Сравнение безопасности популярных интернет-браузеров

Настоящий обзор посвящён проблеме безопасности использования популярных современных браузеров для платформы Windows. Сделано ревью информации, касающейся тематике безопасности, предлагаемой русскоязычным пользователям, на сайтах вендоров, разрабатывающих веб-браузеры, сделано обобщение и классификация полученной информации. Обзор призван поднять вопросы безопасности использования современных интернет-технологий на фоне их всё большей популяризации и всё более прочного вхождения в жизнь каждого современного человека.

 

 

 

1. Введение

2. Apple Safari

3. Google Chrome

4. Microsoft Internet Explorer

5. Mozilla Firefox

6. Opera

7. Сравнение

8. Выводы

 

 

Введение

Каждый производитель интернет-браузеров имеет свои широко декларируемые преимущества, которые находят отклик в глазах определённой группы пользователей, и обеспечивают тому или иному браузеру ярых приверженцев и широкую популярность.

Индустрия браузеров существует, в основном, за счёт косвенных источников дохода. Все популярные браузеры либо можно установить бесплатно, либо же встроены в ту или иную операционную систему. Напомним, что Internet Explorer встроен в Microsoft Windows, начиная с Windows 98, а Safari интегрирован в Mac OS. Соответственно, конкурировать производителям интернет-браузеров с использованием экономических рычагов влияния — невозможно.

Зачастую пользователи отдают предпочтение тому или иному браузеру из-за красивого интерфейса, скорости и удобства в работе или наличия каких-то расширений. Следовательно, в ход идут иные методы борьбы «за сердце пользователя» - с использованием таких, весьма претенциозных, лозунгов как «самый быстрый браузер», «самый удобный браузер», «самый функциональный браузер», «самый настраиваемый браузер» и другие. Часто выбор используемого браузера для повседневной работы – это дело многолетней привычки или слепая вера рекламе производителя браузера, или вера в идеалы в области развития свободного Интернета, которые ставят перед собой производители браузеров, или авторитетное мнение знакомых специалистов, или даже желание постоянно пробовать что-то новое. Но при этом часто забывается или специально умалчивается о степени безопасности самого браузера. А ведь непосредственно через браузер мы просматриваем содержимое веб-сайтов. Через браузер мы заходим на сайты интернет-банков, производим оплату товаров и услуг, пользуемся онлайн-сервисами или обмениваемся конфиденциальной информацией. Именно на браузер ложится первичная ответственность за безопасность в сети. Так почему же мы так мало об этом задумываемся?

В данном сравнении мы рассмотрим  с точки зрения безопасности пятёрку наиболее популярных из них для платформы Microsoft Windows (в алфавитном порядке):

  1. Apple Safari 5.0.5
  2. Google Chrome 12.0;
  3. Microsoft Internet Explorer 9;
  4. Mozilla Firefox 5.0;
  5. Opera 11.11.

При этом автор обзора не отдаёт предпочтения одному из данных браузеров, так как каждый из них обладает функционалом, достаточным для всех повседневных интернет-задач, с которыми сталкивается большинство пользователей.

Ниже, для каждого браузера, мы приведём ту информацию, на которой акцентируют своё внимание производители браузеров по поводу безопасности их продуктов для интернет-сёрфинга, ибо подача такой информации во многом выявляет приоритеты этих производителей  в реализации технологий безопасности в выпускаемых ими продуктах. При этом будет предложен  обзор информации, приведённой на официальных сайтах соответствующих браузеров, без углубления в технические блоги разработчиков и другую информацию подобного рода, так как пользователи обычно руководствуются именно информацией, расположенной на официальных сайтах. Также, в качестве ограничения, введём такой параметр, как русскоязычность такой информации, т.к. данный обзор ориентируется, в первую очередь, на русскоязычных пользователей.

