Перейти к содержанию
Kokunov Aleksey

Сравнение безопасности интернет-браузеров

Recommended Posts

Kokunov Aleksey

навеяло темой

http://www.anti-malware.ru/forum/index.php?showtopic=4921

Мне кажется средство просмотра - это одно из основных уязвимых мест системы.

Может сделать отдельный тест браузеров??

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

У меня тоже возникла эта мысль.

Только вряд ли тут эта идея кого-то в достаточной степени заинтересует.

Многие тесты антивирусов, более актуальны, но и они уже давненько не обновлялись. Да и независимых тестов браузеров в отличие от тестов антивирусов, кажется, существует достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Может сделать отдельный тест браузеров??

Было бы неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Может сделать отдельный тест браузеров?

+1, было бы интересно, тем более, что количество закачек новых версий Оперы 9.5 и Файерфокса 3.0 исчисляется в миллионах...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Идея интересная, только вот вопросов по ней будет огромное количество.

Во-первых, по каким параметрам оценивать браузеры? Качественно (по наличию тех или иных фич) или количественно (по количеству существующих/отработавших эксплоитов, если речь идет об уязвимостях, например)?

Во-вторых, в каком виде тестировать ту же Мозиллу, если общеизвестно, что вся её сила - в плагинах?

И так далее.

Короче говоря, разрабатывать методику для такого теста - аццкий труд. Даже на обсуждение гораздо более простого идеологически теста на быстродействие уже ушло 7 страниц форума...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Ну по крайней мере попытатся обсудить - ничего не мешает :)

Тем более у нас есть "группа, не использующих антивирус" - я думаю они помогут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1. Результат тестирования сильно зависит от субъективных оценок

2. Объективные оценки для такого типа ПО еще нужно придумать

3. Каждый браузер имеет свою "фишку", которая может быть весомым аргументом для холиварщиков. Опера - все-в-одном, Fx - расширяемость... С настройками по умолчанию их нельзя сравнить. А ставить, допустим, дополенения для Fx означает подтасовку результатов.

4. Браузеры обновляются так часто, что за время теста это может произойти не один раз.

В общем, это слишком сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Но возможно, если:

1. Зафиксировать версии для тестирования конкретными на конкретную дату;

2. Сконфигурировать браузеры так, чтоб у них был равный функционал (для Fx допустить при этом использование расширений, но только для выравнивания функционала);

3. Провести тестирование браузеров с такими, чётко обозначенными, конфигурациями в равных условиях (сайты, их сложность, элементная составляющая).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Идея действительно стоящая и эта тема реально востребована в том числе и прессой. Поэтому если сформируется инициативная группа для проведения теста, то результаты мы обязательно опубликуем в разделе "Тесты".

Предлагаю начать выработку методологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

Дальше, я думаю не надо забывать про троянов, использующих различные уязвимости в браузерах(этап, когда уже заразились - как защищаемся)...

Защита от фишинга - эту опцию предлагают почти все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

кроссбраузерные уязвимости ещё надо поискать, для использования распространённых кроссбраузерных эксплойтов :)

Я предлагаю выявить наиболее распространенные угрозы для пользователя сети Интернет и проверить их реализуемость в разных браузерах, при этом учитывая, что браузер установлен по умолчанию или настроен опытным пользователем.

Так же интересны тесты связок браузер + антивирус.

Начать можно с сохраненных паролей и изучить как они хранятся например в ИЕ, Фарфоксе,Опере и как их можно защищать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

будет тест ни о чем и ничего, информация к размышлению:

1st, April

Stefan Frei

For the last 18 month we analyzed the daily USER-AGENT data collected by

Google's Web search and application servers around the world to study how users

patch and update their Web browsers.

We came out that approximately 637 million (or 45.2 percent) users currently

surf the Web on a daily basis with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

And this is only the tip of what we call the "Insecurity Iceberg", not counting

all the vulnerable browser plug-ins.

One of the new concepts we came up for combating the inadequacies of

Web browser

patching was that of applying the food industries "Best Before" date to the Web

browser and its plug-ins.

Paper:

Understanding the Web browser threat:

Examination of vulnerable online Web browser populations and the

"insecurity iceberg"

Authors

- Stefan Frei, Communication Systems Group, ETH Zurich, Switzerland

- Thomas Duebendorfer, Google Switzerland GmbH

- Gunter Ollmann, IBM Internet Security Systems, USA

- Martin May, Communication Systems Group, ETH Zurich, Switzerland

Paper Download:

http://www.techzoom.net/insecurity-iceberg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

разговор идет только в основном об IE

а всего самыл популярных баузеров 8-11....

ЗЫ Я пользуюсь например только оперой и ставлю ве обновления... да и на ИЕ тоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Очень нужный тест. Помочь в проведении не смогу, но обязательно буду благодарным читателем его результатов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh

у исследования про insecurity iceberg два серьезных недостатка, с точки зрения репрезентативности и информативности: исключительная теоретичность (отсутствие собственно тестов) и сырые данные (отсутствие каких-либо понятных выводов по результатам). поэтому он и "ни о чем".

