Добавляем безопасности браузеру Firefox. Безопасность браузеров

Проект SAFE » Настройки безопасности браузеров

Веб-браузер – едва ли не самый распространенный рабочий инструмент. Люди листают страницы сайтов, отвечают на письма, заходят в онлайновые магазины, скачивают файлы и часто не задумываются: ведь все это время они пользуются одной и той же программой. Достаточно ли она безопасна? Хороши ли настройки по умолчанию? Может, есть смысл что-нибудь изменить?

В этой статье мы поговорим о популярных кросс-платформенных браузерах Google Chrome и Mozilla Firefox.

Будем считать, что вы знакомы с браузером хотя бы в общих чертах, и обратим всё внимание на специфические настройки.

Обновления

Устанавливать обновления – общее правило для всех программ, и браузеры не исключение. С помощью обновлений разработчик не только делает программу функциональнее, но и ликвидирует уязвимости и исправляет ошибки. Общая рекомендация: не препятствуйте браузеру в установке обновлений.

Начальная страница

Удобно, когда браузер при запуске показывает часто используемую веб-страницу (например, новостную ленту) или подборку недавно (часто) открытых страниц, но это не лучшая идея с точки зрения обеспечения безопасности. Не давайте браузеру запоминать эти данные, и тогда их не увидит случайный человек.

• Chrome: меню "Настройки" – раздел "При запуске открывать" – убедитесь, что выбрано значение "Новую вкладку".
• Firefox: меню "Настройки" – (слева) меню "Основные" – раздел "При запуске Firefox" – выберите "Показать пустую страницу" или "Показать домашнюю страницу" (в последнем случае убедитесь, что в поле "Домашняя страница" (чуть ниже) указано что-либо не идентифицирующее ваши интересы и дела (например, вариант по умолчанию "Начальная страница Mozilla Firefox").

Пароли

По умолчанию в обоих браузерах включена функция сохранения паролей. Многие пользователи не обращают на это внимание, и если браузер предлагает сохранить пароль, машинально соглашаются. Таким образом, браузер становится хранилищем самого ценного, что может быть у активного пользователя сети: паролей к разным аккаунтам. Да, в Firefox есть функция "мастер-пароль", которая позволяет с помощью одного пароля зашифровать все остальные. Но по умолчанию она выключена, и опыт показывает, что пользуются ей нечасто. Кроме того, сохраненные в браузере пароли не будут автоматически добавлены, например, в другой браузер, которым вы пользуетесь на том же устройстве. Советуем использовать для хранения паролей надежное зашифрованное хранилище, менеджер паролей (например, KeePassXС).

• Chrome: меню "Настройки" – (в самом низу) ссылка "Дополнительные" – раздел "Пароли и формы" – пункт "Настроить" – передвиньте первый рычажок влево (в положение "Выкл").
• Firefox: меню "Настройки" – (слева) меню "Приватность и Защита" – раздел "Формы и пароли" – снимите галочку в поле "Запоминать логины и пароли для веб-сайтов".

Не забудьте заглянуть в список уже сохраненных паролей, и если таковые обнаружатся – перенести их в защищенную базу, а из браузеров удалить. Для Google Chrome это можно сделать в том же окне, где рычажок "Выкл" (см. выше), для Mozilla Firefox нужно нажать кнопку "Сохраненные логины".

Отслеживание

Многие веб-сайты собирают данные о вас. Они позволяют третьим сторонам отслеживать, какие сайты вы посещаете. Современные браузеры позволяют включать в запросы уведомление о том, что вы возражаете против такого отслеживания. У каждого сайта своя политика, и нет гарантий, что ваша просьба будет исполнена "как есть", но включение этой функции может несколько уменьшить активность по сбору данных.

• Chrome: меню "Настройки" – (в самом низу) ссылка "Дополнительные" – раздел "Конфиденциальность и безопасность" – включите рыжачок в поле "Отправлять запрет на отслеживание с исходящим трафиком" и нажмите во всплывающем окне синюю кнопку "Подтвердить".
• Firefox: меню "Настройки" – пункт "Приватность и Защита" – найдите пункт "Передавать сайтам сигнал “Не отслеживать”, означающий, чтобы вы не хотите быть отслеживаемыми" –  выберите пункт "Всегда". 

​В Firefox можно также заблокировать т.н. трекеры, маленькие элементы, используемые веб-сайтами для отслеживания вашего поведения на страницах. Для этого в том же разделе настроек (чуть выше) в позиции "Использовать защиту от отслеживания для блокировки известных трекеров" установите значение "Всегда".

Синхронизация

Эта функция позволяет поддерживать актуальность всех ваших настроек и сохраненных данных, если вы работаете на разных устройствах. Удобно, однако из соображений безопасности мы бы советовали синхронизацию отключить. Убедиться, что синхронизация отключена, можно:

• Chrome: меню "Настройки" –  в самом верху.
• Firefox: меню "Настройки" – пункт "Аккаунт Firefox".

Удаление сохраненных данных

История (журнал) посещенных страниц – удобный инструмент, в котором можно, например, найти сайт, посещенный пару дней назад. Но с точки зрения безопасности история – готовый каталог ваших предпочтений, интересов и слабостей. Это детальная коллекция следов, оставленных вами в интернете. Если устройство попадет в руки злоумышленника, он сможет извлечь из этой коллекции ценный материал.

Помимо истории, есть немало других данных, которые сохраняет браузер. Вот некоторые:

• История загрузок. Какие файлы вы загружали из интернета и куда их сохраняли.
• История поиска. Информация о ваших поисковых запросах.
• Данные форм. Информация, которую вы вводите в онлайновые формы (например, имя – при регистрации на каком-либо сайте).
• Куки-файлы (cookies). Маленькие текстовые файлы, которые браузер записывает на ваш компьютер. Могут содержать разнообразную информацию о посещенных вами сайтах.
• Кеш. Сохраненные изображения (и другие данные) с веб-сайтов.

Можно быстро очистить историю вручную, выбрав типы данных для удаления и временной промежуток (например, за час, за день и т. д.).

• Chrome: меню "Дополнительные инструменты" – пункт "Удаление данных о просмотренных страницах". Появится всплывающее окно "Очистить историю".
• Firefox: меню "Библиотека" – "Журнал" – пункт "Удалить историю". Появится всплывающее окно "Удаление недавней истории".

Для браузера Firefox, созданного "с прицелом" на приватность, доступны гибкие настройки "что и как сохранять". Вы можете увидеть их в меню "Настройки" – пункт "Приватность и Защита". Доступны разные варианты. Если вы настроены решительно и хотите обеспечить наилучшую приватность работы в браузере, попробуйте отключить сохранение данных. Для этого в разделе "История" выберите "Не будет запоминать историю" (понадобится перезапустить браузер). Впрочем, вы можете выбрать свою комбинацию настроек (вариант "Будет использовать ваши настройки хранения истории"), например, с очисткой истории посещенных страниц и удалением куки-файлов при закрытии браузера.

Удаление сохраненных данных (как для Chrome, так и для Firefox) возможна также с помощью специальных программ-"чистильщиков" вроде CCleaner.

