Перейти к содержанию
rayoflight

Сканирование вэб траффика в различных антивирусах

Recommended Posts

rayoflight

Порылся в интернете,да вот не нашёл такого сравнения.Может,кто-то самостоятельно проводил?Имхо,тема достаточно интересная.

Мне известны следующие продукты с данной функцией:

1.KAV/KIS

2.NOD32

3.Avast

4.F-Secure Anti-Virus/F-Secure Internet Security

5.Gdata Anti-VirusKit/Gdata Internet Security

6.BitDefender

7,8... ???

Мировая тройка лидеров Symantec,McAfee,Trend Micro,насколько мне известно,пока не внедрила эту функцию в свои продукты.

Вещь вроде бы полезная и нужная (вирусы блокируются до их попадания на хард),но с другой стороны множество минусов:тормоза в чатах,серфинге,загрузках файлов и т.п.

Какой из известных вам продуктов с включённым вэб антивирусом создаёт наименьшее количество проблем,упомянутых выше?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Мировая тройка лидеров Symantec,McAfee,Trend Micro,насколько мне известно,пока не внедрила эту функцию в свои продукты.

Как показывает практика мировая тройка лидеров обычно запаздывает с внедрением новых возможностей в свои продукты. Достаточно впомнить внедрение новейших систем проактивной защиты (у Trend Micro - в зачаточном состоянии, Symantec - пока думает, уверен, что внедрит рано или поздно).

Вещь вроде бы полезная и нужная (вирусы блокируются до их попадания на хард),

Для того, что бы блокировать попадание вирусов на хард вполне достаточно файлового антивируса

(резидентного монитора), сканер web-трафика предотвращает исполнение вредоносных скриптов в браузере. Это, на мой взгляд, его основное преимущество перед традиционными средствами защиты.

Отсутствие интеренет-монитора может быть компенсировано своевременной установкой патчей от производителей ПО, но следует иметь в виду, что они далеко не всегда выходят своевременно. Другой способ исключения негативных последствий, связанных с исполнением вредоносных скриптов - отказ от использования функции их исполнения в браузере, путем ее отключения или использования специальных расширений (firefox). Но и здесь, по моему мнению, не все так гладко, как представляется на первый взглад. Есть сайты, которые в обязательном порядке требуют разрешения исполнения скриптов. В противном случае Вы просто не сможете посетить сайт. Соответственно возникает вопрос. А где гарантия того, что сайт не троянизирован, путем внедрения вредоносного кода в web страницу? Как показывает практика, такой способ атаки на машины посетителей сайтов становится в последнее в последнее время все более популярным, при этом все чаще объеками внедрения становятся вполне легальные и надежные сайты.

но с другой стороны множество минусов:тормоза в чатах,серфинге,загрузках файлов и т.п.

Какой из известных вам продуктов с включённым вэб антивирусом создаёт наименьшее количество проблем,упомянутых выше?

Думаю, тут многое зависит от настроек антивируса. Так например, в KAV/KIS есть возможность настроить антивирус как путем использования "тонких" настроек (для опытных пользователей), так и с помощью ползунка (для неопытных). В NOD32 при использовании настроек "по умолчанию" программа работает в режиме максимальной совместимости. Это одна из причин "гладкой" работы антивируса. Но при этом

необходимо учитывать, что степень защищенности комьютера снижается. Это не скрывает даже сам производитель продукта. В BitDefender вообще нет возможности настроить web-антивирус. Видимо вендор посчитал, что он лучше знает что нужно пользователю. Я пользовался почти всеми указанными Вами продуктами (пробные периоды) причем совсем недавно. По моим ощущениям "мягче" всех работате avast, но он обеспечивает наименьший уровень защиты. Это мое мнение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
avial

Как показывает практика мировая тройка лидеров обычно запаздывает с внедрением новых возможностей в свои продукты. (резидентного монитора)' date=' сканер web-трафика предотвращает исполнение вредоносных скриптов в браузере. [/quote']

Веб-трафик на машине с файловым монитором действительно проверять смысла нет, а вот проверка скриптов давно уже есть у всех, включая и тройку лидеров.

По крайней мере, в моем макафи есть :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Веб-трафик на машине с файловым монитором действительно проверять смысла нет, а вот проверка скриптов давно уже есть у всех, включая и тройку лидеров.

По крайней мере, в моем макафи есть :)

Почитал manual для McAfee. Насколько я понял, там речь идет о проверке скриптов, запускаемых с жесткого диска. Таким образом, скрипты исполняемые непосредственно в браузере не проверяются перед их исполнением. Следовательно, Ваш вывод, о необязательности проверки HTTP-трафика нельзя признать обоснованным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Ваш вывод, о необязательности проверки HTTP-трафика нельзя признать обоснованным.

