Еще раз о безопасности веб-браузера (часть 1)

Опубликовано: 7 Апреля, 2023

  • Еще раз о безопасности веб-браузера (часть 3)
  • Еще раз о безопасности веб-браузера (часть 4)
  • Еще раз о безопасности веб-браузера (часть 5)
  • Еще раз о безопасности веб-браузера (часть 7)

Введение

Во многих организациях веб-браузер является наиболее часто используемым интернет-приложением, но некоторые пользователи и администраторы основывают свой выбор браузера на устаревшей информации. И даже если вы выбрали веб-браузер с самыми лучшими функциями безопасности, это не означает, что вы в безопасности. Эти функции должны быть правильно настроены, и даже в этом случае в каждом браузере есть уязвимости.

Приоритет безопасности

Я написал для этого сайта ряд статей, в которых описываются функции безопасности в различных версиях браузеров, но в целом веб-браузер часто рассматривается как потребительское приложение. Конечно, это также важный бизнес-инструмент. Это также один из наиболее часто используемых векторов атак. Веб-браузеры подвергают риску вашу сеть и ваших пользователей, поскольку они подключаются к огромному количеству различных сайтов по всему миру, и любой из них может (преднамеренно или неосознанно) содержать вредоносное ПО. Браузеры запускают код — JavaScript, элементы управления ActiveX, Flash, Silverlight и т. д. Он передает (а в некоторых случаях сохраняет) пароли, используемые для доступа к веб-сайтам, чувствительным к безопасности. Он может хранить информацию для автоматического заполнения форм, включая адреса, номера телефонов, кредитную карту и банковскую информацию.

Веб-браузеры — это сложные части программного обеспечения. Кроме того, они запускают множество надстроек (также называемых плагинами или расширениями), разработанных третьими сторонами. Это значительно расширяет функциональные возможности браузера, но также создает больший риск уязвимостей и, следовательно, больше возможностей для злоумышленников использовать эти уязвимости.

Хорошая новость заключается в том, что популярные веб-браузеры — Chrome, Firefox, Internet Explorer, Opera, Safari (перечислены в алфавитном порядке) — сегодня значительно более безопасны, чем пять лет назад. Все поставщики веб-браузеров тратят много времени и усилий на встраивание новых механизмов безопасности в каждую новую версию своего программного обеспечения.

Интересно, что недавний опрос Sophos показал, что Mozilla Firefox является веб-браузером, которому «наиболее доверяют» респонденты, набравшие более 50 процентов голосов. Google Chrome был вторым с почти 27 процентами, Microsoft Internet Explorer был третьим с 8 процентами, Apple Safari с немногим более 7 процентами, Opera с немногим менее 5 процентами и Chromium (базовый браузер, на котором Chrome и последняя версия встроены версии Opera) с 3 процентами.

Но браузер, которому доверяют большинство людей, не обязательно является самым надежным браузером. Различные организации провели ряд исследований для сравнения безопасности популярных браузеров, и результаты разнятся. Ларри Зельцер в ZDNet отмечает, что «вопреки устаревшему общепринятому мнению, последние версии Internet Explorer очень безопасны, возможно, это самый безопасный из доступных браузеров». А в блоге Sophos Джон Зорабедян полагает, что Chrome «может быть» самым безопасным веб-браузером. В конце концов, как сообщала InfoSecurity в июле и как показало тестирование, проведенное NSS Labs, на самом деле нет окончательного победителя в гонке за безопасность веб-браузеров. Некоторые преуспевают в одной области, например, в защите пользователей от фишинговых сайтов, в то время как другие преуспевают в других вещах, например, в предотвращении отслеживания пользователей без их разрешения.

Мораль этой истории заключается в том, что независимо от того, какой браузер вы или ваши конечные пользователи выберете, выход во всемирную паутину сопряжен с риском. Однако эти риски можно снизить, правильно настроив выбранный браузер и придерживаясь безопасных привычек в Интернете. Теперь мы подробнее рассмотрим каждый из лучших браузеров в их текущих воплощениях, обсудим меры безопасности, которые они реализуют, и поговорим о том, как настроить их, чтобы сделать их более безопасными (при сохранении удобства использования).

Общие сведения о безопасности браузера

Независимо от того, какие браузеры используются в вашей организации, вы знаете, что первым ключом к безопасности любого браузера является использование самой последней возможной версии, потому что именно в ней будет больше встроенных механизмов безопасности. Поставщики учатся у прошлые ошибки, а в новых версиях будут исправлены уязвимости, обнаруженные в их предшественниках.

Тем не менее, новые версии браузеров выпускаются некоторыми поставщиками, по-видимому, через день (Chrome в настоящее время находится на версии 30 — хотя к моменту ее публикации могла быть выпущена еще одна новая версия — и она существует только с 2008 года). Не всегда легко идти в ногу, когда нужно обновить большое количество компьютеров. Даже при включенных автоматических обновлениях иногда обновления не работают. Если пользователям разрешено загружать и устанавливать программы (плохая идея, но иногда необходимая при некоторых обстоятельствах), у некоторых из них может быть установлено несколько браузеров на их компьютерах.