Разрешения

Довольно часто веб-сайты просят разрешение, например, на доступ к данным местоположения (геонавигационные программы, туристические путеводители, интернет-магазины с доставкой товаров на дом и др.), доступ к микрофону и/или камере (чаты, мессенджеры и др.), возможность показывать вам push-уведомления (новостные сайты, развлекательные порталы и др.). Иногда это способно принести вам пользу, иногда лишь позволяет владельцам сайтов собирать дополнительные данные о вас или надоедать вам всплывающими окошками. Можно настроить ваши предпочтения (и заодно посмотреть, каким сайтам вы уже дали разные разрешения).

• Chrome: "Настройки" – (в самом низу) ссылка "Дополнительные" – раздел "Конфиденциальность и безопасность" – пункт "Настройки контента".
• Firefox: "Настройки" – (слева) "Приватность и Защита" – раздел "Разрешения".

Приватный режим

Во время работы, не изменяя обычные настройки браузера, можно воспользоваться специальным режимом просмотра веб-сайтов, при котором браузер не будет собирать данные (куки-файлы, пароли и т. д.). В Google Chrome это называется "режим инкогнито", в Mozilla Firefox – "приватное окно". Внешне этот режим мало чем отличается от обычного окна или вкладки.

• Chrome: "Новое окно в режиме инкогнито" (или сочетание клавиш Ctrl+Shift+N).
• Firefox: "Новое приватное окно" (или сочетание клавиш Ctrl+Shift+P).

Не забывайте, что приватный режим не влияет на сохранение загрузок и закладок.

Портативная версия

Большинство из вас наверняка пользуется обычной версией браузера, установленной в системе. Портативная версия имеет преимущества.

• Вы можете носить браузер с собой на флешке, использовать его на работе, дома, в командировке. Все ваши настройки и закладки сохранятся.
• Если вы освоите азы шифрования, то сможете хранить браузер в зашифрованном контейнере или на зашифрованном диске. Это надежно защитит упомянутые выше настройки от чужих глаз. Вы сможете перестать беспокоиться о тех данных, которые не защитить стандартными настройками браузера (например, закладки).

Портативные версии браузеров можно скачать, например, с известного сайта PortableApps:

Многие функции обеспечения безопасности отсутствуют в браузерах по умолчанию, но их можно получить с помощью дополнений/расширений. О том, как это сделать, будет рассказано в отдельной статье.

Версия для печати

safe.rublacklist.net

О правильности выбора браузера.(безопасность браузеров)

Всемирная паутина сейчас буквально кишит «ядовитыми тварями». И все больше вредоносных программ проникает на жесткие диски пользователей через браузер.

Возникает резонный вопрос: влияет ли выбор браузера на вероятность подцепить какую-нибудь электронную заразу? Здравый смысл подсказывает нам, что по возможности следует избегать Internet Explorer — хотя бы просто потому, что его повсеместная распространенность, как ничто другое, притягивает к себе разработчиков вредоносных программ.

Конечно, толика истины в этом есть, но мы решили не спешить с ответом и для начала попытаться более глубоко оценить уровень безопасности пяти наиболее популярных браузеров: Internet Explorer, Firefox, Opera, Safari и Chrome. При заходе на известные нам инфицированные сайты каждый управляющий элемент, флажок и бегунок тщательно прощупывался и изучался. В итоге мы пришли к выводу, что степень безопасности гораздо больше зависит от ответственности и разумного поведения конечного пользователя, чем от выбора какого-то конкретного браузера.

Мошеннические программы: щелкни по мне!

Не секрет, что активизация большинства вредоносных программ требует вашего непосредственного участия. Сейчас уже всем пора бы знать, что если на незнакомом сайте предлагают что-то загрузить, от этого следует немедленно отказаться. Однако людская наивность не знает границ. По иронии судьбы заражение чаще всего происходит, когда пользователь заглатывает наживку и попадается на «антивирусную» аферу («ваш компьютер инфицирован; загрузите эту антивирусную программу»). От такой беспечности не в силах уберечь ни один браузер.

Утешает лишь то, что у грамотных пользователей, не допускающих подобных ошибок и своевременно устанавливающих необходимые обновления, остается гораздо меньше поводов для страхов, причем даже с учетом весьма опасного соседства в Web. Проведенное нами тестирование, в процессе которого мы обращались к более чем сотне известных вредоносных сайтов, показало, что ни один из браузеров с обновленной системой безопасности не пропустил скрытую угрозу, хотя довольно часто их нормальная работа нарушалась, а иногда требовалась и полная перезагрузка системы.

Следует помнить, что в этой извечной борьбе участвует не только браузер. Через его интерфейс вредоносные программы из Web могут просачиваться в прорехи операционной системы или различных плагинов типа Flash, Java и QuickTime. Поэтому необходимо обновлять не только сам браузер, но и все указанные компоненты. Радует, что ситуация с этим уже улучшается. Большинство популярных браузеров — включая и те пять, что были протестированы нами, — предлагают процедуру автоматического обновления.

Фавориты большой пятерки

Подсистемы безопасности браузеров поддерживают достаточно широкий функционал, благодаря чему пользователям удается успешно отражать атаки вредоносных программ и сохранять в неприкосновенности свою конфиденциальную информацию.

Все пять браузеров содержат средства блокировки всплывающих окон, антифишинговые фильтры и механизмы защиты паролей. Эти программы, за исключением Opera, позволяют организовать конфиденциальную сессию, когда браузер не сохраняет никакой информации, дающей возможность как-то проследить за вашими перемещениями, — ни истории, ни компонентов cookie, ни временных файлов Интернета. Однако лишь два претендента из рассмотренных нами (Internet Explorer и Firefox) поддерживали самую мощную из существующих ныне функций — настраиваемые зоны безопасности, позволяющие клиентам дифференцировать веб-сайты в зависимости от степени доверия к ним.Конечному пользователю, в частности, предоставляется возможность определить «зону», в которой на пути малоизвестных сайтов будет стоять полный набор средств безопасности браузера, в том числе и механизм отключения сценариев JavaScript, частенько применяемых для распространения вредоносных программ. Браузеры Firefox и Internet Explorer позволяют также отключать модули расширения, тогда как Safari, Opera и Chrome не поддерживают этого.

Функциям безопасности браузера отводится важная роль в деле обеспечения безопасности пользовательской компьютерной среды в целом. Конкретный их состав зависит от того, какой браузер у вас установлен. Следовательно, можно отметить, что с точки зрения безопасности некоторые решения превосходят своих конкурентов. А теперь приведем краткий обзор каждого из пяти выбранных нами номинантов.

Microsoft Internet Explorer

Достоинства. В настоящее время Internet Explorer — самый мощный с точки зрения безопасности браузер. Он поддерживает более 1300 настроек безопасности, в то время как у ближайшего к нему конкурента Firefox таковых насчитывается только 150. У IE имеется пять легко конфигурируемых зон безопасности, для которых вы можете отключить выполнение сценариев JavaScript и модулей расширения. Это единственный браузер, включающий в свой состав средства родительского контроля.

