Test Center vodič za sigurnost preglednika

Nedavna hitna zakrpa izvan opsega za Internet Explorer ima mnogo stručnjaka koji preporučuju bilo koji preglednik, ali IE kao najbolju sigurnosnu obranu. Iako postoji određena sigurnost u korištenju rjeđe napadnutog softvera, bolje je pitanje koji je najsigurniji izbor među najpopularnijim preglednicima? Koje su najvažnije sigurnosne značajke koje treba tražiti u pregledniku i koje su slabosti kojih se treba čuvati?

Ovaj se pregled fokusira na sigurnosne značajke sljedećih internetskih preglednika sa sustavom Windows: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera Software Opera i Apple Safari. Uključeni su svi osim Chromea jer se svrstavaju među najpopularnije preglednike s dugim zapisima i milijunima korisnika. Google Chrome je uključen jer se može pohvaliti jedinstvenim sigurnosnim modelom i velikim očekivanjima da će značajno ući u tržišni udio ostalih preglednika. U pregledu su korištene najnovije javno dostupne verzije (uključujući beta verzije). Svaki je preglednik testiran na sustavima Windows XP Pro SP3 i Windows Vista Enterprise.

[Za više informacija o sigurnosti preglednika i sigurnosnim pregledima Test centra za Chrome, Firefox, Internet Explorer, Opera i Safari, pogledajte posebno izvješće. ]

Svrha ovog pregleda bila je testirati sigurnosnu sposobnost svakog preglednika. Kao takve, ove recenzije uglavnom ne obuhvaćaju nove značajke koje nisu povezane sa sigurnošću. Također, budući da je ovaj pregled bio usmjeren na testiranje sigurnosti svakog pojedinog preglednika, svi su preglednici testirani samo sa zadanim dodacima koje je instalirao dobavljač. Na primjer, iako je NoScript popularni dodatak za preglednik Firefox koji se često instalira radi poboljšanja sigurnosti, nije instaliran prema zadanim postavkama i nije kreiran od strane dobavljača, pa nije bio uključen u pregled.

Potpuno otkrivanje: Autor ovog članka zaposlen je u Microsoftu na neodređeno vrijeme kao sigurnosni arhitekt. Ne sudjeluje u razvoju ili marketingu Internet Explorera. Svakodnevno koristi više preglednika na nekoliko OS platformi i ima nekoliko omiljenih, uključujući preglednike koji nisu obuhvaćeni ovom recenzijom.

Izrada sigurnog preglednika

Općenito, administratori moraju svaki internetski preglednik povezan s Internetom smatrati visokim rizikom. U vrlo visokim sigurnosnim okruženjima web preglednicima nije dopušteno pokretanje ili prikazivanje sadržaja s Interneta. Ali pod pretpostavkom da vaše poduzeće treba pregledavati Internet i traži web preglednik s prihvatljivom razinom sigurnosti, nastavite čitati. Sigurni preglednik mora sadržavati najmanje sljedeće osobine:

* Kodiran je tehnikama sigurnosnog životnog ciklusa (SDL).

* Prošao je pregled koda i nejasnoće.

* Logično razdvaja mrežne i lokalne sigurnosne domene.

* Sprječava lako zlonamjerno daljinsko upravljanje.

* Sprječava zlonamjerno preusmjeravanje.

* Ima sigurne zadane postavke.

* Omogućuje korisniku da potvrdi preuzimanje ili izvršavanje datoteke.

* Sprječava zatamnjenje URL-a.

* Sadrži značajke za prelijevanje međuspremnika.

* Podržava uobičajene sigurne protokole (SSL, TLS, itd.) I šifre (3DES, AES, RSA, itd.).

* Automatski se popravlja i ažurira (uz pristanak korisnika).

* Ima blokator skočnih prozora.

* Koristi filter protiv krađe identiteta.

* Sprječava zlouporabu kolačića web mjesta.

* Sprječava lako prevara URL-a.

* Pruža sigurnosne zone / domene za odvajanje povjerenja i funkcionalnosti.

* Štiti vjerodajnice za prijavu na web mjesto korisnika tijekom pohrane i upotrebe.

* Omogućuje lako omogućavanje i onemogućavanje programskih dodataka.

* Sprječava nestašnu upotrebu prozora.

* Pruža kontrolu privatnosti.

