Перейти к содержанию
Kokunov Aleksey

Сравнение безопасности интернет-браузеров

Recommended Posts

Kokunov Aleksey

навеяло темой

http://www.anti-malware.ru/forum/index.php?showtopic=4921

Мне кажется средство просмотра - это одно из основных уязвимых мест системы.

Может сделать отдельный тест браузеров??

  • Upvote 10

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Lemmit

У меня тоже возникла эта мысль.

Только вряд ли тут эта идея кого-то в достаточной степени заинтересует.

Многие тесты антивирусов, более актуальны, но и они уже давненько не обновлялись. Да и независимых тестов браузеров в отличие от тестов антивирусов, кажется, существует достаточно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND
Может сделать отдельный тест браузеров??

Было бы неплохо.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
bse
Может сделать отдельный тест браузеров?

+1, было бы интересно, тем более, что количество закачек новых версий Оперы 9.5 и Файерфокса 3.0 исчисляется в миллионах...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
dot_sent

Идея интересная, только вот вопросов по ней будет огромное количество.

Во-первых, по каким параметрам оценивать браузеры? Качественно (по наличию тех или иных фич) или количественно (по количеству существующих/отработавших эксплоитов, если речь идет об уязвимостях, например)?

Во-вторых, в каком виде тестировать ту же Мозиллу, если общеизвестно, что вся её сила - в плагинах?

И так далее.

Короче говоря, разрабатывать методику для такого теста - аццкий труд. Даже на обсуждение гораздо более простого идеологически теста на быстродействие уже ушло 7 страниц форума...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Ну по крайней мере попытатся обсудить - ничего не мешает :)

Тем более у нас есть "группа, не использующих антивирус" - я думаю они помогут :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

1. Результат тестирования сильно зависит от субъективных оценок

2. Объективные оценки для такого типа ПО еще нужно придумать

3. Каждый браузер имеет свою "фишку", которая может быть весомым аргументом для холиварщиков. Опера - все-в-одном, Fx - расширяемость... С настройками по умолчанию их нельзя сравнить. А ставить, допустим, дополенения для Fx означает подтасовку результатов.

4. Браузеры обновляются так часто, что за время теста это может произойти не один раз.

В общем, это слишком сложно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ANDYBOND

Но возможно, если:

1. Зафиксировать версии для тестирования конкретными на конкретную дату;

2. Сконфигурировать браузеры так, чтоб у них был равный функционал (для Fx допустить при этом использование расширений, но только для выравнивания функционала);

3. Провести тестирование браузеров с такими, чётко обозначенными, конфигурациями в равных условиях (сайты, их сложность, элементная составляющая).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Идея действительно стоящая и эта тема реально востребована в том числе и прессой. Поэтому если сформируется инициативная группа для проведения теста, то результаты мы обязательно опубликуем в разделе "Тесты".

Предлагаю начать выработку методологии.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

Дальше, я думаю не надо забывать про троянов, использующих различные уязвимости в браузерах(этап, когда уже заразились - как защищаемся)...

Защита от фишинга - эту опцию предлагают почти все.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
broker
Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

кроссбраузерные уязвимости ещё надо поискать, для использования распространённых кроссбраузерных эксплойтов :)

Я предлагаю выявить наиболее распространенные угрозы для пользователя сети Интернет и проверить их реализуемость в разных браузерах, при этом учитывая, что браузер установлен по умолчанию или настроен опытным пользователем.

Так же интересны тесты связок браузер + антивирус.

Начать можно с сохраненных паролей и изучить как они хранятся например в ИЕ, Фарфоксе,Опере и как их можно защищать.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
john

будет тест ни о чем и ничего, информация к размышлению:

1st, April

Stefan Frei

For the last 18 month we analyzed the daily USER-AGENT data collected by

Google's Web search and application servers around the world to study how users

patch and update their Web browsers.

We came out that approximately 637 million (or 45.2 percent) users currently

surf the Web on a daily basis with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

And this is only the tip of what we call the "Insecurity Iceberg", not counting

all the vulnerable browser plug-ins.

One of the new concepts we came up for combating the inadequacies of

Web browser

patching was that of applying the food industries "Best Before" date to the Web

browser and its plug-ins.

Paper:

Understanding the Web browser threat:

Examination of vulnerable online Web browser populations and the

"insecurity iceberg"

Authors

- Stefan Frei, Communication Systems Group, ETH Zurich, Switzerland

- Thomas Duebendorfer, Google Switzerland GmbH

- Gunter Ollmann, IBM Internet Security Systems, USA

- Martin May, Communication Systems Group, ETH Zurich, Switzerland

Paper Download:

http://www.techzoom.net/insecurity-iceberg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey
with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

разговор идет только в основном об IE

а всего самыл популярных баузеров 8-11....

ЗЫ Я пользуюсь например только оперой и ставлю ве обновления... да и на ИЕ тоже

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
TANUKI

Очень нужный тест. Помочь в проведении не смогу, но обязательно буду благодарным читателем его результатов!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
alisa_sh

у исследования про insecurity iceberg два серьезных недостатка, с точки зрения репрезентативности и информативности: исключительная теоретичность (отсутствие собственно тестов) и сырые данные (отсутствие каких-либо понятных выводов по результатам). поэтому он и "ни о чем".

тест не будет ни о чем, если четко продумать, что именно мы хотим тестировать и подобрать соответствующие критерии. так как проблема данной темы тестирования только в огромном количестве критериев и в их сложной взаимной пересекаемости. как следствие, задача продумать методологию действительно непростая. но вполне конечная, если не хвататься за все критерии одновременно и не сваливать их в кучу.