И, конечно же, с тенденцией BYOD пользователи имеют гораздо больший контроль над ноутбуками и планшетами, которыми они лично владеют, но которые подключаются к вашей сети и могут представлять риск для остальной части сети в случае заражения. Важно иметь инструменты инвентаризации программного обеспечения и систему управления, которая позволит вам узнать, какие версии каких приложений установлены на каждом компьютере в любой момент времени. Также важно иметь политики, которые требуют от пользователей BYOD поддерживать свои приложения в актуальном состоянии, а также требуют, чтобы у них было установлено и использовалось соответствующее антивирусное программное обеспечение.

Другая проблема заключается в том, что эксплуатировать можно не только сам веб-браузер. Поставщики браузеров выпускают API-интерфейсы, позволяющие третьим сторонам создавать расширения, которые расширяют функциональные возможности браузера, например, возможность отображать PDF-файлы с помощью подключаемого модуля Adobe Reader. Плохая новость заключается в том, что все эти плагины/расширения имеют собственные потенциальные уязвимости. Это означает, что обновления браузера недостаточно; вам также необходимо убедиться, что все надстройки обновлены.

Производители веб-браузеров заботятся о безопасности, но они также создают свои браузеры так, чтобы они были привлекательны для пользователей. Иногда эти двое конфликтуют. Конечные пользователи часто больше заботятся о функциях и функциях, чем о безопасности. Они хотят иметь возможность делать то, что хотят или должны делать в Интернете, и они не хотят прыгать через обручи безопасности, чтобы сделать это. Поэтому, даже если браузер обеспечивает строгую безопасность, эти механизмы безопасности могут быть отключены по умолчанию, чтобы улучшить взаимодействие с пользователем.

Механизмы безопасности, такие как шифрование, могут снизить производительность. Блокирование потенциально опасного веб-контента, такого как элементы управления ActiveX или JavaScript, может привести к неправильной работе некоторых веб-сайтов. Требование, чтобы сайты были внесены в «белый список» для доступа, может помешать пользователям переходить на безопасные (но не внесенные в список) сайты, которые им нужны для получения информации для выполнения своей работы. Поставщики не хотят отталкивать пользователей и заставлять их использовать другой браузер, поэтому вы можете обнаружить, что некоторые функции с высоким уровнем безопасности присутствуют, но отключены.

И не только конечные пользователи расстраиваются из-за ограничений элементов управления безопасностью. Windows Vista продемонстрировала, что «опытные пользователи», в том числе многие ИТ-специалисты, отключили контроль учетных записей, потому что это было слишком «броско». Я не знаю, сколько раз я слышал, как ИТ-специалисты жалуются на то, как трудно заставить Internet Explorer в последних версиях Windows Server «просто работать» из-за высокого уровня безопасности, включенного по умолчанию.

В настоящее время большинство браузеров используют какой-либо тип песочницы или метода изоляции, чтобы предотвратить влияние того, что происходит на одной вкладке браузера, на то, что происходит в других открытых вкладках, и ограничить влияние веб-страниц на операционную систему. Каждая вкладка браузера выполняется в отдельном процессе на компьютере, а не в одном, как в старых браузерах. Вот почему вы увидите несколько экземпляров приложения браузера, если посмотрите на процессы в диспетчере задач. Мы обсудим, как различные браузеры выполняют это более подробно, когда мы углубимся в функции безопасности каждого из популярных браузеров позже в этой серии.

Если пользователям нужны подключаемые модули или конфигурации браузера, которые менее безопасны, чтобы выполнять свою работу, одно из предложений состоит в том, чтобы они использовали другой браузер (тот, который считается наиболее безопасным) для любых видов конфиденциальных транзакций. такие как финансовые транзакции или те, где они должны отправлять либо личную информацию, либо конфиденциальную информацию о компании через веб-формы. Браузер, используемый для конфиденциальных транзакций, не должен иметь подключаемых модулей или все они должны быть отключены, а все настройки должны быть настроены на максимально безопасный уровень. Для еще большей безопасности чувствительный браузер можно запустить на виртуальной машине в операционной системе, предназначенной для этой единственной цели.

Другая проблема заключается в том, как браузеры хранят такую информацию, как запомненные пароли и личную информацию, такую как номера кредитных карт, которые используются для быстрого заполнения форм. Некоторые браузеры могут хранить некоторую информацию на компьютере в незашифрованных базах данных, к которым потенциально может получить доступ постороннее лицо.

Резюме

Вопросы, обсуждаемые в части 1 этой серии, являются общими для всех или многих популярных веб-браузеров. Во второй части мы начнем детально изучать особенности безопасности различных браузеров, начиная с Internet Explorer.

  • Еще раз о безопасности веб-браузера (часть 3)
  • Еще раз о безопасности веб-браузера (часть 4)
  • Еще раз о безопасности веб-браузера (часть 5)
  • Еще раз о безопасности веб-браузера (часть 7)
Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023