 

Apple Safari

Скачать

 

Рисунок 1: Настройки безопасности в Apple Safari 5.0.5

Сравнение безопасности популярных интернет-браузеров

 

Компания Apple, говоря о безопасности, в первую очередь акцентирует внимание на функции Защищённого просмотра. В данном  режиме Safari не записывает историю посещаемых сайтов, загружаемого ПО и документов, не сохраняет поисковые запросы, cookies,  и данные веб-форм. В Safari также присутствуют  функции блокировки всплывающих окон.

В Safari встроены и продолжают развиваться технологии, противодействующие атакам с использованием межсайтового скриптинга (XSS, Сross Site Sсriрting, такая аббревиатура используется для исключения путаницы с аббревиатурой Cascading Style Sheets (CSS) – каскадные таблицы стилей). Также в браузер встроены репутационные технологии блокировки вредоносных сайтов: фишинговых, мошеннических, а также сайтов, распространяющих вредоносные  программы. Также встроена поддержка EV-сертификатов (Extended Validation), что позволяет легко выделять легитимные сайты.

Safari поддерживает технологии безопасного шифрования для предотвращения перехвата сеансов связи, мошенничества при работе в Интернете. Также поддерживается аутентификация на основе регистрации на безопасных веб-сайтах и наиболее популярные прокси-протоколы. Интересна также функция Безопасные загрузки, благодаря которой при первом открытии каждого сайта отображается источник, из которого была взята та или иная страница.

 

Google Chrome

Скачать

 

Рисунок 2: Настройки безопасности в Google Chrome 12.0

Сравнение безопасности популярных интернет-браузеров

 

Раздел русскоязычного сайта Google, посвящённый обзору  возможностей безопасности браузера Google Chrome, является весьма лаконичным. В нём говорится о том, что в данном браузере существует защита от мошеннических и фишинговых сайтов, сосредоточенная в технологии «Безопасный просмотр».

Также выделяется функциональная возможность под названием «песочница» (в англоязычных материалах соответствующее термину sandboxing), с помощью которого браузер может предотвратить установку в систему вредоносных программ, а также имеет возможность отслеживать влияние кода, который выполняется в одной вкладке браузера на содержимое других открытых вкладок. В Chrome 12 появился фильтр вредоносных файлов на основе репутационных технологий, который при дальнейшем развитии может составить конкуренцию технологии Application Reputation от Microsoft.

В англоязычных источниках можно узнать о возможностях обеспечения безопасности более подробно. В частности, в Google Chrome  существует технология обеспечения непрерывности HTTPS-соединения и защиты его от компрометации, защита от XSS-атак и другие полезные функции. Поэтому, автор обзора надеется, что компания Google, активно рекламирующая свою продукцию и на территории России, в том числе – с помощью дорогостоящей телевизионной рекламы, выделит ресурсы для того, чтобы перевести на русский язык столь важную для пользователей информацию, дабы  способствовать дальнейшей популяризации данного браузера среди интернет-пользователей российского сегмента.

 

Microsoft Internet Explorer

Скачать

 

Рисунок 3: Настройки безопасности в Internet Explorer 9

Сравнение безопасности популярных интернет-браузеров

 

Компания Microsoft, говоря о безопасности своего браузера, в первую очередь делает упор на фильтрацию ActiveX-содержимого. В общем-то, проблема небезопасного ActiveX-содержимого актуальна именно для данного  браузера, т.к. без дополнительных плагинов в конкурирующих браузерах взаимодействие с активным содержимым, расположенным на интернет-страницах, производится посредством других технологий.

Также акцент делается на противодействие XSS-атакам, просмотр в приватном режиме InPrivate и функция защиты от слежения. Также реализовано выделение домена второго уровня в адресной строке браузера, жирным цветом, что позволяет легко определить, находится ли пользователь на настоящем сайте, на который хотел зайти, или же на мошенническом, адрес которого сильно похож на адрес настоящего сайта.