У IE имеется пять легко конфигурируемых зон безопасности, для которых вы можете отключить выполнение сценариев JavaScript и модулей расширения. Это единственный браузер, включающий в свой состав средства родительского контроля

Недостатки. Популярность Explorer делает его главным объектом атак хакеров. Поддержка элементов ActiveX (еще одного механизма, широко используемого вредоносными программами для проникновения в компьютер) порождает дополнительную угрозу, отсутствующую у других браузеров.

Вывод. Превосходство средств безопасности Internet Explorer уравновешивается тем, что этот браузер значительно чаще других подвергается атакам.

Mozilla Firefox

Достоинства. Проверенный в боях ветеран поддерживает зоны безопасности и встроенный механизм управления, позволяющий без труда отключать модули расширения и сценарии JavaScript.

Firefox — неплохой выбор для пользователей ПК. По количеству поддерживаемых функций и настроек безопасности он находится на втором месте, уступая только Internet Explorer

Недостатки. Определение зон безопасности представляет собой достаточно сложную процедуру.

Вывод. Firefox — неплохой выбор для пользователей ПК. По количеству поддерживаемых функций и настроек безопасности он находится на втором месте, уступая только Internet Explorer.

Apple Safari

Достоинства. Safari может похвастаться самым безошибочным антифишинговым фильтром. Кроме того, перед загрузкой какого-либо файла он всегда выдает пользователю соответствующий запрос. Safari (как и Chrome) хорошо блокирует нежелательные элементы cookie.

Недостатки. Отсутствуют зоны безопасности и возможность отключения модулей расширения.

Вывод. Хотя в целом Safari и смотрится довольно неплохо, подсистема безопасности — не главный его козырь. Тем не менее при установке всех обновлений и на полностью обновленной системе он формирует достаточно безопасную среду.

Opera

Достоинства. Opera поддерживает расширенный набор средств безопасности и обеспечивает хорошую защиту против атак, направленных на отказ в обслуживании.

Недостатки. Отсутствуют зоны безопасности, возможность отключения модулей расширения и организации конфиденциальных сеансов. Отсутствие поддержки ключевых функций безопасности Windows повышает риск успешного проведения злоумышленниками атак, связанных с переполнением буфера.

Вывод. Opera — прекрасный браузер, но он не годится для работы в условиях постоянного отражения атак. Для того чтобы его можно было рекомендовать, разработчикам как минимум необходимо добавить поддержку функций Windows Data Execution Prevention и Address Layout Space Randomization.

Google Chrome

Достоинства. Сценарии JavaScript выполняются под управлением виртуальной машины, что является дополнительным сдерживающим фактором. Chrome (как и Safari) хорошо блокирует нежелательные элементы cookie.

Недостатки. Chrome не умеет отключать сценарии JavaScript — весьма серьезный недостаток, особенно если учесть, что именно язык JavaScript используется многими вредоносными программами, распространяемыми через Web. Браузер допускает отображение паролей в виде обычного текста, вследствие чего их могут увидеть люди, проходящие мимо. Кроме того, он не всегда справляется с относительно простыми атаками, ориентированными на переполнение буфера.

Вывод. Модель безопасности, предложенная разработчиками Chrome, не вызывает никаких нареканий, но конкретные решения реализованы зачастую очень плохо. Еще сильнее огорчает то, что обнаруженные в Chrome уязвимости просты и известны, — не к лицу уважаемой компании Google допускать такие ляпы.

safe-internet.at.ua

Безопасный браузер, какой выбрать?

В условиях, когда подавляющая часть атак и заражений компьютеров происходит через веб, от выбора интернет-браузера зависит очень многое. Фактически браузер становится важной составной частью комплекса безопасности всей системы и от его выбора, своевременно установленных обновлений и настроек напрямую зависит уровень защищенности системы.

Уязвимости браузеров очень часто используются для проведения атаки, загрузки и установки на компьютер жертвы вредоносных программ. Как правило, в этом случае пользователю даже не нужно скачивать и открывать какие-то файлы, достаточно просто зайти на зараженный сайт и атака будет незаметно произведена (так называемые атаки drive-by-down).

Опустим сейчас проблему уязвимостей браузерных плагинов, таких как Abode Flash, Java и т.п., о которой я писал в предыдущей посте (хотя уже большая часть атак направленно именно на них), а рассмотрим статистику уязвимостей самих браузеров.

Исторически как-то принято считать, что наиболее дырявым является браузер Microsoft Internet Explorer, которым нельзя пользоваться по определению, однако ситуация сейчас несколько иная. С чем мы можем убедиться обратившись к данным отчета об интернет-угрозах Symantec Internet Security Threat Report XV (Trends for 2009). К большему сожалению, данные там приводятся без разбивки по версиям.

Как видно из графика по итогам 2009 года самый уязвимым браузером стал Mozila Firefox, в котором было обнаружено 169 уязвимостей, что на 70 больше, чем годом ранее. В Microsoft Internet Explorer было обнаружено всего 45 уязвимостей, что на 2 уязвимости меньше, чем годом ранее, т.е. картина для этого браузера достаточно стабильная - третья строчка в этом черном рейтинге.

Самую негативную динамику показал браузер Safari, в котором в 2009 году было обнаружено более чем в 2 раза больше уязвимостей, а всего их оказалось 94. Как и предсказывали аналитики, существенно возросло количество обнаруживаемых уязвимостей в браузере Google Chrome, но в абсолютных цифрах их все же не так много.

Ну а наиболее надежным браузером по итогам 2009 года можно признать Opera - всего 25 уязвимостей.

К этой статистике важно добавить, что мы не знаем, сколько именно уязвимостей у каждого браузера реально эксплуатировалось злоумышленниками. Чисто моя субьективная оценка, что наибольший уровень эксплуатируемости был для уязвимостей, обнаруженных в Mozila Firefox и Microsoft Internet Explorer, просто в силу их высокой распространенности. Кому интересно может покопаться в базе Secunia, там можно посмотреть на разбивку узявимостей по степени критичности.

Ради интереса посмотрел статистику по критичности для Microsoft Internet Explorer 7/8 и Opera 9/10. Итак, для Microsoft Internet Explorer 7/8 в базе Secunia за 2009 год имеется информация о обнаружении соответственно 8 и 6 уязвимостей (из них 6 и 4 - высокой опасности). Для Opera 9/10 цифры меньше - по 3 уязвимости для каждой версии (из них по 2 высокой опасности).

Какой из всего этого напрашивается вывод? Да очень простой. Если хотите быть более защищенными, то не стоит слепо полагаться только на один антивирус или какое-то другое средство защиты. Самая проактивная защита - это не эвристика или HIPS, а отсутствие уязвимостей в вашей системе. Хотите более безопасный браузер изначально - выбирайте Opera, Google Chrome или последний Internet Explorer 8.0

Ну и на последок интересная статистика уже от Anti-Malware.ru, наши посетители самые умные и продвинутые. Треть из них уже использует Opera (подавляющее большиство 10.x) - самый популярный браузер у нашей аудитории :)

www.anti-malware.ru

Добавляем безопасности браузеру Firefox / Хабр

В современном Интернете мы всё чаще сталкиваемся с различными опасностями, исходящими с Web-страниц. Уязвимые плагины, XSS на сайтах, эксплуатирование уязвимостей с помощью JavaScript, Clickjacking — и это далеко не полный список радостей жизни, которые могут встретиться на сайтах.