Впрочем так же как и Ваш о необходимости проверки. :)

Фильтрация трафика, конечно хороша, но в случае использования не IE на сегодняшний день, мне кажется, несколько чрезмерна.

Пока неизвестно ни одного случая заражения через дыры в Opera и FF.

Кстати, даже при использовании IE ограничение прав или глобально на компе или с помощью DropMyRights помогает в большинстве существующих сегодня случаев.

DropMyRights замечательно работает также и с FF и с Opera и ICQ и т.п.

Забыл по теме отписаться:)

Наиболее мягко работает, на мой взгляд, NOD,

При этом он не даёт записаться на диск файлу только в ИЕ, а в других браузерах обрезает конец файла при настройках по умолчанию.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Впрочем так же как и Ваш о необходимости проверки. :)

Фильтрация трафика, конечно хороша, но в случае использования не IE на сегодняшний день, мне кажется, несколько чрезмерна.

Пока неизвестно ни одного случая заражения через дыры в Opera и FF.

1. Вы в курсе что на сегодняшний день пользователей IE примерно 85%? Как с ними быть? Убеждать не пользоваться своим любимым браузером :).

2. Вы забываете также о том, некоторые сайты требуют обязательного использования IE.

2. Неизвестность не означает отсутствие потенциальной опасности.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Вы в курсе что на сегодняшний день пользователей IE примерно 85%? Как с ними быть? Убеждать не пользоваться своим любимым браузером

Угу, в курсе.

Посмотрите моё предыдущее сообщение, немного его поправил.

Зачем платить за лишний функционал, если есть бесплатные браузеры. :)

Здесь опять встает вопрос или рекламы антивирусов или же образования пользователей.

К сожалению, финансы за антивирусами. :)

Вы забываете также о том, некоторые сайты требуют обязательного использования IE

Их немного.

Неизвестность не означает отсутствие потенциальной опасности

Ну лучший способ лечения головной боли давно известен, также как и лучший способ обезопасить комп, выключив его из розетки.:)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
2. Вы забываете также о том, некоторые сайты требуют обязательного использования IE.

Очень не люблю такие сайты, потому что отношусь к тем оставшимся 15%. У меня такие сайты вызывают только раздражение.

2. Неизвестность не означает отсутствие потенциальной опасности.

Неизвестная опасность не ограничивается проникновением вредоносного кода через скрипты, которые могут загрузиться через HTTP без записи на диск. По мне так вообще невозможно заткнуть все дырки в решете под названием Windows. Поэтому на данный момент лучше хорошо затыкать главные течи, а на счёт остальных "дырок" давать рекомендации, которые существенно снижают опасность заражения.

На данный момент я вижу лишь то, что у некоторых антивирусов есть решения, позволяющие сканировать HHTP-трафик, но это связано со многими ограничениями при веб-сёрфинге. Например, конфликты, которые возникают с чатами и другими сайтами, активно взаимодействующими с пользователем, а также другие неприятные моменты.

Исходя из вышеизложенного я делаю вывод, что на данный момент гораздо проще убедить человека скачать Firefox или Opera, чем использовать сканер HHTP-трафика. В "минусах" этого подхода только сайты, которые требуют IE, но это единичные случаи, и мне кажется, что держатели этих сайтов ССЗБ, потому что не придерживаются общепринятых стандартов, используя возможности, которые доступны только в IE.

Это является ни чем иным, как нарушением ключевых принципов Интернета:

http://ru.wikipedia.org/wiki/%D0%98%D0%BD%....B5.D1.82.D0.B0

(ссылку сшейте, а то некрасиво топик будет выглядеть).

Добавлено спустя 11 минут 22 секунды:

Mr. Justice

Кстати, забыл добавить к своему высказыванию о том, что создатели сайтов "только для IE" являются ССЗБ.

Встречал несколько сообщений о том, что некоторые из таких сайтов не работают с IE 7.0, т.е. не определяют его как IE и просят... обновить :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Valery Ledovskoy

Весьма рекомендую поставить расширение HumanURL.

Ссылки с кирилицей получаются намного-намного красивей. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Спасибо за ссылки на интересные статьи.

Кстати, даже при использовании IE ограничение прав или глобально на компе или с помощью DropMyRights помогает в большинстве существующих сегодня "случаев.

DropMyRights замечательно работает также и с FF и с Opera и ICQ и т.п.

Ограничение прав не спасает от всех бед. Это уже обсуждалось http://anti-malware.ru/phpbb/viewtopic.php...%C0%C2%C0%CC%C8

Указанная Вами программа малоизвестна широкой публики. К сожалению очень мало "рядовых" пользователей читает сайты, посвященные компьютерной безопасности.