В качестве уникальной функциональной особенности безопасности можно указать широко рекламируемый фильтр SmartScreen, который в 9-ой версии Internet Explorer имеет возможность фильтровать не только вредоносные сайты по URL, но и, собственно, вредоносные файлы посредством технологии Application Reputation, которая основана на репутационных технологиях.

Следует заметить, что актуальная версия Internet Explorer, по мнению автора, значительно усовершенствовалась  в плане повышения стандартов информационной безопасности по сравнению с предыдущими версиями данного браузера, и его вполне можно рекомендовать к использованию начинающим интернет-пользователям для совершения операций интернет-банкинга и других потенциально-опасных операций при чётком следовании рекомендациям производителя.

 

Mozilla Firefox

Скачать

 

Рисунок 4: Настройки безопасности в Mozilla Firefox 5.0

Сравнение безопасности популярных интернет-браузеров

 

Разработчики браузера Firefox традиционно уделяют безопасности своего браузера пристальное внимание. Поэтому информация о функциях безопасности этого браузера на его официальной странице достаточно пространна.

В частности, если пробежаться по заголовкам врезок соответствующего раздела информации о браузере, можно узнать и о поддержке расширенных EV-сертификатов, и защите от XSS-атак, и об интеграции с Родительским контролем Windows 7, о функции «Приватный просмотр», интеграции с антивирусными продуктами, о фильтре вредоносных сайтов, защите от слежки за действиями пользователя в Интернете посредством специальных скриптов, размещаемых на интернет-страницах, и поддержке HTTPS-соединений.

При рассмотрении данного браузера следует также обратить внимание на то, что разработчики делают ставку на обширное использование функциональных дополнений (т.н. расширений), которые создаются сторонними разработчиками. С помощью этих дополнений можно  значительно повысить безопасность использования данного браузера. Таким образом, браузер является идеальным конструктором для пользователей, которые обладают достаточными знаниями по информационной безопасности и точно знают, что хотят получить от браузера.

 

Opera

Скачать

 

Рисунок 5: Настройки безопасности в Opera 11.11

Сравнение безопасности популярных интернет-браузеров

 

В заключение рассмотрим информацию по безопасности, которую предлагают конечному пользователю разработчики браузера Opera. Как и разработчики Google Chrome, производители Opera на официальном сайте браузера в этом вопросе предельно лаконичны.
В частности, заявляется о существовании фильтра от вредоносных интернет-сайтов, режиме приватного просмотра, поддержке расширенных сертификатов сайтов, и управлении загружаемыми cookies .

 

Сравнение

В качестве некоторого обобщения представим наличие некоторых наиболее важных с точки зрения автора на сегодняшний день технологий безопасности веб-браузеров в виде Таблицы 1, а затем сделаем некоторые выводы. Заметим, что данная таблица не является результатом какого-либо тестирования браузеров (за исключением проверки факта использования технологии ASLR в системе Windows 7 SP1, Ultimate, x64). Данные, представленные в таблице, приводятся на основе информации, предоставляемой производителями браузеров.

 

Таблица 1: Наличие технологий безопасности в популярных веб-браузерах

Технологии безопасности Apple Safari 5.0.5 Google Chrome 12.0 Microsoft Internet Explorer 9 Mozilla Firefox 5.0 Opera 11.11
Автоматические обновления браузера Есть Есть Есть Есть Есть
Поддержка HTTPS-соединений и визуализация наличия безопасного соединения Есть Есть Есть Есть Есть
Защита от компрометации HTTPS-соединений Нет Есть Частично (pinned sites) Нет Нет
Поддержка EV-сертификатов Есть Есть Есть Есть Есть
Механизмы защиты от XSS-атак Есть Есть Есть Есть Нет (XSS-атака в версии 11)
Фильтр вредоносных сайтов по URL Есть Есть Есть Есть Есть
Фильтр вредоносного программного обеспечения Нет Есть (sandboxing и репутационные технологии проверки чистоты файлов) Есть (SmartScreen- Application Reputation) Частично (при использовании дополнений, интеграция с антивирусным ПО) Нет
Режим приватного просмотра Есть (Режим «Частный доступ») Есть («Режим инкогнито») Есть (Режим InPrivate) Есть (Режим «Приватный просмотр») Есть («Режим приватности»)
Защита от слежения Нет Нет Есть (Tracking Protection) Есть Нет
Использование ASLR Исполняемый файл и DLL-библиотеки Исполняемый файл и DLL-библиотеки Исполняемый файл и DLL-библиотеки Исполняемый файл и DLL-библиотеки Исполняемый файл и DLL-библиотеки