тест не будет ни о чем, если четко продумать, что именно мы хотим тестировать и подобрать соответствующие критерии. так как проблема данной темы тестирования только в огромном количестве критериев и в их сложной взаимной пересекаемости. как следствие, задача продумать методологию действительно непростая. но вполне конечная, если не хвататься за все критерии одновременно и не сваливать их в кучу.

вследствие этого, задачи при составлении методологии:

1. выделить несколько векторов тестирования и аккуратно разложить по ним все многочисленные критерии.

2. обеспечить системность.

Что касается системности, можно сделать тест из трех частей.

1. теоретическая

2. синтетическая

3. полевая

х. анализ

1. Теоретическая часть - чистый анализ статистики по уязвимостям для веб-браузеров.

Собрать статистику часто используемых браузеров - по UserAgent из веб-логов сайтов по всему миру. Думаю, не будет нарушением каких-либо законов мира и справедливости взять эту статистику из приведенного john'ом исследования с указанием первоисточника, но лучше собрать самим.

Собрать статистику обнаружения уязвимостей для этих браузеров, перемножить с критичностью этих уязвимостей.

Собрать статистику по скорости реакции браузер-вендоров на уязвимости и по частоте обновлений.

Из всего этого можно будет вывести множество полезных коэффициентов, например "наибольшой тормоз в плане обновлений", "степень уязвимости к 0day эксплойтам" (об этом см. в конце) и т.д.

2. Синтетическая часть - искусственное воспроизведение эксплуатации, исходя из анализа ситуации.

Собрать статистику по веб-уязвимостям (можно запросить у АВ вендоров - любой "рука-на-пульсе" вирусный аналитик легко раскидает актуальные уязвимости по процентам)

Собрать коллекцию эксплойтов (как-то провесить по частоте встречаемости)

И прогнать эксплойты по браузерам.

Критерий успешной эксплуатации - запущенный код.

3. Полевая часть

даем Сергею Ильину IE, засекаем час и отправляем активно гулять по порно-сайтам. :D:D

Тут думаю идея ясна - воспроизвести реальную ситуацию "наиболее вероятной эксплуатации" - что соответствует прогулке по сайтам dirty тематики (хак, крак, адалт, дорвеи). Можно еще нагуглить актуальных уязвимостей, которые инжектируются в "нормальные" сайты через ворованные фтп-пароли и погулять по этим сайтам тоже.

х. Анализ

Математическая работа по сопоставлению данных пп.1-3 в сочетании с гуманитарной работой по их сведению к каким-либо человекочитаемым показателям без существенных информационных потерь. Этот пункт надо думать, когда согласованы предыдущие.

***

Что касается такого показателя, как степень пропатченности браузера.

Ну можно попробовать запросить у браузер-вендоров статистику по обновлениям. Но я считаю, что этим параметром можно пренебречь - так как мы тестируем не степень легкомыслия пользователей, насколько часто они обновляются, а степень безопасности браузеров. Чтобы результатом теста безопасности браузеров можно было воспользоваться практически, тестируемые браузеры должны находиться в легко воспроизводимых состояниях. Единственное легко и вполне естественно воспроизводимое состояние для браузера, это 100% патчей.

То же самое относится к вопросу о разных наборах плагинов для мозиллы. То, что у всех разные наборы плагинов - и есть причина того, что этим показателем можно пренебречь: вследствие своей непрозрачности, он представляет лишь миноритарную угрозу.

Хотя можно взять Н самых популярных плагинов, такого порядка, как вьюеры документов и средства интеграции с другим популярным софтом.

***

Очень важный и сложно формализуемый показатель, это степень уязвимости браузера к 0day эксплойтам. Проблема с ним в том, что ситуация 0day эксплуатации невоспроизводима. Поэтому практический тест не возможен, возможно только как-то аппроксимировать показатель "степень 0day уязвимости" из статистики прошлого. Например, так: взять плотность уязвимостей для данного браузера (количество/критичность на единицу времени), и поделить на обновляемость данного браузера (скорость/качество закрытия уязвимостей). Получится некий коэффициент, косвенно отражающий минимальный период времени, в течение которого браузер уязвим для свежих 0day.

А если этот коэффициент еще скрестить с статистикой по браузерам, то получится некий показатель "глобальной веб-уязвимости".

***

Также следует отдельно рассмотреть ситуации, когда эксплуатация происходит через веб, но виновник - не браузер. Примеры - кроссбраузерные плагины (flash, очень актуально) и уязвимости операционной системы (эксплуатация через картинки и курсоры). Это к теоретической части.

