Перейти к содержанию
Kokunov Aleksey

Сравнение безопасности интернет-браузеров

Recommended Posts

Kokunov Aleksey

навеяло темой

http://www.anti-malware.ru/forum/index.php?showtopic=4921

Мне кажется средство просмотра - это одно из основных уязвимых мест системы.

Может сделать отдельный тест браузеров??

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

У меня тоже возникла эта мысль.

Только вряд ли тут эта идея кого-то в достаточной степени заинтересует.

Многие тесты антивирусов, более актуальны, но и они уже давненько не обновлялись. Да и независимых тестов браузеров в отличие от тестов антивирусов, кажется, существует достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Может сделать отдельный тест браузеров??

Было бы неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Может сделать отдельный тест браузеров?

+1, было бы интересно, тем более, что количество закачек новых версий Оперы 9.5 и Файерфокса 3.0 исчисляется в миллионах...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Идея интересная, только вот вопросов по ней будет огромное количество.

Во-первых, по каким параметрам оценивать браузеры? Качественно (по наличию тех или иных фич) или количественно (по количеству существующих/отработавших эксплоитов, если речь идет об уязвимостях, например)?

Во-вторых, в каком виде тестировать ту же Мозиллу, если общеизвестно, что вся её сила - в плагинах?

И так далее.

Короче говоря, разрабатывать методику для такого теста - аццкий труд. Даже на обсуждение гораздо более простого идеологически теста на быстродействие уже ушло 7 страниц форума...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Ну по крайней мере попытатся обсудить - ничего не мешает :)

Тем более у нас есть "группа, не использующих антивирус" - я думаю они помогут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1. Результат тестирования сильно зависит от субъективных оценок

2. Объективные оценки для такого типа ПО еще нужно придумать

3. Каждый браузер имеет свою "фишку", которая может быть весомым аргументом для холиварщиков. Опера - все-в-одном, Fx - расширяемость... С настройками по умолчанию их нельзя сравнить. А ставить, допустим, дополенения для Fx означает подтасовку результатов.

4. Браузеры обновляются так часто, что за время теста это может произойти не один раз.

В общем, это слишком сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Но возможно, если:

1. Зафиксировать версии для тестирования конкретными на конкретную дату;

2. Сконфигурировать браузеры так, чтоб у них был равный функционал (для Fx допустить при этом использование расширений, но только для выравнивания функционала);

3. Провести тестирование браузеров с такими, чётко обозначенными, конфигурациями в равных условиях (сайты, их сложность, элементная составляющая).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Идея действительно стоящая и эта тема реально востребована в том числе и прессой. Поэтому если сформируется инициативная группа для проведения теста, то результаты мы обязательно опубликуем в разделе "Тесты".

Предлагаю начать выработку методологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

Дальше, я думаю не надо забывать про троянов, использующих различные уязвимости в браузерах(этап, когда уже заразились - как защищаемся)...

Защита от фишинга - эту опцию предлагают почти все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

кроссбраузерные уязвимости ещё надо поискать, для использования распространённых кроссбраузерных эксплойтов :)

Я предлагаю выявить наиболее распространенные угрозы для пользователя сети Интернет и проверить их реализуемость в разных браузерах, при этом учитывая, что браузер установлен по умолчанию или настроен опытным пользователем.

Так же интересны тесты связок браузер + антивирус.

Начать можно с сохраненных паролей и изучить как они хранятся например в ИЕ, Фарфоксе,Опере и как их можно защищать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

будет тест ни о чем и ничего, информация к размышлению:

1st, April

Stefan Frei

For the last 18 month we analyzed the daily USER-AGENT data collected by

Google's Web search and application servers around the world to study how users

patch and update their Web browsers.

We came out that approximately 637 million (or 45.2 percent) users currently

surf the Web on a daily basis with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

And this is only the tip of what we call the "Insecurity Iceberg", not counting

all the vulnerable browser plug-ins.