Još jedno dobro mjesto za početak učenja detaljnih osnova sigurnosti web preglednika je 2. dio Priručnika o sigurnosti preglednika koji održava Michal Zalewski. Priručnik o sigurnosti preglednika daje sjajan uvod u mnoge sigurnosne politike iza kulisa koje su u osnovi većine današnjih preglednika i ukazuje koje su značajke podržane u raznim preglednicima.

Kako izmjeriti sigurnost preglednika

Sigurnosni model.Svaki je preglednik kodiran na osnovi snage odabranog sigurnosnog modela dobavljača preglednika. Ovaj je model ono što nepouzdanu mrežnu stranu drži odvojenom od pouzdanijih sigurnosnih zona. Ako zlonamjerni softver može iskoristiti preglednik, koliko lako može ugroziti cijeli sustav? Koju je obranu dobavljač uključio u preglednik 'osnovni dizajn za sprečavanje zlonamjerne upotrebe? Kako se sprječava zlonamjerno preusmjeravanje (poput skriptiranja više domena i krađe okvira)? Je li memorija osigurana i oslobođena od zlonamjerne ponovne upotrebe? Daje li preglednik krajnjim korisnicima više sigurnosnih domena ili zona s različitim razinama funkcionalnosti u koje mogu smjestiti različite web stranice prema njihovoj razini povezanog povjerenja? Koje su zaštite krajnjeg korisnika ugrađene u preglednik? Pokušava li se preglednik ažurirati? Sva ova pitanja i više uključuju se u određivanju ispravnosti sigurnosnog modela preglednika.

Kada preglednik radi na sustavu Windows, koristi li sustav Data Execution Prevention (DEP)? Ako se izvodi na sustavu Windows Vista, koristi li virtualizaciju datoteka i registra, obvezne kontrole integriteta (vidi bočnu traku) ili nasumično raspoređivanje rasporeda adresnog prostora? Ove teme zahtijevaju previše prostora za odgovarajuću raspravu u ovom pregledu, ali sva četiri mehanizma mogu otežati zlonamjernom softveru da stekne kontrolu nad sustavom.

Skup značajki i složenost. Više značajki i povećana složenost antiteza su računalne sigurnosti. Dodatne značajke znače više dostupnog koda za korištenje uz neočekivanije interakcije. Suprotno tome, preglednik s minimalnim skupom značajki možda neće moći generirati popularne web stranice, što korisnika prisiljava na upotrebu drugog preglednika ili na instaliranje potencijalno nesigurnih dodataka. Pisci zlonamjernih programa često iskorištavaju popularne dodatke.

Korisnički definirane sigurnosne zone (također poznate kao sigurnosne domene) također su važna značajka. U konačnici, manje funkcionalnosti dovodi do veće sigurnosti. Sigurnosne zone pružaju način da se razne web stranice klasificiraju kao pouzdanije i, prema tome, prikladne za veću funkcionalnost. Morali biste imati puno više povjerenja u web stranice svoje tvrtke nego u web stranice koje nude piratski softver ili malu web stranicu koju poslužuje netko koga ne poznajete. Sigurnosne zone omogućuju vam postavljanje različitih sigurnosnih postavki i funkcionalnosti na temelju lokacije, domene ili IP adrese web mjesta.

Sigurnosne domene koriste se u svim računalnim sigurnosnim proizvodima (vatrozidi, IPS-ovi i tako dalje) za uspostavljanje sigurnosnih granica i područja zadanog povjerenja. Imati sigurnosnu zonu u pregledniku proširuje taj model. Preglednici bez sigurnosnih zona potiču vas da se prema svim web mjestima ponašate s jednakom razinom povjerenja - kao i da ponovno konfigurirate preglednik ili koristite drugi preglednik za manje pouzdane web stranice prije svakog posjeta.

Najave i napadi o ranjivosti. Koliko je ranjivosti pronađeno i javno objavljeno protiv proizvoda preglednika? Podiže li ili raste broj ranjivosti dok dobavljač krpa svoj preglednik? Koliko su ozbiljne bile ranjivosti? Dopuštaju li puni kompromis sustava ili uskraćivanje usluge? Koliko se ranjivosti trenutno ne zakrpa? Kakva je povijest napada nula-dana na dobavljača? Koliko su često preglednici dobavljača ciljani u odnosu na konkurentske proizvode?