Даже если у Вас Linux или Mac OS X, нельзя быть полностью спокойными — в таком случае гадость просто не выйдет за пределы браузера, а вот cookies или LocalStorage извлечь вредоносный код вполне в состоянии. Также мощности компьютера могут быть использованы в совершенно неожиданных целях, вплоть до майнинга биткойнов на компьютере жертвы.

Так что защищать браузер необходимо не только снаружи, но и изнутри. Для этого нужно посмотреть на соответствующие расширения, чему и посвящён этот пост. Также здесь будут рассмотрены некоторые вопросы приватности (но не анонимности!), чтобы вы могли защититься от следящих компаний.

Полезные расширения

NoScript

Однако на этом возможности его не заканчиваются — ещё он отлично умеет блокировать плагины (любые), форсировать HTTPS на страничках, защищает от XSS-атак и ClickJacking (с помощью технологии ClearClick, позволяющей при обнаружении опасности посмотреть реальный вид элемента). Также имеется реализация интересной технологии ABE — своего рода firewall для Web, позволяющего ограничить доступ одних сайтов к другим.

Сайт NoScript

Adblock Plus

Однако не слишком очевидно, как он может помочь с безопасностью. Ответ — в его подписках. Они могут быть совершенно различными — собственно антирекламные (а вместе с ней вырезается и много если не вредоносного, то просто хламового контента), защита от слежки со стороны различных сайтов статистики (тут скорее приватность, чем безопасность), блокирование доменов, замеченных в распространении malware и многое другое. Из подписок я рекомендую использовать — EasyList, RuAdlist, EasyPrivacy, Fanboy Enchanced Trackers и Malware Domains. Это также поможет сделать браузер безопаснее.

Сайт AdBlock Plus

RequestPolicy

Пример — сайт habrahabr.ru запрашивает картинки с habrastorage.org и скрипт с mc.yandex.ru. Habrastorage можно разрешить, а Яндекс.Метрику — оставить блокированной. Таким образом этот аддон поможет защититься от следящих сайтов, собирающих статистику по пользователю.

Ещё он точно защитит от XSS и всякой ерунды, которая Вам не понравится — вроде кнопок социальных сетей и части рекламы. Таким образом, данное расширение действительно даёт весьма хорошую защиту, но имеет один важный минус — необходимость активного взаимодействия с ним и ручного выбора разрешений — блокироваться будет действительно много и значительная его часть может оказаться необходимой для просмотра сайта. Так что решать Вам. Кстати, в версии 1.0 (имеет статус разрабатываемой) были добавлены подписки и возможность использования в режиме чёрного списка.

Сайт RequestPolicy

Cookie Monster

Очень удобное расширение, практически не требует взаимодействия, так как сайтов, на которых действительно нужны Cookies на деле очень мало — в основном это сайты, на которых вы зарегистрированы. Крайне рекомендуется всем.

Страничка расширения на Addons.Mozilla.Org

HTTPS Everywhere

Расширение очень полезно, особенно в тех случаях, когда приходится подключаться к Wi-Fi-сети где-нибудь в кафе или на вокзале, потому что позволяет вам не ошибиться в наборе именно https адреса или при переходе по ссылке. Также, он при возможности переписывает небезопасные запросы со странички на безопасные.

Страничка расширения на сайте EFF

WOT — Web Of Trust

Поможет защититься от фишинга, частично от сайтов с малварью. На деле имеет много ложных срабатываний и совершенно не воспринимает поддомены бесплатных хостингов. Но иногда лучше перестараться, чем недостараться. Также имеет негативное влияние на приватность — URL на проверку он направляет себе на сервер.

Сайт WOT

RefControl и UaControl

В принципе, RefControl позволяет запретить сайтам узнавать, по какому поисковому запросу вы пришли, особенно учитывая сколько всего в это поле впихивает Google. Ну а UAControl — притвориться популярным браузером и «скрыться в толпе» с целью избежать всё того же сбора статистики. Кстати, тут ниже посоветовали менять User Agent на Linux'овый (если у вас и так не Linux), так как благодаря этому некоторая малварь к вам просто не будет посылаться. Странный, конечно, способ, но есть такое мнение.

Страничка RefControl на AMOСтраничка UaControl на AMO

Заключение

P.S.: Прошу прощения за стиль изложения. Это мой первый пост на Хабре, так что прошу конструктивной критики.

habrahabr.ru

Так какой браузер самый безопасный?

Как-то обсуждая в интернете статью, касательно браузера Google Chrome, затронулась тема безопасности браузеров. И моим оппонентом, внезапно, выступил человек, который уже скоро четыре года занимает должность Senior Software Engineer в компании Google. Анонимность этого человека я пока сохраню, если он захочет, то сам выскажется в комментариях к этой статье.

Началось все после того, как я сравнил количество уязвимостей Google Chrome и Internet Explorer 9. Мой оппонент, который, безусловно, является грамотным специалистом в своей области, написал следующее:

А про какие уязвимости речь? Разве Chrome уже не самый безопасный браузер?

Что тут можно сказать… Такое наивное заявление меня, мягко говоря, удивило, равно как и его аргументация. Свою позицию он обосновал ссылками на статьи Google Chrome — самый безопасный браузер иGoolge Chrome & Firefox самые безопасные браузеры!

Давайте подробнее рассмотрим первую статью. В ней говорится, что некая компания Accuvant LABS, оценила безопасность трех наиболее распространенных браузеров — Internet Explorer, Chrome и Firefox. Первое место эксперты отдали браузеру Google Chrome, на втором месте с небольшим отставанием оказался Internet Explorer, а замыкает тройку Mozilla Firefox.

Так неужели Google Chrome действительно самый безопасный браузер?

Почему Google Chrome не является самым безопасным

Если проанализировать это исследование подробнее, то, несмотря на громкий заголовок статьи, тестировалась вовсе не комплексная безопасность браузеров, а только  эффективность работы т.н. «песочниц».  На самом деле, тут все просто: у Google Chrome и Internet Explorer песочницы есть, у Mozilla Firefox и остальных браузеров (которые даже не тестировались) их просто нет. Впрочем, непонятно в чем заключается это "небольшое отставание" Internet Explorer. Можно, конечно, свести все на то, что "исследование проводилось с подачи Google". Но мы этого делать не будем, примем как есть. Вместо этого рассмотрим другие аспекты безопасности.

Например, в оценке безопасности Accuvant LABS ни слова не говорится об уязвимостях в программном обеспечении.  А их в Хроме, почти в 12 раз (!) больше чем в IE. Мы знаем, что количество уязвимостей обратно пропорционально качеству программного кода. Малое количество уязвимостей во всех продуктах Microsoft объясняется использованием Microsoft Security Development Lifecycle в процессе разработки ПО. Но чем объяснить такое огромное количество “дыр” в программном обеспечении Google? Возможно, это следствие ускоренного процесса выпуска новых версий, и тестеры просто не успевают все проверить и выпускают заведомо сырой и уязвимый продукт на рынок. Впрочем, это только мое предположение, я могу и ошибаться.