Забыл по теме отписаться:)

Наиболее мягко работает, на мой взгляд, NOD,

При этом он не даёт записаться на диск файлу только в ИЕ, а в других браузерах обрезает конец файла при настройках по умолчанию.

Никогда не слышал о такой особенности NOD32. Ссылку можно на первоисточник? Быстрая работа NOD32 по моемй мнению обяъсняется "мягкими" настройками "по умолчанию". Это одна из оснонвых причин.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Ссылку можно на первоисточник

Нет, личный опыт, кстати, это относится только к IE6,

в IE7, как и в других браузерах, по крайней мере в версии 2.5, 2.7 не смотрел пока.

Попробуйте, думаю будет тоже самое.

При любых настройках web-антивируса NOD файл становится неработоспособным.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Их немного.

Да, но далеко не все могут без них обойтись . Насколько я знаю, это в основном сайты банковских и платежных систем и коммерческих фирм.

Неизвестность не означает отсутствие потенциальной опасности

Ну лучший способ лечения головной боли давно известен, также как и лучший способ обезопасить комп, выключив его из розетки.:)

Не перегибайте палку. Речь идет не об устранении опасности,а о ее минимизации.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Не перегибайте палку. Речь идет не об устранении опасности,а о ее минимизации.

Значит мы с Вами говорим об одном и том же с разных сторон. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Valery Ledovskoy
Весьма рекомендую поставить расширение HumanURL.

Спасибо, но версия 0.1.2 не подходит к Firefox 2.0.0.1.

Подошла версия 0.1.2.1

http://mozilla-russia.org/sergeys/extensio...url-0.1.2.1.xpi

Но и она полностью не помогла процитированной мной ссылке :)

До "#" на русский язык перевелось, после этого знака всё так и осталось :)

Ибо расширение отображает "корректно" только те части URL, которые записываются в виде %xx :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Очень не люблю такие сайты, потому что отношусь к тем оставшимся 15%. У меня такие сайты вызывают только раздражение.

Аналогично. Но, как говорится, "по себе людей не судят". :)

Неизвестная опасность не ограничивается проникновением вредоносного кода через скрипты, которые могут загрузиться через HTTP без записи на диск.

Естсественно, но мы по крайней мере, можем свести ее к минимуму по данному направлению

По мне так вообще невозможно заткнуть все дырки в решете под названием Windows.

Согласен, но это не означает, что нужно "опускать руки".

Поэтому на данный момент лучше хорошо затыкать главные течи, а на счёт остальных "дырок" давать рекомендации, которые существенно снижают опасность заражения.

Желательно "заткнуть" как можно больше. Это касается не только основных брешей.

На данный момент я вижу лишь то, что у некоторых антивирусов есть решения, позволяющие сканировать HHTP-трафик, но это связано со многими ограничениями при веб-сёрфинге. Например, конфликты, которые возникают с чатами и другими сайтами, активно взаимодействующими с пользователем, а также другие неприятные моменты.

Многое зависит от настроек антивируса. Ну и "в конце концов" приходится выбирать между высокой степенью безопасности и комфортностью работы. Безопасность - это в большинстве случаев компромис. И каждый решает этот вопрос по своему.

Исходя из вышеизложенного я делаю вывод, что на данный момент гораздо проще убедить человека скачать Firefox или Opera, чем использовать сканер HHTP-трафика.

А как быть с незакрытыми дырами? Их находят не только в IE. Зачастую между обнаружением дыры и ее закрытием проходит много времени. Антивирусные вендоры реагируют на новую угрозу гораздо оперативнее. Не так ли?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Но и она полностью не помогла процитированной мной ссылке

Ну тогда Opera Вам в помощь:)

Она-уж точно правильно отображает такие ссылки.

А как быть с незакрытыми дырами? Их находят не только в IE. Зачастую между обнаружением дыры и ее закрытием проходит много времени. Антивирусные вендоры реагируют на новую угрозу гораздо оперативнее. Не так ли?

http://www.securitylab.ru/news/285554.php

А если говорить про Opera, то это вообще отдельный случай. В силу малой распространённости на западе и востоке от нас - это наиболее секурный на сегодня браузер без ограничений в удобстве в ввиде отключения скриптов.

Вообще говоря, политика использования более безопасных браузеров и ограничения прав является проактивной (как говорят сегодня) :) в отличии от антивируса с добавлением сигнатур на которые нужно время. В этом плане из вышеперечисленных антивирусов наиболее уязвим КАВ-КИС и, наверное, F-Secure, если там очередной движок не прикрутили. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
http://www.securitylab.ru/news/285554.php

А если говорить про Opera, то это вообще отдельный случай. В силу малой распространённости на западе и востоке от нас - это наиболее секурный на сегодня браузер без ограничений в удобстве в ввиде отключения скриптов.

Для того чтобы заразиться досточно одного дня.

