Programavimas

„Test Center“ naršyklės saugos vadovas

Neseniai išjungtas „Internet Explorer“ neatidėliotinas pagalbos pataisymas turi daug specialistų, rekomenduojančių bet kurią naršyklę, bet IE kaip geriausią saugumo apsaugą. Nors yra šiek tiek saugiau naudoti rečiau atakuojamą programinę įrangą, geriau kelti klausimą, kuris yra saugiausias pasirinkimas tarp populiariausių naršyklių? Kokių svarbiausių saugos funkcijų reikia ieškoti naršyklėje, ir kokių trūkumų reikia saugotis?

Šioje apžvalgoje daugiausia dėmesio skiriama šių „Windows“ pagrindu veikiančių interneto naršyklių saugos funkcijoms: „Google Chrome“, „Mozilla Firefox“, „Microsoft Internet Explorer“, „Opera“ programinės įrangos „Opera“ ir „Apple“ „Safari“. Visos, išskyrus „Chrome“, yra įtrauktos, nes jos priskiriamos prie populiariausių naršyklių, turinčios ilgą patirtį ir milijonus vartotojų. „Google Chrome“ yra įtraukta, nes ji gali pasigirti unikaliu saugumo modeliu ir dideliais lūkesčiais ženkliai prisidėti prie kitų naršyklių rinkos dalies. Apžvalgoje buvo naudojamos naujausios viešai prieinamos versijos (įskaitant beta versijas). Kiekviena naršyklė buvo išbandyta naudojant „Windows XP Pro SP3“ ir „Windows Vista Enterprise“.

[ Dėldaugiau apie naršyklės saugumą ir „Test Center“ saugos apžvalgas apie „Chrome“, „Firefox“, „Internet Explorer“, „Opera“ ir „Safari“, žr. specialųjį pranešimą. ]

Šios apžvalgos tikslas buvo patikrinti kiekvienos naršyklės tinkamumą saugumui. Paprastai šios apžvalgos neapima jokių naujų funkcijų, nesusijusių su saugumu. Be to, kadangi ši apžvalga buvo orientuota į kiekvienos konkrečios naršyklės saugumo patikrinimą, visos naršyklės buvo išbandytos tik su numatytais pardavėjo įdiegtais priedais. Pavyzdžiui, nors „NoScript“ yra populiarus „Firefox“ naršyklės priedas, dažnai diegiamas siekiant pagerinti saugumą, jis nėra įdiegtas pagal numatytuosius nustatymus ir nėra sukurtas pardavėjo, todėl jis nebuvo įtrauktas į apžvalgą.

Visiškas atskleidimas: šio straipsnio autorius visą darbo dieną „Microsoft“ dirba kaip saugos architektas. Jis nedalyvauja kuriant ar reklamuojant „Internet Explorer“. Jis kasdien naudoja kelias naršykles keliose OS platformose ir turi keletą mėgstamiausių, įskaitant naršykles, kurios nėra įtrauktos į šią apžvalgą.

Saugios naršyklės kūrimas

Paprastai administratoriai turi laikyti didelę riziką kiekviena prie interneto prijungta interneto naršykle. Labai saugioje aplinkoje interneto naršyklėms neleidžiama paleisti arba joms neleidžiama pateikti turinio iš interneto. Bet darant prielaidą, kad jūsų įmonei reikia naršyti internete ir ieškoti žiniatinklio naršyklės su priimtinu saugumo lygiu, toliau skaitykite. Saugioje naršyklėje turi būti bent šie bruožai:

* Jis buvo užkoduotas naudojant „Security Development Lifecycle“ (SDL) metodus.

* Jis buvo peržiūrėtas kodas ir suveikė.

* Tai logiškai atskiria tinklo ir vietinio saugumo domenus.

* Tai apsaugo nuo kenksmingo nuotolinio valdymo.

* Tai apsaugo nuo piktavališko peradresavimo.

* Jis turi saugius numatytuosius nustatymus.

* Tai leidžia vartotojui patvirtinti bet kokį failo atsisiuntimą ar vykdymą.

* Tai apsaugo nuo URL nežinomybės.

* Jame yra apsaugos nuo buferio perpildymo funkcijų.

* Jis palaiko įprastus saugius protokolus (SSL, TLS ir kt.) Ir šifrus (3DES, AES, RSA ir kt.).

* Jis automatiškai pataiso ir atnaujina save (gavus vartotojo sutikimą).

* Jame yra iššokančiųjų langų blokavimo priemonė.

* Jis naudoja apsaugos nuo sukčiavimo filtrą.

* Tai apsaugo nuo netinkamo svetainės slapukų naudojimo.

* Tai apsaugo nuo paprasto URL suklastojimo.

* Tai suteikia saugumo zonas / domenus, kad būtų galima atskirti pasitikėjimą ir funkcionalumą.

* Saugo vartotojo interneto prisijungimo duomenis saugojimo ir naudojimo metu.

* Tai leidžia lengvai įjungti ir išjungti naršyklės priedus.