Кроме уязвимостей следует также упомянуть тот факт, что Google Chrome устанавливается не в системный каталог, а в %AppData%. Это значит, что браузер совершенно не защищен при разграничении прав доступа ОС на уровне файловой системы, что позволяет любому приложению изменять компоненты Google Chrome, не требуя даже привилегий администратора. Т.е. такая важная составляющая безопасности как Integrity (Целостность) отсутствует напрочь. Конечно, это внедрялось с благородной целью обеспечить незаметное автообновление. Но,  в данном случае, цель не оправдывает средства.

Также в статье умалчивается тот факт, что в Хроме откровенно слабые механизмы защиты от фишинга, слежения (вообще отсутствуют) и загрузки вредоносного ПО. Тем не менее, по данным уже другого исследования, такие механизмы эффективно работают в браузере Internet Explorer 8/9. Вот результат последнего исследования NSS Labs:

Более того, механизмы защиты в Internet Explorer работают не только в лабораториях, но действительно защищают пользователей на практике.

Я в этой статье даже не буду рассматривать особенности политики конфиденциальности Google с и их агрессивным слежением за действиями пользователей. Достаточно того, что и так есть все основания воспринимать этот браузер как самое настоящее шпионское ПО, только от известного вендора. В любом случае, все это никак не делает Google Chrome самым безопасным браузером.

Как результат вышеизложенного, на известном хакерском соревновании Pwn2Own Google Chrome взломали в течении пяти минут. Французская команда Vupen Security сумела осуществить эксплойт двух уязвимостей Chrome и полностью взломать браузер. Более того, Google Chrome был взломан российским студентом еще и на соревновании Pwnium, которое в этом году Google проводит параллельно Pwn2Own.

А существует ли самый безопасный браузер?

На мой взгляд, заявлять о том, что тот или иной программный продукт является самым безопасным нельзя. Безопасность системы необходимо оценивать комплексно, с учетом многих особенностей и с оглядкой на среду эксплуатации.  Несомненно, Internet Explorer обладает многими защитными механизмами. Но, эффективность большинства из них может свестись “на нет”, например, использованием пиратской ОС Windows, или несвоевременной установкой обновлений безопасности. А некоторые возможности, как например Защиту от слежения, необходимо отдельно включить и настроить. Не уверен, что все пользователи Internet Explorer так поступают.

Исходя из этого, я не призываю никого выбирать себе браузер, основываясь только на его способности защищать от интернет-угроз. Безусловно, недостающие в браузере защитные механизмы можно компенсировать, например, усилением антивирусной защиты, либо “подкручиванием гаек” в настройках ОС. А шпионские “фичи” Google Chrome можно “отключить” перейдя на Chromium. Но, в любом случае, безопасность это тот аспект, которому все же следует уделять внимание.

Заключение

В данной статье мы увидели, что безопасность Google Chrome, на сегодняшний день, далеко не повод для гордости. Однако и в этом браузере есть множество своих преимуществ, которые для себя выбирают и ценят пользователи. К примеру, только в этом браузере полноценно работают облачные сервисы Google Docs.

А по каким критериям вы выбираете браузер для себя? Является ли безопасность для вас определяющим фактором?

Понравилась статья? Поделитесь ею с друзьями в социальных сетях!

Также по теме: Почему в Internet Explorer не работает автозаполнение форм через HTTPS? Как не надо ставить обновления! Сравнение эффективности работы защитных механизмов в браузерах Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах Вебкаст: использование Secunia PSI для контроля актуальности версий установленного ПО Что нужно знать пользователям Microsoft Security Essentials. FAQ Социальная инженерия в действии Защита домашних ПК от компьютерных угроз. Часть 1 – актуальность Защита домашнего ПК от компьютерных угроз. Часть 2 – основные виды угроз Защита домашнего ПК от компьютерных угроз. Часть 3 – основные методы защиты Раздаем интернет по WiFi встроенными средствами Windows Как вручную контролировать отображаемые изображения на плитке современного приложения Фотографии в Windows 8.1

Поделиться с друзьями:

Понравилось это:

Нравится Загрузка...

Похожее

gayevoy.wordpress.com

Настройки безопасности браузеров

В этой ста­тье мы пого­во­рим о попу­ляр­ных кросс-плат­фор­мен­ных бра­у­зе­рах Google Chrome и Mozilla Firefox.

Будем счи­тать, что вы зна­ко­мы с бра­у­зе­ром хотя бы в общих чер­тах, и обра­тим все вни­ма­ние на спе­ци­фи­че­ские настрой­ки.

Обновления

Уста­нав­ли­вать обнов­ле­ния – общее пра­ви­ло для всех про­грамм, и бра­у­зе­ры не исклю­че­ние. С помо­щью обнов­ле­ний раз­ра­бот­чик не толь­ко дела­ет про­грам­му функ­ци­о­наль­нее, но и лик­ви­ди­ру­ет уяз­ви­мо­сти и исправ­ля­ет ошиб­ки. Общая реко­мен­да­ция: не пре­пят­ствуй­те бра­у­зе­ру в уста­нов­ке обнов­ле­ний.

Начальная страница

Удоб­но, когда бра­у­зер при запус­ке пока­зы­ва­ет часто исполь­зу­е­мую веб-стра­ни­цу (напри­мер, новост­ную лен­ту) или под­бор­ку недав­но (часто) откры­тых стра­ниц, но это не луч­шая идея с точ­ки зре­ния обес­пе­че­ния без­опас­но­сти. Не давай­те бра­у­зе­ру запо­ми­нать эти дан­ные, и тогда их не уви­дит слу­чай­ный чело­век.

• Chrome: меню «Настрой­ки» – раз­дел «При запус­ке откры­вать» – убе­ди­тесь, что выбра­но зна­че­ние «Новую вклад­ку».
• Firefox: меню «Настрой­ки» – (сле­ва) меню «Основ­ные» – раз­дел «При запус­ке Firefox» – выбе­ри­те «Пока­зать пустую стра­ни­цу» или «Пока­зать домаш­нюю стра­ни­цу» (в послед­нем слу­чае убе­ди­тесь, что в поле «Домаш­няя стра­ни­ца» (чуть ниже) ука­за­но что-либо не иден­ти­фи­ци­ру­ю­щее ваши инте­ре­сы и дела (напри­мер, вари­ант по умол­ча­нию «Началь­ная стра­ни­ца Mozilla Firefox»).

Пароли

По умол­ча­нию в обо­их бра­у­зе­рах вклю­че­на функ­ция сохра­не­ния паро­лей. Мно­гие поль­зо­ва­те­ли не обра­ща­ют на это вни­ма­ние, и если бра­у­зер пред­ла­га­ет сохра­нить пароль, маши­наль­но согла­ша­ют­ся.

Таким обра­зом, бра­у­зер ста­но­вит­ся хра­ни­ли­щем само­го цен­но­го, что может быть у актив­но­го поль­зо­ва­те­ля сети: паро­лей к раз­ным акка­ун­там. Да, в Firefox есть функ­ция «мастер-пароль», кото­рая поз­во­ля­ет с помо­щью одно­го паро­ля зашиф­ро­вать все осталь­ные.

