτυο (ή χρησιμοποιήστε UAC στα Windows Vista, SU σε Linux, κ.λπ.). * Βεβαιωθείτε ότι το πρόγραμμα περιήγησης, το λειτουργικό σύστημα και όλα τα πρόσθετα και τα πρόσθετα είναι πλήρως διορθωμένα. * Μην ξεγελάτε να εκτελείτε κακόβουλο κώδικα. * Εάν σας ζητηθεί απροσδόκητα να εγκαταστήσετε λογισμικό τρίτων κατά την περιήγηση σε έναν ιστότοπο, ανοίξτε μια άλλη καρτέλα και πραγματοποιήστε λήψη του ζητούμενου λογισμικού απευθείας από την τοποθεσία Web του προμηθευτή του λογισμικού. * Να είστε προσεκτικοί σχετικά με τα πρόσθετα και τα πρόσθετα που χρησιμοποιείτε. Πολλοί δεν είναι ασφαλείς, πολλοί είναι πολύ ανασφαλείς και κάποιοι είναι στην πραγματικότητα μεταμφιεσμένοι κακόβουλοι.