вследствие этого, задачи при составлении методологии:

1. выделить несколько векторов тестирования и аккуратно разложить по ним все многочисленные критерии.

2. обеспечить системность.

Что касается системности, можно сделать тест из трех частей.

1. теоретическая

2. синтетическая

3. полевая

х. анализ

1. Теоретическая часть - чистый анализ статистики по уязвимостям для веб-браузеров.

Собрать статистику часто используемых браузеров - по UserAgent из веб-логов сайтов по всему миру. Думаю, не будет нарушением каких-либо законов мира и справедливости взять эту статистику из приведенного john'ом исследования с указанием первоисточника, но лучше собрать самим.

Собрать статистику обнаружения уязвимостей для этих браузеров, перемножить с критичностью этих уязвимостей.

Собрать статистику по скорости реакции браузер-вендоров на уязвимости и по частоте обновлений.

Из всего этого можно будет вывести множество полезных коэффициентов, например "наибольшой тормоз в плане обновлений", "степень уязвимости к 0day эксплойтам" (об этом см. в конце) и т.д.

2. Синтетическая часть - искусственное воспроизведение эксплуатации, исходя из анализа ситуации.

Собрать статистику по веб-уязвимостям (можно запросить у АВ вендоров - любой "рука-на-пульсе" вирусный аналитик легко раскидает актуальные уязвимости по процентам)

Собрать коллекцию эксплойтов (как-то провесить по частоте встречаемости)

И прогнать эксплойты по браузерам.

Критерий успешной эксплуатации - запущенный код.

3. Полевая часть

даем Сергею Ильину IE, засекаем час и отправляем активно гулять по порно-сайтам. :D:D

Тут думаю идея ясна - воспроизвести реальную ситуацию "наиболее вероятной эксплуатации" - что соответствует прогулке по сайтам dirty тематики (хак, крак, адалт, дорвеи). Можно еще нагуглить актуальных уязвимостей, которые инжектируются в "нормальные" сайты через ворованные фтп-пароли и погулять по этим сайтам тоже.

х. Анализ

Математическая работа по сопоставлению данных пп.1-3 в сочетании с гуманитарной работой по их сведению к каким-либо человекочитаемым показателям без существенных информационных потерь. Этот пункт надо думать, когда согласованы предыдущие.

***

Что касается такого показателя, как степень пропатченности браузера.

Ну можно попробовать запросить у браузер-вендоров статистику по обновлениям. Но я считаю, что этим параметром можно пренебречь - так как мы тестируем не степень легкомыслия пользователей, насколько часто они обновляются, а степень безопасности браузеров. Чтобы результатом теста безопасности браузеров можно было воспользоваться практически, тестируемые браузеры должны находиться в легко воспроизводимых состояниях. Единственное легко и вполне естественно воспроизводимое состояние для браузера, это 100% патчей.

То же самое относится к вопросу о разных наборах плагинов для мозиллы. То, что у всех разные наборы плагинов - и есть причина того, что этим показателем можно пренебречь: вследствие своей непрозрачности, он представляет лишь миноритарную угрозу.

Хотя можно взять Н самых популярных плагинов, такого порядка, как вьюеры документов и средства интеграции с другим популярным софтом.

***

Очень важный и сложно формализуемый показатель, это степень уязвимости браузера к 0day эксплойтам. Проблема с ним в том, что ситуация 0day эксплуатации невоспроизводима. Поэтому практический тест не возможен, возможно только как-то аппроксимировать показатель "степень 0day уязвимости" из статистики прошлого. Например, так: взять плотность уязвимостей для данного браузера (количество/критичность на единицу времени), и поделить на обновляемость данного браузера (скорость/качество закрытия уязвимостей). Получится некий коэффициент, косвенно отражающий минимальный период времени, в течение которого браузер уязвим для свежих 0day.

А если этот коэффициент еще скрестить с статистикой по браузерам, то получится некий показатель "глобальной веб-уязвимости".

***

Также следует отдельно рассмотреть ситуации, когда эксплуатация происходит через веб, но виновник - не браузер. Примеры - кроссбраузерные плагины (flash, очень актуально) и уязвимости операционной системы (эксплуатация через картинки и курсоры). Это к теоретической части.

***

Это то что совсем очевидно; думаю, можно еще много чего придумать интересного и показательного для теста.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Оффтоп на тему Google Chrome выделен в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6095

Обсуждение рекомендуемых настроек безопасности браузеров также выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6094

Будте внимательны!

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Kokunov Aleksey

UP

По подсказке p2u напоминаю про тему...

Актуально все же оказалось...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Deja_Vu

У меня опера 9.63, которая вышла сегодня сдала тест http://www.info-svc.com на 11 из 21

o963_t.jpg

post-3953-1229611665_thumb.jpg

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
p2u
У меня опера 9.63, которая вышла сегодня сдала тест http://www.info-svc.com на 11 из 21

Я (исключительно благодаря своим настройкам) получил следующий результат: 13 из 21 сдал; 8 провалил.

152183a6d183.jpg

Надо сказать, что я Firefox (3.0.5) настроил так, чтобы он не выдал никаких алертов, кроме тех случаев, когда сайт хочет загрузить файлы и/или запускать программы или модули. На практике мне ничего такого не грозит, так как кроме мейла и на несколько форумах, мне нигде логон не требуется. В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ. Спасибо всё равно за тест! :)

Paul

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
sergey888
В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ.

Не реально. Водить каждый раз пароли при входе на каждый сайт это выше моих сил. Это значит мне придется вводить каждый раз при запуске Mozilla Firefox 15 паролей. Я не сохраняю пароли только на то, чем действительно сильно дорожу. ;)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×