Но по умол­ча­нию она выклю­че­на, и опыт пока­зы­ва­ет, что поль­зу­ют­ся ею неча­сто. Кро­ме того, сохра­нен­ные в бра­у­зе­ре паро­ли не будут авто­ма­ти­че­ски добав­ле­ны, напри­мер, в дру­гой бра­у­зер, кото­рым вы поль­зу­е­тесь на том же устрой­стве.

Сове­ту­ем исполь­зо­вать для хра­не­ния паро­лей надеж­ное зашиф­ро­ван­ное хра­ни­ли­ще, мене­джер паро­лей (напри­мер, KeePassXС).

• Chrome: меню «Настрой­ки» – (в самом низу) ссыл­ка «Допол­ни­тель­ные» – раз­дел «Паро­ли и фор­мы» – пункт «Настро­ить» – пере­двинь­те пер­вый рыча­жок вле­во (в поло­же­ние «Выкл»).
• Firefox: меню «Настрой­ки» – (сле­ва) меню «При­ват­ность и Защи­та» – раз­дел «Фор­мы и паро­ли» – сни­ми­те галоч­ку в поле «Запо­ми­нать логи­ны и паро­ли для веб-сай­тов».

Не забудь­те загля­нуть в спи­сок уже сохра­нен­ных паро­лей, и если тако­вые обна­ру­жат­ся – пере­не­сти их в защи­щен­ную базу, а из бра­у­зе­ров уда­лить. Для Google Chrome это мож­но сде­лать в том же окне, где рыча­жок «Выкл» (см. выше), для Mozilla Firefox нуж­но нажать кноп­ку «Сохра­нен­ные логи­ны».

Отслеживание

Мно­гие веб-сай­ты соби­ра­ют дан­ные о вас. Они поз­во­ля­ют тре­тьим сто­ро­нам отсле­жи­вать, какие сай­ты вы посе­ща­е­те. Совре­мен­ные бра­у­зе­ры поз­во­ля­ют вклю­чать в запро­сы уве­дом­ле­ние о том, что вы воз­ра­жа­е­те про­тив тако­го отсле­жи­ва­ния.

У каж­до­го сай­та своя поли­ти­ка, и нет гаран­тий, что ваша прось­ба будет испол­не­на «как есть», но вклю­че­ние этой функ­ции может несколь­ко умень­шить актив­ность по сбо­ру дан­ных.

• Chrome: меню «Настрой­ки» – (в самом низу) ссыл­ка «Допол­ни­тель­ные» – раз­дел «Кон­фи­ден­ци­аль­ность и без­опас­ность» – вклю­чи­те рыжа­чок в поле «Отправ­лять запрет на отсле­жи­ва­ние с исхо­дя­щим тра­фи­ком» и нажми­те во всплы­ва­ю­щем окне синюю кноп­ку «Под­твер­дить».
• Firefox: меню «Настрой­ки» – пункт «При­ват­ность и Защи­та» – най­ди­те пункт «Пере­да­вать сай­там сиг­нал “Не отсле­жи­вать”, озна­ча­ю­щий, что вы не хоти­те быть отсле­жи­ва­е­мы­ми» – выбе­ри­те пункт «Все­гда».

В Firefox мож­но так­же забло­ки­ро­вать т.н. тре­ке­ры, малень­кие эле­мен­ты, исполь­зу­е­мые веб-сай­та­ми для отсле­жи­ва­ния ваше­го пове­де­ния на стра­ни­цах. Для это­го в том же раз­де­ле настро­ек (чуть выше) в пози­ции «Исполь­зо­вать защи­ту от отсле­жи­ва­ния для бло­ки­ров­ки извест­ных тре­ке­ров» уста­но­ви­те зна­че­ние «Все­гда».

Синхронизация

Эта функ­ция поз­во­ля­ет под­дер­жи­вать акту­аль­ность всех ваших настро­ек и сохра­нен­ных дан­ных, если вы рабо­та­е­те на раз­ных устрой­ствах. Удоб­но, одна­ко из сооб­ра­же­ний без­опас­но­сти мы бы сове­то­ва­ли син­хро­ни­за­цию отклю­чить. Убе­дить­ся, что син­хро­ни­за­ция отклю­че­на, мож­но:

• Chrome: меню «Настрой­ки» – в самом вер­ху;
• Firefox: меню «Настрой­ки» – пункт «Акка­унт Firefox».

Удаление сохраненных данных

Исто­рия (жур­нал) посе­щен­ных стра­ниц – удоб­ный инстру­мент, в кото­ром мож­но, напри­мер, най­ти сайт, посе­щен­ный пару дней назад. Но с точ­ки зре­ния без­опас­но­сти исто­рия – гото­вый ката­лог ваших пред­по­чте­ний, инте­ре­сов и сла­бо­стей. Это деталь­ная кол­лек­ция сле­дов, остав­лен­ных вами в Интер­не­те. Если устрой­ство попа­дет в руки зло­умыш­лен­ни­ка, он смо­жет извлечь из этой кол­лек­ции цен­ный мате­ри­ал.

Поми­мо исто­рии, есть нема­ло дру­гих дан­ных, кото­рые сохра­ня­ет бра­у­зер.

Некоторые данные, сохраняемые браузером

• Исто­рия загру­зок. Какие фай­лы вы загру­жа­ли из Интер­не­та и куда их сохра­ня­ли.
• Исто­рия поис­ка. Инфор­ма­ция о ваших поис­ко­вых запро­сах.
• Дан­ные форм. Инфор­ма­ция, кото­рую вы вво­ди­те в онлай­но­вые фор­мы (напри­мер, имя – при реги­стра­ции на каком-либо сай­те).
• Куки-фай­лы (cookies). Малень­кие тек­сто­вые фай­лы, кото­рые бра­у­зер запи­сы­ва­ет на ваш ком­пью­тер. Могут содер­жать раз­но­об­раз­ную инфор­ма­цию о посе­щен­ных вами сай­тах.
• Кеш. Сохра­нен­ные изоб­ра­же­ния (и дру­гие дан­ные) с веб-сай­тов.

Мож­но быст­ро очи­стить исто­рию вруч­ную, выбрав типы дан­ных для уда­ле­ния и вре­мен­ной про­ме­жу­ток (напри­мер, за час, за день и т.д.).

• Chrome: меню «Допол­ни­тель­ные инстру­мен­ты» – пункт «Уда­ле­ние дан­ных о про­смот­рен­ных стра­ни­цах». Появит­ся всплы­ва­ю­щее окно «Очи­стить исто­рию».
• Firefox: меню «Биб­лио­те­ка» – «Жур­нал» – пункт «Уда­лить исто­рию». Появит­ся всплы­ва­ю­щее окно «Уда­ле­ние недав­ней исто­рии».

Для бра­у­зе­ра Firefox, создан­но­го «с при­це­лом» на при­ват­ность, доступ­ны гиб­кие настрой­ки «что и как сохра­нять». Вы може­те уви­деть их в меню «Настрой­ки» – пункт «При­ват­ность и Защи­та».