One of the new concepts we came up for combating the inadequacies of

Web browser

patching was that of applying the food industries "Best Before" date to the Web

browser and its plug-ins.

Paper:

Understanding the Web browser threat:

Examination of vulnerable online Web browser populations and the

"insecurity iceberg"

Authors

- Stefan Frei, Communication Systems Group, ETH Zurich, Switzerland

- Thomas Duebendorfer, Google Switzerland GmbH

- Gunter Ollmann, IBM Internet Security Systems, USA

- Martin May, Communication Systems Group, ETH Zurich, Switzerland

Paper Download:

http://www.techzoom.net/insecurity-iceberg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

разговор идет только в основном об IE

а всего самыл популярных баузеров 8-11....

ЗЫ Я пользуюсь например только оперой и ставлю ве обновления... да и на ИЕ тоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Очень нужный тест. Помочь в проведении не смогу, но обязательно буду благодарным читателем его результатов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh

у исследования про insecurity iceberg два серьезных недостатка, с точки зрения репрезентативности и информативности: исключительная теоретичность (отсутствие собственно тестов) и сырые данные (отсутствие каких-либо понятных выводов по результатам). поэтому он и "ни о чем".

тест не будет ни о чем, если четко продумать, что именно мы хотим тестировать и подобрать соответствующие критерии. так как проблема данной темы тестирования только в огромном количестве критериев и в их сложной взаимной пересекаемости. как следствие, задача продумать методологию действительно непростая. но вполне конечная, если не хвататься за все критерии одновременно и не сваливать их в кучу.

вследствие этого, задачи при составлении методологии:

1. выделить несколько векторов тестирования и аккуратно разложить по ним все многочисленные критерии.

2. обеспечить системность.

Что касается системности, можно сделать тест из трех частей.

1. теоретическая

2. синтетическая

3. полевая

х. анализ

1. Теоретическая часть - чистый анализ статистики по уязвимостям для веб-браузеров.

Собрать статистику часто используемых браузеров - по UserAgent из веб-логов сайтов по всему миру. Думаю, не будет нарушением каких-либо законов мира и справедливости взять эту статистику из приведенного john'ом исследования с указанием первоисточника, но лучше собрать самим.

Собрать статистику обнаружения уязвимостей для этих браузеров, перемножить с критичностью этих уязвимостей.

Собрать статистику по скорости реакции браузер-вендоров на уязвимости и по частоте обновлений.

Из всего этого можно будет вывести множество полезных коэффициентов, например "наибольшой тормоз в плане обновлений", "степень уязвимости к 0day эксплойтам" (об этом см. в конце) и т.д.

2. Синтетическая часть - искусственное воспроизведение эксплуатации, исходя из анализа ситуации.

Собрать статистику по веб-уязвимостям (можно запросить у АВ вендоров - любой "рука-на-пульсе" вирусный аналитик легко раскидает актуальные уязвимости по процентам)

Собрать коллекцию эксплойтов (как-то провесить по частоте встречаемости)

И прогнать эксплойты по браузерам.

Критерий успешной эксплуатации - запущенный код.

3. Полевая часть

даем Сергею Ильину IE, засекаем час и отправляем активно гулять по порно-сайтам. :D:D

Тут думаю идея ясна - воспроизвести реальную ситуацию "наиболее вероятной эксплуатации" - что соответствует прогулке по сайтам dirty тематики (хак, крак, адалт, дорвеи). Можно еще нагуглить актуальных уязвимостей, которые инжектируются в "нормальные" сайты через ворованные фтп-пароли и погулять по этим сайтам тоже.

х. Анализ

Математическая работа по сопоставлению данных пп.1-3 в сочетании с гуманитарной работой по их сведению к каким-либо человекочитаемым показателям без существенных информационных потерь. Этот пункт надо думать, когда согласованы предыдущие.

