Programmēšana

Pārbaudes centra ceļvedis pārlūkprogrammas drošībai

Nesenajā Internet Explorer ārpus joslas esošajā ārkārtas ielāpa ir daudz lietpratēju, kas iesaka jebkuru pārlūkprogrammu, bet IE kā labāko drošības aizsardzību. Lai gan retāk uzbruktās programmatūras lietošanā ir zināma drošība, labāk ir jautāt, kura ir drošākā izvēle starp populārākajām pārlūkprogrammām? Kādas ir vissvarīgākās drošības funkcijas, kuras meklēt pārlūkprogrammā, un kādi ir piesardzības trūkumi?

Šajā pārskatā galvenā uzmanība tiek pievērsta šādu Windows pārlūkprogrammu drošības funkcijām: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera programmatūras Opera un Apple Safari. Visi, izņemot Chrome, ir iekļauti, jo tie ierindojas starp populārākajām pārlūkprogrammām, ar lielu pieredzi un miljoniem lietotāju. Pārlūkprogramma Google Chrome ir iekļauta, jo tā lepojas ar unikālu drošības modeli un lielajām cerībām ievērojami palielināt citu pārlūkprogrammu tirgus daļu. Pārskatā ir izmantotas jaunākās publiski pieejamās versijas (ieskaitot beta versijas). Katrs pārlūks ir pārbaudīts operētājsistēmās Windows XP Pro SP3 un Windows Vista Enterprise.

[ PriekšVairāk par pārlūka drošību un Test Center drošības pārskatiem par pārlūkiem Chrome, Firefox, Internet Explorer, Opera un Safari skatiet īpašajā ziņojumā. ]

Šīs pārskatīšanas mērķis bija pārbaudīt katras pārlūkprogrammas drošību. Šie pārskati parasti neattiecas uz jaunām funkcijām, kas nav saistītas ar drošību. Turklāt, tā kā šī pārskatīšana bija vērsta uz katra konkrētā pārlūka drošības pārbaudi, visas pārlūkprogrammas tika pārbaudītas tikai ar noklusējuma piegādātāja instalētajiem papildinājumiem. Piemēram, lai arī NoScript ir populārs Firefox pārlūka papildinājums, kas bieži tiek instalēts, lai uzlabotu drošību, tas pēc noklusējuma netiek instalēts, un to nav izveidojis pārdevējs, tāpēc tas netika iekļauts pārskatā.

Pilnīga informācijas atklāšana: šī raksta autors ir Microsoft pilnas slodzes darbinieks kā drošības arhitekts. Viņš nav iesaistīts Internet Explorer izstrādē vai mārketingā. Viņš ikdienā izmanto vairākas pārlūkprogrammas vairākās OS platformās, un viņam ir vairākas izlases, tostarp pārlūkprogrammas, kas nav iekļautas šajā pārskatā.

Droša pārlūka izveide

Administratoriem katrs interneta pieslēgts tīmekļa pārlūks ir jāuzskata par lielu risku. Ļoti augstas drošības apstākļos tīmekļa pārlūkprogrammām nav atļauts darboties vai tās nedrīkst atveidot saturu no interneta. Bet pieņemot, ka jūsu uzņēmumam ir jāpārlūko internets un jāmeklē tīmekļa pārlūks ar pieņemamu drošības līmeni, turpiniet lasīt. Drošā pārlūkprogrammā jāiekļauj vismaz šādas pazīmes:

* Tas tika kodēts, izmantojot drošības attīstības dzīves cikla (SDL) metodes.

* Tam ir veikta koda pārskatīšana un satraukums.

* Tas loģiski atdala tīkla un vietējās drošības domēnus.

* Tas novērš vieglu ļaunprātīgu tālvadību.

* Tas novērš ļaunprātīgu novirzīšanu.

* Tam ir droši noklusējumi.

* Tas ļauj lietotājam apstiprināt jebkuru failu lejupielādi vai izpildi.

* Tas novērš URL neskaidrību.

* Tas satur anti-bufera pārplūdes funkcijas.

* Tas atbalsta kopīgus drošus protokolus (SSL, TLS utt.) Un šifrus (3DES, AES, RSA utt.).

* Tas automātiski tiek ielāpīts un atjaunināts (ar lietotāja piekrišanu).

* Tam ir uznirstošo logu bloķētājs.

* Tas izmanto pretpikšķerēšanas filtru.

* Tas novērš tīmekļa vietnes sīkfailu ļaunprātīgu izmantošanu.

* Tas novērš vienkāršu URL izkrāpšanu.

* Tas nodrošina drošības zonas / domēnus uzticības un funkcionalitātes nošķiršanai.

* Tas aizsargā lietotāja vietnes pieteikšanās akreditācijas datus glabāšanas un lietošanas laikā.

* Tas ļauj pārlūka papildinājumus viegli iespējot un atspējot.

* Tas novērš ļaunprātīgu logu lietošanu.

* Tas nodrošina privātuma kontroli.