Sigurnosni testovi preglednika. Kako je preglednik prošao u odnosu na popularno dostupne programske pakete za provjeru sigurnosti? U ovom su pregledu svi proizvodi prošli najpoznatija sigurnosna ispitivanja preglednika smještena na Internetu, pa je svaka stavka bila dodatno izložena desecima zlonamernih web stranica u stvarnom životu. Ishod često nije bio lijep. Doživljavao sam česta zaključavanja preglednika, nepoželjan sadržaj i ponekad kompletna ponovna pokretanja sustava.

Značajke upravljanja poduzećem. obrađuje administratore i tehničare koji trebaju izvršavati zadatke u cijelom poduzeću. Općenito je lako osigurati omiljeni pojedinačni preglednik za osobnu upotrebu, ali to učiniti za cijelu tvrtku zahtijeva posebne alate. Ako je preglednik odabran za poslovnu upotrebu, koliko je jednostavno instalirati, postaviti i upravljati sigurnim konfiguracijama za svakog korisnika?

To su opće kategorije koje su uzete u obzir prilikom pregleda svakog internetskog preglednika.

Kako sam testirao

Internet testovi sadržavali su nekoliko web mjesta za testiranje sigurnosti preglednika, kao što su scanit i Jason's Toolbox; nekoliko web mjesta za testiranje JavaScript, Java i blokatora skočnih prozora; nekoliko web stranica za testiranje skriptiranja na više mjesta (XSS); i nekoliko web mjesta za testiranje privatnosti preglednika. Testirao sam sigurnost rukovanja lozinkom preglednika pomoću web stranice Password Manager Evaluator i sigurnost rukovanja kolačićima pomoću web stranice Forensics Cookieja tvrtke Gibson Research Corporation. Testirao sam certifikate proširene provjere korištenjem veza na web mjestu IIS7.

Surfao sam na desetcima web-lokacija za koje se zna da sadrže zlonamjeran softver sa nekoliko javnih i privatnih popisa web lokacija, uključujući ShadowServer. Također sam posjetio desetke poznatih phishing web mjesta, zahvaljujući PhishTank-u i sličnim web-lokacijama s preporukama. Koristila sam Process Explorer za praćenje lokalnih procesa i resursa tijekom instalacije i tekućih operacija. I njušio sam mrežni promet preglednika koristeći Microsoft Network Monitor ili Wireshark i pregledao rezultate zbog curenja informacija.

Konačno, za ove procjene oslanjao sam se i na javno testiranje ranjivosti, uključujući Metasploit i milw0rm.com. Statistika ranjivosti preuzeta je sa Secunia.com ili CVE.

Uz to, svaki je preglednik korišten tijekom niza od nekoliko tjedana (ili dulje) za testiranje opće upotrebe, intervala krpanja i ostalih uključenih funkcija.

Najsigurniji preglednik

Stoga je opći zaključak ovog pregleda da se bilo koji potpuno zakrpani preglednik može relativno relativno sigurno koristiti. Možete promijeniti preglednike, ali vaš je rizik jednak sa svima njima - gotovo nula - ako su vaš preglednik, OS i svi dodaci i dodaci u potpunosti zakrpani.

Međutim, ako sam se pretvarao da sam krajnji korisnik prevaren da pokrenem zlonamjernu izvršnu datoteku (poput lažnog antivirusnog programa), svaki je preglednik dopustio da sustav bude zaražen i ugrožen. Krajnji korisnici koji rade na sustavu Windows Vista bez povišenih vjerodajnica spriječili bi većinu zaraza zlonamjernim softverom, ali čak su i ti korisnici bili lako iskorišteni da su se namjerno povisili da instaliraju nevaljali program.

Savjeti za sigurnost preglednika

* Ne prijavljujte se kao administrator ili root dok koristite internetski preglednik (ili koristite UAC na sustavu Windows Vista, SU na Linuxu itd.).

* Provjerite jesu li preglednik, OS i svi dodaci i dodaci u potpunosti zakrpani.

* Nemojte biti prevareni da pokrenete zlonamjerni kod.

* Ako se tijekom pregledavanja web mjesta neočekivano zatraži instaliranje softvera treće strane, otvorite drugu karticu i preuzmite traženi softver izravno s web mjesta dobavljača softvera.

* Pripazite koje dodatke i dodatke koristite. Mnogi nisu sigurni, mnogi su vrlo nesigurni, a neki su zapravo maskirani malware.