Доступ­ны раз­ные вари­ан­ты. Если вы настро­е­ны реши­тель­но и хоти­те обес­пе­чить наи­луч­шую при­ват­ность рабо­ты в бра­у­зе­ре, попро­буй­те отклю­чить сохра­не­ние дан­ных. Для это­го в раз­де­ле «Исто­рия» выбе­ри­те «Не будет запо­ми­нать исто­рию» (пона­до­бит­ся пере­за­пу­стить бра­у­зер).

Впро­чем, вы може­те выбрать свою ком­би­на­цию настро­ек (вари­ант «Будет исполь­зо­вать ваши настрой­ки хра­не­ния исто­рии»), напри­мер, с очист­кой исто­рии посе­щен­ных стра­ниц и уда­ле­ни­ем куки-фай­лов при закры­тии бра­у­зе­ра.

Уда­ле­ние сохра­нен­ных дан­ных (как для Chrome, так и для Firefox) воз­мож­но так­же с помо­щью спе­ци­аль­ных программ-«чистильщиков» вро­де CCleaner.

Разрешения

Доволь­но часто веб-сай­ты про­сят раз­ре­ше­ние, напри­мер, на доступ к дан­ным место­по­ло­же­ния (гео­на­ви­га­ци­он­ные про­грам­мы, тури­сти­че­ские путе­во­ди­те­ли, интер­нет-мага­зи­ны с достав­кой това­ров на дом и др.), доступ к мик­ро­фо­ну и/или каме­ре (чаты, мес­сен­дже­ры и др.), воз­мож­ность пока­зы­вать вам push-уве­дом­ле­ния (новост­ные сай­ты, раз­вле­ка­тель­ные пор­та­лы и др.).

Ино­гда это спо­соб­но при­не­сти вам поль­зу, ино­гда лишь поз­во­ля­ет вла­дель­цам сай­тов соби­рать допол­ни­тель­ные дан­ные о вас или надо­едать вам всплы­ва­ю­щи­ми окош­ка­ми. Мож­но настро­ить ваши пред­по­чте­ния (и заод­но посмот­реть, каким сай­там вы уже дали раз­ные раз­ре­ше­ния).

• Chrome: «Настрой­ки» – (в самом низу) ссыл­ка «Допол­ни­тель­ные» – раз­дел «Кон­фи­ден­ци­аль­ность и без­опас­ность» – пункт «Настрой­ки кон­тен­та».
• Firefox: «Настрой­ки» – (сле­ва) «При­ват­ность и Защи­та» – раз­дел «Раз­ре­ше­ния».

Приватный режим

Во вре­мя рабо­ты, не изме­няя обыч­ные настрой­ки бра­у­зе­ра, мож­но вос­поль­зо­вать­ся спе­ци­аль­ным режи­мом про­смот­ра веб-сай­тов, при кото­ром бра­у­зер не будет соби­рать дан­ные (куки-фай­лы, паро­ли и т.д.).

В Google Chrome это назы­ва­ет­ся «режим инког­ни­то», в Mozilla Firefox – «при­ват­ное окно». Внешне этот режим мало чем отли­ча­ет­ся от обыч­но­го окна или вклад­ки.

• Chrome: «Новое окно в режи­ме инког­ни­то» (или соче­та­ние кла­виш Ctrl+Shift+N).
• Firefox: «Новое при­ват­ное окно» (или соче­та­ние кла­виш Ctrl+Shift+P).

Не забы­вай­те, что при­ват­ный режим не вли­я­ет на сохра­не­ние загру­зок и закла­док.

Портативная версия

Боль­шин­ство из вас навер­ня­ка поль­зу­ет­ся обыч­ной вер­си­ей бра­у­зе­ра, уста­нов­лен­ной в систе­ме. Пор­та­тив­ная вер­сия име­ет пре­иму­ще­ства.

• Вы може­те носить бра­у­зер с собой на флеш­ке, исполь­зо­вать его на рабо­те, дома, в коман­ди­ров­ке. Все ваши настрой­ки и заклад­ки сохра­нят­ся.
• Если вы осво­и­те азы шиф­ро­ва­ния, то смо­же­те хра­нить бра­у­зер в зашиф­ро­ван­ном кон­тей­не­ре или на зашиф­ро­ван­ном дис­ке. Это надеж­но защи­тит упо­мя­ну­тые выше настрой­ки от чужих глаз. Вы смо­же­те пере­стать бес­по­ко­ить­ся о тех дан­ных, кото­рые не защи­тить стан­дарт­ны­ми настрой­ка­ми бра­у­зе­ра (напри­мер, заклад­ки).

Пор­та­тив­ные вер­сии бра­у­зе­ров мож­но ска­чать, напри­мер, с извест­но­го сай­та PortableApps:

Мно­гие функ­ции обес­пе­че­ния без­опас­но­сти отсут­ству­ют в бра­у­зе­рах по умол­ча­нию, но их мож­но полу­чить с помо­щью дополнений/расширений. О том, как это сде­лать, будет рас­ска­за­но в отдель­ной ста­тье.

Ори­ги­нал ста­тьи на сай­те safe.rublacklist.net

te-st.ru

Безопасность интернет-браузеров глазами экспертов отрасли

Безопасность интернет-браузеров глазами экспертов отрасли

История браузеров – программ для просмотра веб-сайтов и работы с ними – насчитывает уже примерно 20 лет. В 1990 году, Тим-Бернерс Ли, которого многие считают «отцом Интернета», создал WorldWideWeb. А вот первым распространенным браузером с графическим интерфейсом стал браузер NCSA Mosaic, созданный в 1993 году. Затем появился и на долгое время стал очень популярным браузер Netscape, поддержку которого окончательно прекратили всего несколько лет назад.

В 1995 году, вышел знакомый едва ли не каждому пользователю компьютера Internet Explorer (входящий в комплект операционных систем Windows корпорации Microsoft). Начиная с 1999 года, этот браузер является самым популярным и используемым, а в 2002-2003 гг. его популярность достигла пика с отметкой 95%. Сейчас этот показатель несколько снизился, так как в компанию к IE пришли другие браузеры: Mozilla Firefox, Opera, Safari (для Mac OS и Windows), выпущенный совсем недавно, но стремительно набирающий обороты Google Chrome и другие, менее популярные.

Пользователи в большинстве случаев имеют возможность выбирать тот браузер, который им нравится больше: по функциональности, дизайну, реализации необходимых им для работы инструментов и приложений, оперативности выполнения тех или иных задач, и другим критериям. Многие, конечно, о таком выборе даже не задумываются: их вполне устраивает предустановленная программа или тот браузер, который, ориентируясь на свои вкусы, установил системный администратор на работе.

Это вполне нормальная история. Большинство людей, у которых есть мобильные телефоны, даже самые современные, не используют все функции своих устройств (вроде фотокамеры, видео, плеера, Bluetooth, будильника и т.д.) – им достаточно, чтобы трубка могла звонить, отвечать на входящие звонки, и чтобы с помощью неё можно было отправить или получить/прочитать текстовое сообщение. Так же и с браузерами: если на компьютере установлена программа, включив которую, можно выйти в Интернет, читать новости, писать письма в веб-почте, общаться с друзьями в социальных сетях и делать записи в блог – то что ещё нужно? Теоретически, можно даже не запоминать название программы, которой пользуешься (некоторые так и делают).