* Tai apsaugo nuo piktybiško langų naudojimo.

* Tai suteikia privatumo kontrolę.

Dar viena gera vieta pradėti mokytis išsamių žiniatinklio naršyklės pagrindų yra „Naršyklės saugumo vadovo“ 2 dalis, kurią tvarko Michalas Zalewskis. Naršyklės saugos vadove yra puikus įvadas į daugelį užkulisių saugumo politikos, kuria grindžiama dauguma šių dienų naršyklių, ir nurodomos funkcijos, palaikomos įvairiose naršyklėse.

Kaip išmatuoti naršyklės saugumą

Saugumo modelis. Kiekviena naršyklė užkoduota pagal pagrindinį naršyklės pardavėjo pasirinkto saugos modelio stiprumą. Šis modelis palaiko nepatikimą tinklo pusę nuo patikimesnių saugumo zonų. Jei kenkėjiška programa gali išnaudoti naršyklę, kaip lengvai ji gali pakenkti visai sistemai? Kokias apsaugos priemones pardavėjas įtraukė į pagrindinį naršyklės dizainą, kad būtų išvengta piktnaudžiavimo? Kaip užkirsti kelią kenkėjiškam peradresavimui (pvz., Kelių domenų kryžminių svetainių scenarijų ir rėmelių vagystėms)? Ar atmintis apsaugota ir išvalyta nuo piktybinio pakartotinio naudojimo? Ar naršyklė suteikia galutiniams vartotojams kelis saugos domenus ar zonas su įvairaus lygio funkcijomis, kuriose galima įdėti skirtingas svetaines pagal jų susieto pasitikėjimo lygį? Kokios galutinio vartotojo apsaugos įdiegtos naršyklėje? Ar naršyklė bando atnaujinti save? Visi šie ir dar daugiau klausimų skirti nustatyti naršyklės saugos modelio tinkamumą.

Ar naršyklė veikia sistemoje „Windows“, ar ji naudojasi duomenų vykdymo prevencijos (DEP) pranašumais? Ar ji veikia „Windows Vista“, ar ji naudoja failų ir registrų virtualizavimą, privalomus vientisumo valdiklius (žr. Šoninę juostą) ar adresų erdvės išdėstymo atsitiktinį nustatymą? Šioms temoms reikia per daug vietos tinkamai aptarti šioje apžvalgoje, tačiau dėl visų keturių mechanizmų kenkėjiškos programos gali apsunkinti sistemos kontrolę.

Funkcijų rinkinys ir sudėtingumas. Daugiau funkcijų ir padidėjęs sudėtingumas yra priešprieša kompiuterių saugumui. Papildomos funkcijos reiškia daugiau kodo, kurį galima panaudoti naudojant netikėtesnes sąveikas. Ir atvirkščiai, naršyklė su minimaliu funkcijų rinkiniu gali nepateikti populiarių svetainių, o tai priverčia vartotoją naudoti kitą naršyklę arba įdiegti potencialiai nesaugius priedus. Kenkėjiškų programų rašytojai dažnai naudojasi populiariais priedais.

Vartotojo apibrėžtos saugumo zonos (dar vadinamos saugumo domenais) taip pat yra svarbi savybė. Galų gale, mažesnis funkcionalumas reiškia geresnį saugumą. Apsaugos zonos suteikia galimybę įvairias svetaines klasifikuoti kaip patikimesnes ir todėl tinkamas didesniam funkcionalumui. Turėtumėte patikėti savo įmonės svetainėmis žymiai labiau nei svetainė, siūlanti piratinę programinę įrangą, arba mažas tinklalapis, kurį aptarnauja nepažįstamas asmuo. Apsaugos zonos leidžia nustatyti įvairius saugos parametrus ir funkcijas, atsižvelgiant į svetainės vietą, domeną ar IP adresą.

Saugos domenai naudojami kiekviename kompiuterio saugos produkte (ugniasienėse, IPS ir pan.), Norint nustatyti saugos ribas ir numatytojo pasitikėjimo sritis. Turint saugos zoną naršyklėje, šis modelis pratęsiamas. Naršyklės be saugumo zonų skatina elgtis su visomis svetainėmis vienodai patikimai - taip pat prieš kiekvieną apsilankymą perkonfigūruoti naršyklę arba naudoti kitą naršyklę mažiau patikimoms svetainėms.

Pranešimai apie pažeidžiamumą ir atakos. Kiek buvo aptikta ir viešai paskelbta naršyklės produkto spragų? Ar pažeidžiamumas didėja ar mažėja, kai pardavėjas pataiso savo naršyklę? Kiek rimti buvo pažeidžiamumai? Ar jie leidžia visiškai pažeisti sistemą ar atsisakyti teikti paslaugą? Kiek pažeidžiamumų šiuo metu nepašalinta? Kokia yra nulinės dienos atakų prieš pardavėją istorija? Kaip dažnai pardavėjo naršyklė yra nukreipta į konkurentų produktą?