Скорость реакции производителей браузеров исчисляется днями, а скорость реакции антивирусных вендоров - часами.

Вообще говоря, политика использования более безопасных браузеров и ограничения прав является проактивной (как говорят сегодня) :) в отличии от антивируса с добавлением сигнатур на которые нужно время. В этом плане из вышеперечисленных антивирусов наиболее уязвим КАВ-КИС и, наверное, F-Secure, если там очередной движок не прикрутили. :)

Скажите что по Вашему лучше ловить 53% проактивно, а остальные - с большой задержкой времени или проактивно (эвристиком) ловить всего 6%, а остальные в течении очень короткого времени?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Скажите что по Вашему лучше ловить 53% проактивно, а остальные - с большой задержкой времени или проактивно (эвристиком) ловить всего 6%, а остальные в течении очень короткого времени?

Я про политики говорил, а не про время реакции антивирусов.

Для того чтобы заразиться досточно одного дня.

Для того, чтобы заразиться достаточно не знать проблему в лицо или если угодно в сигнатуру. :)

("Врезать в сигнатуру" - хорошая фраза , надо запомнить :) )

Впрочем, пора спать.

Завтра к станку, а каникулы и море расслабили так, что теперь и не представляю, как можно уснуть в 12 часов, если проснулся в 14:00 :).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
avial
проверке скриптов, запускаемых с жесткого диска. Таким образом, скрипты исполняемые непосредственно в браузере не проверяются

Насколько я помню, проверяется все, что запускается через WSH. А именно эта компонента дает доступ без ограничений ко всем ресурсам. А откуда запущен скрипт - роли не играет. С диска или напрямую со страницы. Разве IE не использует WSH?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice
Я про политики говорил, а не про время реакции антивирусов.

Тогда мне непонятна Ваша фраза об уязвимости KAV/KIS и F-Secure.

Для того, чтобы заразиться достаточно не знать проблему в лицо или если угодно в сигнатуру. :)

("Врезать в сигнатуру" - хорошая фраза , надо запомнить :) )

Речь идет о скорости реакции на появление новых эксплойтов со стороны производителей браузеров и антивирусных вендоров. Антивирусные вендоры реагируют намного быстрее. Прошу заметить, что я не противопоставляю антивирусную защиту WEb-трафика устранению уявзимостей со стороны производителей браузеров. Я их сравниваю. И прихожу к выводу, что оба способа устранения проблем, связанных с использованием эксплойтов

должны дополнять друг друга. То есть защитой HTTP-трафика пренебрегать нельзя. Надеюсь я ясно выразился?

Добавлено спустя 2 минуты 23 секунды:

Re: Сканирование вэб траффика в различных антивирусах

проверке скриптов, запускаемых с жесткого диска. Таким образом, скрипты исполняемые непосредственно в браузере не проверяются

Насколько я помню, проверяется все, что запускается через WSH. А именно эта компонента дает доступ без ограничений ко всем ресурсам. А откуда запущен скрипт - роли не играет. С диска или напрямую со страницы. Разве IE не использует WSH?

Сомневаюсь в этом. Приведите пожалуйста ссылку на источник...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

Mr. Justice

Мне кажется мы с Вами начинаем повторяться.

Не отрицая полезности веб-антивируса, я говорю лишь о его некоторой избыточности при наличии альтернативного браузера и некоторых других условий.

Вероятность заражения от незакрытой дыры в альтернативном браузере, где дыры закрываются достаточно быстро и вероятность заражения в IE с вэб-антивирусом как минимум сопоставимы, хотя лично мне кажется, что мой подход более безопасен, удобен в силу вышеуказанных проблем вэб-антивирусов и дёшев.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Mr. Justice

Dexter чувствую наша дискуссия (по крайней мере с Вами) близится к логическому заврешению.

ОК. Сформулирую свое окончательное мнение. Проверка web-трафика, представляется, как Вы правильно заметили, в большинстве случаев избыточной. Но нельзя отрицать, что в некоторых случаях она необходима для обеспечения более надежной защиты от HTTP-эксплойтов. В этом и заключается ее полезность. Иными словами, в некоторых случаях классические методы защиты должны дополняться новейшими методами, в частности защитой web-трафика. Если существует потенциальная опасность заражения машины, то она должна быть сведена к минимуму.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter

:thanks:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SuperBrat
Не отрицая полезности веб-антивируса, я говорю лишь о его некоторой избыточности при наличии альтернативного браузера и некоторых других условий.

Кстати, web-антивирус KAV работает только c IE? У других вендоров он работает по принципу прокси-сервера (файрвола). По-крайней мере, в Opera9 KAV5 (корпоративный) не интегрируется. Зловредов ловит файловый антивирус.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Dexter
Кстати, web-антивирус KAV работает только c IE?

Нет. Не только.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×