 

Выводы

В заключение обзора пробежимся по строкам представленной выше таблицы и рассмотрим некоторые нюансы.

Поддержка работы с EV-сертификатами, наличия режима приватного просмотра, а также  возможности соединений с веб-узлами по защищённому протоколу HTTPS -  все это реализовано во всех сравниваемых браузерах.

C  защитой от компрометации HTTPS -соединения ситуация обстоит несколько хуже. Из известных технологий по данному поводу можно упомянуть только возможность слежения за непрерывностью HTTPS-соединений у Google Chrome и закреплённые сайты (pinned sites) у Internet Explorer 9 при использовании совместно с Windows 7.

Эта функция основана на том, что пользователи в большинстве случаев набирают в адресной строке сайта лишь его домен (например, domain.com), без указания протокола, по которому необходимо соединяться (http:// или https://). В этом случае браузер сначала соединяется с веб-сервером по протоколу HTTP. Если сервер при этом поддерживает HTTPS-протокол, и на нём настроен автоматический редирект на этот безопасный протокол, то только лишь тогда происходит редирект с HTTP-протокола на HTTPS. По мнению специалистов Microsoft, этого времени, которое уходит на редирект между HTTP- и HTTPS-протокола может быть достаточно для проведения атаки. Использование закреплённых сайтов удобно лишь для небольшого набора наиболее важных сайтов. Поэтому в таблице данная технология для IE9 отмечена как поддерживаемая частично.

Фильтр вредоносных сайтов по URL  к настоящему времени также присутствует в каждом уважающем себя браузере, но подобное положение вещей возникло  относительно недавно. Мы не беремся судить о качестве реализации и эффективности данного функционала в браузерах, так как это требует проведения ряда сравнительных тестов.

С технологиями фильтрации опасных сайтов по URL вообще всё не так однозначно. Такая функция есть во всех браузерах, но качество работы такого функционала зависит напрямую от используемых баз и качества фидбэка с пользователями, принимающими непосредственное участие в наполнении соответствующих баз, расположенных в облаках вендоров или их партнёров. Например, Firefox (подробнее: http://www.mozilla.com/en-US/firefox/releases/1.5.html#FAQ) для блокирования вредоносных сайтов пользуется облаками Google. Фактически, информация о новых вредоносных сайтах, которые можно отправить с помощью Firefox, отправляется в компанию Google, и бразуер пользуется соответствующими репутационными технологиями. Остальные браузеры используют собственные репутационные технологии, эффективность которых может существенно различаться, и это тема для специальных исследований.

Отдельно стоит сказать о защите от установки в систему вредоносных программ, по сути, об антивирусном функционале на уровне браузера. Она реализована только в Internet Explorer 9. Фильтр SmartScreen, встроенный в этот браузер, оценивает репутацию для скачиваемых из интернета файлов. Подробнее о ней можно прочитать в обзоре средств безопасности Internet Explorer 9, который вышел раньше. В Google Chrome реализована песочница (sandboxing), которая в версии 12 получила поддержку в виде нового компонента, отвечающего за проверку загружаемых файлов на вредоносность с помощью репутационных технологий и уже выглядит как полноценная технология фильтрации вредоносных программ, загружаемых средством браузера. Возможности Mozilla Firefox, по мнению автора, заслуживают лишь половинчатого результата.