Naršyklės saugumo testai. Kaip sekėsi naršyklei palyginti su populiariais naršyklės saugos testų rinkiniais? Šioje apžvalgoje visi produktai išlaikė žinomiausius naršyklės saugumo testus, esančius internete, todėl kiekvienas elementas buvo dar labiau aptiktas dešimčių realių kenkėjiškų svetainių. Dažnai rezultatas nebuvo gražus. Patyriau dažną naršyklės blokavimą, nepageidaujamą turinį ir kartais visišką sistemos paleidimą.

Įmonės valdymo funkcijos. Teikia administratorius ir technikus, kuriems reikia atlikti užduotis visoje įmonėje. Paprastai mėgstamą individualią naršyklę lengva apsaugoti asmeniniam naudojimui, tačiau norint tai padaryti visam verslui, reikia specialių įrankių. Jei naršyklė buvo pasirinkta naudoti įmonėje, kaip lengva įdiegti, nustatyti ir valdyti saugias kiekvieno vartotojo konfigūracijas?

Tai yra bendrosios kategorijos, į kurias buvo atsižvelgta peržiūrint kiekvieną interneto naršyklę.

Kaip aš išbandžiau

Interneto bandymų paketuose buvo kelios naršyklės saugos testavimo svetainės, tokios kaip „scanit“ ir „Jason's Toolbox“; kelios „JavaScript“, „Java“ ir iššokančiųjų langų blokavimo priemonių testavimo svetainės; keletas svetainių scenarijų (XSS) testavimo svetainių; ir kelios naršyklės privatumo testavimo svetainės. Aš išbandžiau naršyklių slaptažodžių tvarkymo saugumą naudodamas „Password Manager Evaluator“ svetainę ir slapukų tvarkymo saugumą naudodamasis „Gibson Research Corporation“ slapukų kriminalistikos svetaine. Išbandžiau išplėstinio patvirtinimo sertifikatus naudodamas IIS7 svetainėje pateiktas nuorodas.

Naršiau po keliasdešimt svetainių, kuriose, žinoma, yra gyvų kenkėjiškų programų iš kelių viešų ir privačių kenkėjiškų programų svetainių sąrašų, įskaitant „ShadowServer“. Taip pat aplankiau keliasdešimt žinomų sukčiavimo svetainių, sutikdamas su „PhishTank“ ir panašiomis persiuntimo svetainėmis. Naudodamas „Process Explorer“ stebėjau vietinius procesus ir išteklius diegimo ir vykdomų operacijų metu. Aš užuodžiau naršyklių tinklo srautą naudodamas „Microsoft Network Monitor“ arba „Wireshark“ ir ištyręs informacijos nutekėjimo rezultatus.

Galiausiai, atlikdamas šiuos vertinimus, taip pat rėmiausi visuomenės pažeidžiamumo testais, įskaitant „Metasploit“ ir „milw0rm.com“. Pažeidžiamumo statistika buvo paimta iš Secunia.com arba CVE.

Be to, kiekviena naršyklė buvo naudojama kelias savaites (ar ilgiau), kad būtų išbandytas bendras naudojimas, pataisymo intervalai ir kitos susijusios funkcijos.

Saugiausia naršyklė

Taigi bendra šios apžvalgos išvada yra ta, kad bet kurią visiškai užtaisytą naršyklę galima naudoti gana saugiai. Galite pakeisti naršyklę, tačiau rizika yra ta pati su visomis - beveik nulis - jei jūsų naršyklė, OS ir visi priedai ir papildiniai yra visiškai pataisyti.

Tačiau jei apsimesdavau, kad esu galutinis vartotojas, apgaulingai paleidęs kenkėjišką vykdomąjį failą (pvz., Suklastotą antivirusinę programą), kiekviena naršyklė leido sistemai užkrėsti ir pažeisti. Galutiniai vartotojai, kurie naudoja „Windows Vista“ be padidintų duomenų, būtų užkirstas kelias daugumai kenkėjiškų programų infekcijų, tačiau net ir tie vartotojai buvo lengvai išnaudojami, jei jie tikslingai pakėlė sau kelią įdiegti nesąžiningą programą.

Naršyklės saugumo patarimai

* Neprisijunkite kaip administratorius ar root, kai naudojate interneto naršyklę (arba naudokite UAC sistemoje „Windows Vista“, SU - „Linux“ ir kt.).

* Įsitikinkite, kad naršyklė, OS ir visi priedai bei papildiniai yra visiškai pataisyti.

* Negalima apgauti paleisti kenkėjiško kodo.

* Jei naršant svetainėje netikėtai raginama įdiegti trečiosios šalies programinę įrangą, atidarykite kitą skirtuką ir atsisiųskite reikiamą programinę įrangą tiesiai iš programinės įrangos tiekėjo svetainės.

* Būkite atsargūs dėl to, kuriuos priedus ir papildinius naudojate. Daugelis jų nėra saugūs, daugelis yra labai nesaugūs, o kai kurie iš tikrųjų yra užmaskuota kenkėjiška programa.

Copyright lt.verticalshadows.com 2022