***

Что касается такого показателя, как степень пропатченности браузера.

Ну можно попробовать запросить у браузер-вендоров статистику по обновлениям. Но я считаю, что этим параметром можно пренебречь - так как мы тестируем не степень легкомыслия пользователей, насколько часто они обновляются, а степень безопасности браузеров. Чтобы результатом теста безопасности браузеров можно было воспользоваться практически, тестируемые браузеры должны находиться в легко воспроизводимых состояниях. Единственное легко и вполне естественно воспроизводимое состояние для браузера, это 100% патчей.

То же самое относится к вопросу о разных наборах плагинов для мозиллы. То, что у всех разные наборы плагинов - и есть причина того, что этим показателем можно пренебречь: вследствие своей непрозрачности, он представляет лишь миноритарную угрозу.

Хотя можно взять Н самых популярных плагинов, такого порядка, как вьюеры документов и средства интеграции с другим популярным софтом.

***

Очень важный и сложно формализуемый показатель, это степень уязвимости браузера к 0day эксплойтам. Проблема с ним в том, что ситуация 0day эксплуатации невоспроизводима. Поэтому практический тест не возможен, возможно только как-то аппроксимировать показатель "степень 0day уязвимости" из статистики прошлого. Например, так: взять плотность уязвимостей для данного браузера (количество/критичность на единицу времени), и поделить на обновляемость данного браузера (скорость/качество закрытия уязвимостей). Получится некий коэффициент, косвенно отражающий минимальный период времени, в течение которого браузер уязвим для свежих 0day.

А если этот коэффициент еще скрестить с статистикой по браузерам, то получится некий показатель "глобальной веб-уязвимости".

***

Также следует отдельно рассмотреть ситуации, когда эксплуатация происходит через веб, но виновник - не браузер. Примеры - кроссбраузерные плагины (flash, очень актуально) и уязвимости операционной системы (эксплуатация через картинки и курсоры). Это к теоретической части.

***

Это то что совсем очевидно; думаю, можно еще много чего придумать интересного и показательного для теста.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Оффтоп на тему Google Chrome выделен в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6095

Обсуждение рекомендуемых настроек безопасности браузеров также выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6094

Будте внимательны!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

UP

По подсказке p2u напоминаю про тему...

Актуально все же оказалось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У меня опера 9.63, которая вышла сегодня сдала тест http://www.info-svc.com на 11 из 21

Я (исключительно благодаря своим настройкам) получил следующий результат: 13 из 21 сдал; 8 провалил.

152183a6d183.jpg

Надо сказать, что я Firefox (3.0.5) настроил так, чтобы он не выдал никаких алертов, кроме тех случаев, когда сайт хочет загрузить файлы и/или запускать программы или модули. На практике мне ничего такого не грозит, так как кроме мейла и на несколько форумах, мне нигде логон не требуется. В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ. Спасибо всё равно за тест! :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey888
В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ.