Интернет как источник опасности

Нельзя забывать о том, что Сеть со всем её удобством, информативностью и незаменимостью в наши дни – это источник опасности. В данном материале мы не будем напоминать о том, что информация в Интернете может быть как интересной и полезной, так и негативной и даже опасной, что в Сети можно легко наткнуться на грубость, хамство, быть обманутым мошенниками, стать жертвой киберпреследователей. Существуют программно-технические угрозы: Интернет является одним из самых распространенных «путей» заражения компьютеров вирусами (наряду с, например, портативными накопителями данных, например, usb-флешками).

Как правило, вирусы загружаются на компьютер пользователей из-за неосторожности и доверчивости. Человек может открыть ссылку, которую ему прислали (по электронной почте, в мессенджерах, социальных сетях) и загрузить вредоносный код, может нажать на понравившийся баннер, скачать опасную программу под видом безобидного файла – таких историй масса. И, даже более того, часто загружаются даже без непосредственного участия пользователя, если он просто переходит на вредоносную страницу (этого можно даже не заметить).

Уязвимости браузеров

Зачастую атаки злоумышленников производятся с помощью уязвимостей в самих браузерах – так называемых «дыр», особенностей и дефектов программ-браузеров, с помощью которых можно получить контроль над компьютером пользователя, нанести ему вред, украсть информацию (в том числе и конфиденциальную) или, например, использовать зараженную машину в качестве составной части ботнета.

Ботнет – это компьютерная сеть, состоящая из определенного количества хостов, которая позволяет злоумышленникам выполнять те или иные действия с использованием сил зараженных компьютеров. Как правило, с помощью ботнетов осуществляются спам-рассылки, совершаются DDoS-атаки и другие противозаконные, требующие большой технической мощности процессы. По оценкам ряда экспертов, в ботнеты могут входить около четверти всех подключенных к Интернету компьютеров (только представьте себе масштабы бедствия!).

К сожалению, ни про один из существующих интернет-браузеров нельзя с уверенностью сказать, что он полностью безопасен и защищен. В прессе и на информационных сайтах экспертов по безопасности и производителей антивирусного ПО то и дело появляются сообщения о новых найденных уязвимостях браузеров. Их, как правило, быстро «чинят», а потом появляются новые – и так до бесконечности.

Данные в цифрах

По данным ежегодного отчета IBM X-Force за 2009 год, число уязвимостей в последнее время снизилось. В прошлом году была выявлена 6601 уязвимость, и это на 11% меньше, чем годом ранее, в 2008. Значительно снизилось количество опасных и критических уязвимостей, которые так просто не залатать. Сильно выросло количество вредоносных ссылок и страниц – на 345% за год.

49% всех уязвимостей, так или иначе, связаны с веб-приложениями, причем в конце 2009 года не были устранены 67% найденных «дыр». Согласно альтернативным данным, на веб-приложения приходится даже больший процент уязвимостей.

А что же с самими браузерами? По данным отчета исследовательской компании Cenzic, опубликованного в конце прошлого года, браузер Internet Explorer 8 был признан самым безопасным и надежным – в нем обнаружили всего 15% уязвимостей. В браузере Mozilla Firefox обнаружили 44% уязвимостей (и это самый высокий показатель), в Safari – 35%. Общее количество уникальных уязвимостей в первой половине 2009 года сократилось (в сравнении с аналогичным периодом в 2008 г.) на 28,4%, однако не стало таким, чтобы можно было вздохнуть спокойно и чувствовать себя в безопасности. Что касается России, то здесь в первой половине 2009 года индекс проникновения вредоносного ПО (количество очищенных компьютеров на 1000) составил 15,5. Этот показатель на 35% ниже по сравнению со вторым полугодием 2008 г., но, увы, превышает среднее мировое значение - 8,7.

Независимые эксперты из компании NSS Labs провели тестирование безопасности популярных браузеров на предмет их защищенности от фишинговых угроз и загрузки шпионских программа (рассылающих, например, спам в социальных сетях от имени владельца зараженного компьютера). Выяснилось, что самым безопасным браузером в этой сфере оказался все тот же Internet Explorer. Последние версии этого браузера умеют блокировать 81% вредоносных страниц, и 83% фишинговых. Занявший второе место Mozilla Firefox (версии 3.0.11) блокирует 27% и 80% веб-страниц соответственно. В случае с Safari показатели следующие: 21% и 2%, у Chrome 2 — 7% и 26%, у Opera 10 — 1% и 54%. Как вы могли заметить, эти показатели сильно разнятся с описанными в отчете исследования, о котором мы рассказали на абзац выше (т.к. исследовались другие параметры безопасности).

В первом квартале 2010 года NSS Labs провел ещё одно тестирование. Результаты следующие: Internet Explorer 8 блокирует в среднем втрое больше прямых угроз из Интернета, чем браузеры-конкуренты: IE – 85%, Safari 4 – 29%, Firefox 3.5 и Safari – 29%. Наименее безопасным признали браузер Opera 10 – он отслеживает менее 1% угроз. В целом, безопасность Internet Explorer повысилась с февраля 2009 года по январь 2010 года на 16% (с 69%).

При этом важно отметить, что безопасность Internet Explorer, подтверждаемая вышеперечисленными исследованиями, связана с рядом факторов. Во-первых, этот браузер пока ещё остается доминирующим на рынке браузеров – доля IE в феврале 2010 года составила 61,58%). Это значит, что гораздо большее количество людей (чем, например, в случае с Opera) сталкивается с уязвимостями и сообщает о них разработчикам – а значит, недостатки устраняют. Во-вторых, хакеры зачастую эксплуатируют уязвимости IE по схеме, когда вредоносные программы загружаются на компьютер без какого-либо активного участия пользователей.

В-третьих, обратите внимание, специалисты по безопасности, как правило, тестируют последние версии (в момент проведения тестов) браузеров. Периодические обновления этих программ (о которых вам сообщают предложений скачать новую версию) проводятся не просто так, чтобы помучить пользователей лишними движениями мышки и необходимостью ждать, когда все загрузится и установится. Новые версии дополняются новыми же функциями, зачастую полезными, но иногда и, признаемся честно, не очень нужными. Но, самое главное, в обновленных версиях браузеров появляется защита от свежих опасностей. Тогда как в устаревших версиях такой защиты может не быть. Поэтому, когда в следующий раз будет жать кнопку «отставить!» в ответ на предложение обновить браузер, помните – о вас заботятся разработчики. Не препятствуйте им.

Назад в раздел

www.saferunet.ru

Смотрите также

• 
  Челку браузер
• 
  Браузер принтер
• 
  Тегос браузер
• 
  Браузер ос
• 
  Браузер ос
• 
  Браузеры поисковики
• 
  Браузеры детские
• 
  Браузеры поисковики
• 
  Браузеры детские
• 
  Плагины браузера
• 
  Плагины браузера