***

Это то что совсем очевидно; думаю, можно еще много чего придумать интересного и показательного для теста.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Оффтоп на тему Google Chrome выделен в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6095

Обсуждение рекомендуемых настроек безопасности браузеров также выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6094

Будте внимательны!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

UP

По подсказке p2u напоминаю про тему...

Актуально все же оказалось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У меня опера 9.63, которая вышла сегодня сдала тест http://www.info-svc.com на 11 из 21

Я (исключительно благодаря своим настройкам) получил следующий результат: 13 из 21 сдал; 8 провалил.

152183a6d183.jpg

Надо сказать, что я Firefox (3.0.5) настроил так, чтобы он не выдал никаких алертов, кроме тех случаев, когда сайт хочет загрузить файлы и/или запускать программы или модули. На практике мне ничего такого не грозит, так как кроме мейла и на несколько форумах, мне нигде логон не требуется. В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ. Спасибо всё равно за тест! :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey888
В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ.

Не реально. Водить каждый раз пароли при входе на каждый сайт это выше моих сил. Это значит мне придется вводить каждый раз при запуске Mozilla Firefox 15 паролей. Я не сохраняю пароли только на то, чем действительно сильно дорожу. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • 7006605
      15 августа в Центре культуры им. Х. М. Темирканова в КБГУ открылась Международная летняя школа «Корни дружбы наших народов – в нашей истории». Школа проходит в третий раз при финансовой поддержке фонда «Русский мир» и продлится до 20 августа. В этот раз участниками форума стали студенты КБГУ, Брестского государственного университета им. А.С. Пушкина, Тбилисского государственного университета им. И. Джавахишвили, Южно-Казахстанского государственного педагогического университета, учащиеся классической гимназии г. Донецка, литературной студии «Свеча» и воспитанники Детской академии творчества «Солнечный город» г. Нальчика. От имени руководства гостей вуза поприветствовал исполняющий обязанности проректора КБГУ по воспитательной работе и социальным вопросам Артур Кажаров: «Тема и цель этой школы – развитие дружеских связей между народами посредством изучения совместной истории и культуры, очень гармонично вписывается в концепцию деятельности университета, стремящегося стать опорным центром науки, культуры, межнационального согласия в Кавказском регионе. Желаю вам взять от этой встречи все самое ценное и лучшее для вас и государств, которые вы представляете», — сказал Артур Кажаров. Инициатор и руководитель Международной летней школы — профессор, заведующая кафедрой русского языка и общего языкознания КБГУ Светлана Башиева поблагодарила гостей из Грузии, Республики Беларусь, Казахстана, Украины за то, что своим приездом выразили солидарность идеям встречи, и подчеркнула, что работа школы будет насыщенной и интересной. «Программа нашей работы предусматривает лекции по русскому языку, литературе, истории, проблемам межэтнической толерантности, вечер русской поэзии, конкурс сочинений, круглые столы на этнокультурную тематику и по молодежной политике, этнографический праздник в одном из районов республики «Нас объединяет русский язык». Отрадно, что это научное общение стирает границы не только между государствами, но и возрастные – в работе примут участие доктора наук, аспиранты, студенты и школьники», — отметила Светлана Башиева. В открытии Международной летней школы «Корни дружбы наших народов – в нашей истории» также приняли участие и выступили профессор Тбилисского государственного университета им. И. Джавахишвили Джони Квициани, заместитель декана филологического факультета Брестского государственного университета им. А.С. Пушкина, доцент кафедры русского языка и литературы Ольга Ковальчук, доцент кафедры русского языка и литературы Южно-Казахстанского государственного педагогического университета Уалихан Абдыханов, руководители республиканских национально-культурных центров «Вече», «Риони» и представители молодежных организаций.
    • PR55.RP55
      И это uVS точно не видит: HKU\S-1-5-21-1867217750-153899321-2446527166-1000\...\StartMenuInternet\ChromeHTML: -> C:\Program Files (x86)\Hipmy\Application\chrome.exe * Это из лога FRST  
    • dorin
      Ну например я имею дополнительный доход с интернете. Вот на этом  https://joycasinoclub.com/ портале  можно не плохо заработать. Мне он отлично подходит.      
    • seomasterpro
      Если позитивный отзыв о положительных качествах плагина "Anti-Malware Security and Brute-Force Firewall" для кого-то является пиаром, то пусть будет как вы считаете. Но главное ведь в том, что плагин позволяет не только обнаруживать вредоносный код, но и умеют  удалять его! Если кто-то из участников этой темы может привести другой пример, - напишите и расскажите его возможности. А когда кто-то пишет, что это просто пиар, то вы хоть прочтите название темы, - "Как защититься от взлома сайта?". Не стоит писать пустых предложений, а лучше пишите по-существу темы!!! Только читайте всегда название.
    • Molly01
      Можете воспользоваться специальным сервисом по поиску, достаточно знать хоть какие-то данные. Вот к примеру этот сайт https://bazaperson.ru/gorod/Moskva/ попробуйте, может поможет.
×