Не реально. Водить каждый раз пароли при входе на каждый сайт это выше моих сил. Это значит мне придется вводить каждый раз при запуске Mozilla Firefox 15 паролей. Я не сохраняю пароли только на то, чем действительно сильно дорожу. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • GeorgeAbent
      Здравствуйте! Класный у вас сайт!
      Что скажете по поводу этих новостей?:
      http://itcyber.ru/14669-sniper-elite-4-poluchaet-novyy-igrovoy-treyler.html
      "Что круче?": Более дешёвый Teclast M8 или Xiaomi M8 "Что круче?": Более дешёвый Teclast M8 или Xiaomi M8
      информационные образовательные технологии http://itcyber.ru/information-technology-it/
      криптовалюта прогноз последние новости http://itcyber.ru/kriptovaluta/
      Ещё много интересного нашел тут: новости IT России и мира http://itcyber.ru/
    • DonaldSaina
      Приветствую всех! Класный у вас сайт!
      Нашёл познавательное в сети: ГРУ Украины продолжает следить за деятельностью русских в Сирии http://planetnew.ru/news/15613-gru-ukrainy-prodolzhaet-sledit-za-deyatelnostyu-russkih-v-sirii.html
      http://planetnew.ru/information-technology-it/34060-eks-glavu-samsung-mogut-posadit-na-12-let-v-yuzhnoy-koree.html
      Ещё много всего по теме нашел тут: 17 11 2021 г новороссия россия признала днр и лнр
      свежие новости видео http://planetnew.ru/video/
    • SQx
      В моем случае я кажется нашел этот - DhcpDomain папаметр: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{64846981-4885-4d8b-af0b-1097a90e00f6} EnableDHCP REG_DWORD 0x1 Domain REG_SZ NameServer REG_SZ DhcpServer REG_SZ 192.168.2.1 Lease REG_DWORD 0x3f480 LeaseObtainedTime REG_DWORD 0x6145e5fe T1 REG_DWORD 0x6147e03e T2 REG_DWORD 0x61495bee LeaseTerminatesTime REG_DWORD 0x6149da7e AddressType REG_DWORD 0x0 IsServerNapAware REG_DWORD 0x0 DhcpConnForceBroadcastFlag REG_DWORD 0x0 DhcpNetworkHint REG_SZ 8616070797 RegistrationEnabled REG_DWORD 0x1 RegisterAdapterName REG_DWORD 0x0 IPAddress REG_MULTI_SZ SubnetMask REG_MULTI_SZ DefaultGateway REG_MULTI_SZ DefaultGatewayMetric REG_MULTI_SZ DhcpIPAddress REG_SZ 192.168.2.103 DhcpSubnetMask REG_SZ 255.255.255.0 DhcpDomain REG_SZ home DhcpNameServer REG_SZ 192.168.2.1 DhcpDefaultGateway REG_MULTI_SZ 192.168.2.1 DhcpSubnetMaskOpt REG_MULTI_SZ 255.255.255.0 DhcpInterfaceOptions REG_BINARY FC00000000000000000000000000000043880400790000000000000000000000000000004388040077000000000000000000000000000000438804002F000000000000000000000000000000438804002E000000000000000000000000000000438804002C000000000000000000000000000000438804002B0000000000000000000000000000004388040021000000000000000000000000000000438804001F000000000000000000000000000000438804000F000000000000000400000000000000C339F780686F6D6506000000000000000400000000000000C339F780C0A8020103000000000000000400000000000000C339F780C0A8020101000000000000000400000000000000C339F780FFFFFF0033000000000000000400000000000000C339F7800003F48036000000000000000400000000000000C339F780C0A8020135000000000000000100000000000000C339F78005000000 DhcpGatewayHardware REG_BINARY C0A8020106000000B8D94D42ED7E DhcpGatewayHardwareCount REG_DWORD 0x1 также я могу его пинговать. >ping -a home Pinging home.home [192.168.2.1] with 32 bytes of data: Reply from 192.168.2.1: bytes=32 time=1ms TTL=64 Reply from 192.168.2.1: bytes=32 time=1ms TTL=64  
    • SQx
      Мне ЛК, также написали:
        Но пользователь сказал, что не было галочки на "Автоматически определять настройки".
    • PR55.RP55
      Например есть  пакет с драйверами ( сотни... тысячи драйверов ) Предполагается использовать этот пакет для обновления системных драйверов, или WIM Часть драйверов подписана, часть нет... Хотелось бы, чтобы uVS  ( по команде в меню: Файл ) - создала из этих драйверов пакет установки\обновления. Копию только из подписанных ( прошедших проверку ( и проверенных по SHA ) драйверов. Копию по типу программы: " Double Driver" http://soft.oszone.net/program/5936/Double_Driver/ + Возможность создать копию системных драйверов, системы - но, опять таки... копировать только подписанные драйвера и те, что есть в базе SHA.  
×