Vēl viena laba vieta, kur sākt apgūt detalizētus Web pārlūka drošības pamatus, ir Pārlūkprogrammas drošības rokasgrāmatas 2. daļa, kuru uztur Mihals Zaļevskis. Pārlūkprogrammas drošības rokasgrāmatā ir sniegts lielisks ievads daudzām aizkadru drošības politikām, kas ir pamatā mūsdienu pārlūkprogrammām, un norādīts, kuras funkcijas tiek atbalstītas dažādās pārlūkprogrammās.

Kā izmērīt pārlūkprogrammas drošību

Drošības modelis. Katrs pārlūks tiek kodēts pēc pārlūkprogrammas piegādātāja izvēlētā drošības modeļa pamata stipruma. Šis modelis ir tas, kas neuzticamo tīkla pusi nošķir no uzticamākajām drošības zonām. Ja ļaunprogrammatūra spēj izmantot pārlūkprogrammu, cik viegli tā var apdraudēt visu sistēmu? Kādas aizsargierīces pārdevējs iekļāva pārlūkprogrammas pamatā, lai novērstu ļaunprātīgu izmantošanu? Kā tiek novērsta ļaunprātīga novirzīšana (piemēram, starpdomēnu starpvietņu skriptu izveidošana un rāmju zādzība)? Vai atmiņa ir nodrošināta un notīrīta pret ļaunprātīgu atkārtotu izmantošanu? Vai pārlūks lietotājiem piešķir vairākus drošības domēnus vai zonas ar atšķirīgu funkcionalitātes līmeni, kur izvietot dažādas vietnes atbilstoši viņu saistītās uzticības līmenim? Kādas galalietotāju aizsardzības ir iebūvētas pārlūkprogrammā? Vai pārlūkprogramma mēģina atjaunināt sevi? Visi šie un vēl citi jautājumi attiecas uz pārlūkprogrammas drošības modeļa piemērotību.

Ja pārlūkprogramma darbojas sistēmā Windows, vai tā izmanto datu izpildes novēršanas (DEP) priekšrocības? Ja tas darbojas sistēmā Windows Vista, vai tas izmanto failu un reģistra virtualizāciju, obligātās integritātes vadīklas (sk. Sānjoslu) vai adrešu vietas izkārtojuma nejaušināšanu? Šīm tēmām ir nepieciešams pārāk daudz vietas, lai pienācīgi apspriestu šajā pārskatā, taču visi četri mehānismi var apgrūtināt ļaunprātīgas programmatūras iegūšanu sistēmas kontrolē.

Funkciju kopums un sarežģītība. Vairāk iespēju un sarežģītība ir pretnostatījums datoru drošībai. Papildu funkcijas nozīmē vairāk koda, ko var izmantot, izmantojot neparedzētākas mijiedarbības. Un otrādi, pārlūkprogramma ar minimālu funkciju kopu, iespējams, nespēs atveidot populāras vietnes, kas liek lietotājam izmantot citu pārlūkprogrammu vai instalēt potenciāli nedrošus papildinājumus. Ļaunprātīgas programmatūras autori bieži izmanto populārus papildinājumus.

Svarīga iezīme ir arī lietotāja noteiktās drošības zonas (sauktas arī par drošības domēniem). Galu galā mazāka funkcionalitāte nozīmē labāku drošību. Drošības zonas nodrošina veidu, kā dažādas Web vietas klasificēt kā uzticamākas un tādējādi piemērotas lielākai funkcionalitātei. Jums vajadzētu būt iespējai uzticēties sava uzņēmuma vietnēm ievērojami vairāk nekā vietnei, kurā tiek piedāvāta pirātiska programmatūra, vai nelielai vietnei, kuru apkalpo kāds nepazīstams lietotājs. Drošības zonas ļauj iestatīt dažādus drošības iestatījumus un funkcijas, pamatojoties uz vietnes atrašanās vietu, domēnu vai IP adresi.

Drošības domēni tiek izmantoti visos datora drošības produktos (ugunsmūri, IPS utt.), Lai izveidotu drošības robežas un noklusējuma uzticamības apgabalus. Drošības zona pārlūkprogrammā paplašina šo modeli. Pārlūkprogrammas bez drošības zonām mudina jūs izturēties pret visām vietnēm ar tādu pašu uzticības līmeni, kā arī pirms katra apmeklējuma pārkonfigurēt pārlūkprogrammu vai izmantot citu pārlūkprogrammu mazāk uzticamām vietnēm.

Paziņojumi par ievainojamību un uzbrukumi. Cik daudz ievainojamību ir atrasts un publiski paziņots pret pārlūkprogrammas produktu? Vai ievainojamības skaits palielinās vai samazinās, pārdevējam ielabojot pārlūkprogrammu? Cik nopietnas ir bijušas ievainojamības? Vai tie ļauj pilnībā kompromitēt sistēmu vai atteikt pakalpojumu? Cik daudz ievainojamību pašlaik nav atjaunots? Kāda ir nulles dienu uzbrukumu pret pārdevēju vēsture? Cik bieži pārdevēja pārlūkprogramma tiek mērķēta uz konkurenta produktu?