Следует оговориться, что репутационные технологии проверки файлов, реализованные в Google Chrome 12 на текущий момент выглядят сыровато. Автор обзора провёл небольшой эксперимент, задав привычным движением поисковой системе запрос «аватар скачать на большой скорости» и через несколько кликов нашёл свежую модификацию лже-архива, требующего за «распаковку» отослать деньги злоумышленникам. IE9 вывел сообщение о том, что файл «загружается необычным образом». Chrome 12 тоже несколько секунд проверял файл в своём «облаке», но сообщение о том, что файл не подписан и у него нет издателя, вывела операционная система, а не браузер. Так что новому фильтру загружаемых файлов от Google полноценная единица в итоговой таблице выставлена с надеждой на дальнейшее развитие данного функционала. По крайней мере, Chrome оказался первым браузером после IE, где такой функционал появился.

Что касается автоматического обновления браузеров, то обычно под этим подразумевается установка новых минорных версий, закрывающих обнаруженные уязвимости и повышающих стабильность веб-клиентов. Автоматический переход на новую мажорную версию браузеров обычно связан с явным указанием на подобное желание от пользователя. В связи с этим интернет-пользователям можно посоветовать соглашаться на такие предложения, хотя это и может привести к тому, что придётся привыкать к новому внешнему виду и функционалу полюбившегося браузера. Также не помешает следить за новостями (или подписаться на них), публикуемыми на официальном сайте производителя используемого браузера.

Небольшим сюрпризом оказалась поддержка технологии ASLR (Address Space Layout Randomization, рандомизация размещения адресного пространства) всей пятёркой популярных браузеров в реализации для платформы Windows как для исполняемого файла, так и для подгружаемых DLL-библиотек. Это говорит, что разработчики веб-браузеров для Windows «держат руку на пульсе» и следуют рекомендациям Microsoft при создании безопасных приложений.

Что касается новой модной функциональной возможности, входящей в подсистемы безопасности интернет-браузера, под названием «защита от слежения», то она заявлена всего в двух  описываемых продуктах – Internet Explorer и Mozilla Firefox. Подобные функции позволяют пресекать передачу данных о посещении пользователем сайтов в различные рекламные агентства и маркетинговые отделы компаний, которая совершается посредством специальных скриптов, внедряемых в рекламные объявления и просто в код веб-страниц. О данной функции в IE9 подробно написано в обзоре Internet Explorer 9, который вышел ранее (http://anti-malware.ru/reviews/Internet_Explorer_9). В Mozilla Firefox 5 функция включается в разделе «Приватность», настроек браузера, соответствующая настройка называется «Сообщать веб-сайтам, что я не хочу, чтобы за мной следили».

В целом в таблице выделяется Microsoft Internet Explorer, несильно от них отстают Mozilla Firefox и Google Chrome. Apple Safari и Opera замыкают список. Однако здесь стоит повториться, что данная таблица не является результатом серьёзного тестирования, поэтому расставленные в итоге места являются  субъективными. Главная же цель данного обзора – привлечь внимание пользователей не только к удобству и скорости работы  браузеров, но также к защите обеспечиваемой ими безопасности при веб-серфинге и защите конфиденциальной информации. А ее доверяют браузерам каждую секунду миллионы пользователей по всему миру.

Для того, чтобы показать, что в настоящее время браузеры развиваются весьма стремительно, укажем, что за время подготовки настоящего обзора успели выйти новые версии браузеров Opera, Chrome и Firefox. Указанные в обзоре версии браузеров являлись актуальными на момент публикации обзора, а уже завтра мы можем получить новую пищу для размышлений, как от злоумышленников, так и от производителей браузеров, а «баланс сил» может измениться в ту или иную сторону.

 

Автор: Валерий Ледовской

Присоединяйтесь к нам!

Если вы заметили ошибку, выделите необходимый текст и нажмите Ctrl+Enter, чтобы сообщить об этом редакции    Система Orphus

RSS: Новые статьи на Anti-Malware.ru