Pārlūka drošības testi. Kā pārlūkam veicās ar populāri pieejamiem pārlūka drošības testa komplektiem? Šajā pārskatā visi produkti izturēja vispazīstamākos pārlūkprogrammas drošības testus, kas atrodas internetā, tāpēc katrs vienums tika tālāk pakļauts desmitiem reālām ļaunprātīgām vietnēm. Bieži vien rezultāts nebija skaists. Es pieredzēju biežu pārlūka bloķēšanu, nevēlamu saturu un dažreiz pilnīgu sistēmas atkārtotu palaišanu.

Uzņēmuma vadāmības funkcijas. nodrošina administratorus un tehniķus, kuriem jāveic uzdevumi visā uzņēmumā. Parasti iecienīto individuālo pārlūku ir viegli nodrošināt personīgai lietošanai, taču, lai to izdarītu visam uzņēmumam, ir nepieciešami īpaši rīki. Ja pārlūkprogramma tika izvēlēta lietošanai uzņēmumā, cik viegli ir instalēt, iestatīt un pārvaldīt drošas konfigurācijas katram lietotājam?

Šīs ir vispārīgās kategorijas, kas tika ņemtas vērā, pārskatot katru interneta pārlūku.

Kā es pārbaudīju

Interneta testu komplekti ietvēra vairākas pārlūkprogrammas drošības pārbaudes vietnes, piemēram, scanit un Jason's Toolbox; vairākas JavaScript, Java un uznirstošo logu bloķētāju testēšanas vietnes; vairākas vietņu skriptu (XSS) testēšanas vietnes; un vairākas pārlūkprogrammas privātuma pārbaudes vietnes. Pārbaudīju pārlūku paroļu apstrādes drošību, izmantojot Password Manager Evaluator vietni, un sīkfailu apstrādes drošību, izmantojot Gibson Research Corporation sīkdatņu kriminālistikas vietni. Es pārbaudīju paplašinātās validācijas sertifikātus, izmantojot saites, kas norādītas IIS7 vietnē.

Es pārlūkoju desmitiem vietņu, kas, kā zināms, satur dzīvu ļaunprātīgu programmatūru no vairākiem publiskiem un privātiem ļaunprātīgas programmatūras vietņu sarakstiem, tostarp ShadowServer. Apmeklēju arī desmitiem zināmu pikšķerēšanas vietņu, pateicoties PhishTank un līdzīgām novirzīšanas vietnēm. Es izmantoju Process Explorer, lai uzraudzītu vietējos procesus un resursus instalēšanas un notiekošo darbību laikā. Un es nošņācu pārlūkprogrammu tīkla trafiku, izmantojot Microsoft Network Monitor vai Wireshark, un pārbaudīju informācijas noplūdes rezultātus.

Visbeidzot, es arī paļāvos uz publisko neaizsargātības testēšanu, lai veiktu šos novērtējumus, tostarp Metasploit un milw0rm.com. Neaizsargātības statistika tika ņemta no Secunia.com vai CVE.

Katrs pārlūks tika izmantots vairāku nedēļu (vai ilgāku) sērijā, lai pārbaudītu vispārēju lietošanu, ielāpu intervālus un citas iesaistītās funkcijas.

Visdrošākais pārlūks

Tādējādi šīs pārskatīšanas vispārējais secinājums ir tāds, ka jebkuru pilnībā ielāpītu pārlūku var izmantot samērā droši. Jūs varat mainīt pārlūkprogrammas, taču jūsu risks ir vienāds ar visiem - gandrīz nulle -, ja jūsu pārlūkprogramma, OS un visi papildinājumi un spraudņi ir pilnībā salāpīti.

Tomēr, ja es izlikos, ka esmu gala lietotājs, kurš ir maldināts, lai palaistu ļaunprātīgu izpildāmo failu (piemēram, viltotu pretvīrusu programmu), katrs pārlūks ļāva sistēmai inficēties un tikt apdraudētai. Galalietotāji, kas darbojas operētājsistēmā Windows Vista bez paaugstināta akreditācijas datu, būtu novērsuši lielāko daļu ļaundabīgo programmu infekciju, taču pat šie lietotāji tika viegli izmantoti, ja viņi mērķtiecīgi paaugstināja sevi, lai instalētu negodīgas programmas.

Pārlūka drošības padomi

* Nepiesakieties kā administrators vai root, palaižot interneta pārlūku (vai lietojiet UAC operētājsistēmā Windows Vista, SU operētājsistēmā Linux utt.).

* Pārliecinieties, vai pārlūkprogramma, OS un visi papildinājumi un spraudņi ir pilnībā salāpīti.

* Neļaujiet viltus palaist ļaunprātīgu kodu.

* Ja, pārlūkojot vietni, negaidīti tiek piedāvāts instalēt trešās puses programmatūru, atveriet citu cilni un lejupielādējiet pieprasīto programmatūru tieši no programmatūras pārdevēja vietnes.

* Esiet piesardzīgs attiecībā uz izmantotajiem papildinājumiem un spraudņiem. Daudzi nav droši, daudzi ir ļoti nedroši, un daži patiesībā ir maskētas ļaunprātīgas programmatūras.

Copyright lv.verticalshadows.com 2024

$config[zx-auto] not found$config[zx-overlay] not found