Сравнение безопасности интернет-браузеров

[Kokunov Aleksey 20]

навеяло темой

http://www.anti-malware.ru/forum/index.php?showtopic=4921

Мне кажется средство просмотра - это одно из основных уязвимых мест системы.

Может сделать отдельный тест браузеров??

[Lemmit 31]

У меня тоже возникла эта мысль.

Только вряд ли тут эта идея кого-то в достаточной степени заинтересует.

Многие тесты антивирусов, более актуальны, но и они уже давненько не обновлялись. Да и независимых тестов браузеров в отличие от тестов антивирусов, кажется, существует достаточно.

[ANDYBOND 283]

Может сделать отдельный тест браузеров??

Было бы неплохо.

[bse 115]

Может сделать отдельный тест браузеров?

+1, было бы интересно, тем более, что количество закачек новых версий Оперы 9.5 и Файерфокса 3.0 исчисляется в миллионах...

[dot_sent 140]

Идея интересная, только вот вопросов по ней будет огромное количество.

Во-первых, по каким параметрам оценивать браузеры? Качественно (по наличию тех или иных фич) или количественно (по количеству существующих/отработавших эксплоитов, если речь идет об уязвимостях, например)?

Во-вторых, в каком виде тестировать ту же Мозиллу, если общеизвестно, что вся её сила - в плагинах?

И так далее.

Короче говоря, разрабатывать методику для такого теста - аццкий труд. Даже на обсуждение гораздо более простого идеологически теста на быстродействие уже ушло 7 страниц форума...

[Kokunov Aleksey 20]

Ну по крайней мере попытатся обсудить - ничего не мешает

Тем более у нас есть "группа, не использующих антивирус" - я думаю они помогут

[Umnik 997]

1. Результат тестирования сильно зависит от субъективных оценок

2. Объективные оценки для такого типа ПО еще нужно придумать

3. Каждый браузер имеет свою "фишку", которая может быть весомым аргументом для холиварщиков. Опера - все-в-одном, Fx - расширяемость... С настройками по умолчанию их нельзя сравнить. А ставить, допустим, дополенения для Fx означает подтасовку результатов.

4. Браузеры обновляются так часто, что за время теста это может произойти не один раз.

В общем, это слишком сложно.

[ANDYBOND 283]

Но возможно, если:

1. Зафиксировать версии для тестирования конкретными на конкретную дату;

2. Сконфигурировать браузеры так, чтоб у них был равный функционал (для Fx допустить при этом использование расширений, но только для выравнивания функционала);

3. Провести тестирование браузеров с такими, чётко обозначенными, конфигурациями в равных условиях (сайты, их сложность, элементная составляющая).

[Сергей Ильин 1538]

Идея действительно стоящая и эта тема реально востребована в том числе и прессой. Поэтому если сформируется инициативная группа для проведения теста, то результаты мы обязательно опубликуем в разделе "Тесты".

Предлагаю начать выработку методологии.

[Kokunov Aleksey 20]

Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

Дальше, я думаю не надо забывать про троянов, использующих различные уязвимости в браузерах(этап, когда уже заразились - как защищаемся)...

Защита от фишинга - эту опцию предлагают почти все.

[broker 30]

Я думаю надо для начала пдобрать самые растпространенные эксплойты.... (попробовать действовать на подобие лик-тестов)

Юзабилити вообще не надо оценивать (или факультативно).

кроссбраузерные уязвимости ещё надо поискать, для использования распространённых кроссбраузерных эксплойтов

Я предлагаю выявить наиболее распространенные угрозы для пользователя сети Интернет и проверить их реализуемость в разных браузерах, при этом учитывая, что браузер установлен по умолчанию или настроен опытным пользователем.

Так же интересны тесты связок браузер + антивирус.

Начать можно с сохраненных паролей и изучить как они хранятся например в ИЕ, Фарфоксе,Опере и как их можно защищать.

[john 25]

будет тест ни о чем и ничего, информация к размышлению:

1st, April

Stefan Frei

For the last 18 month we analyzed the daily USER-AGENT data collected by

Google's Web search and application servers around the world to study how users

patch and update their Web browsers.

We came out that approximately 637 million (or 45.2 percent) users currently

surf the Web on a daily basis with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

And this is only the tip of what we call the "Insecurity Iceberg", not counting

all the vulnerable browser plug-ins.

One of the new concepts we came up for combating the inadequacies of

Web browser

patching was that of applying the food industries "Best Before" date to the Web

browser and its plug-ins.

Paper:

Understanding the Web browser threat:

Examination of vulnerable online Web browser populations and the

"insecurity iceberg"

Authors

- Stefan Frei, Communication Systems Group, ETH Zurich, Switzerland

- Thomas Duebendorfer, Google Switzerland GmbH

- Gunter Ollmann, IBM Internet Security Systems, USA

- Martin May, Communication Systems Group, ETH Zurich, Switzerland

Paper Download:

http://www.techzoom.net/insecurity-iceberg

[Kokunov Aleksey 20]

with an out-of-date browser – i.e. not running a

current, fully patched Web browser version.

разговор идет только в основном об IE

а всего самыл популярных баузеров 8-11....

ЗЫ Я пользуюсь например только оперой и ставлю ве обновления... да и на ИЕ тоже

[TANUKI 240]

Очень нужный тест. Помочь в проведении не смогу, но обязательно буду благодарным читателем его результатов!

[alisa_sh 35]

у исследования про insecurity iceberg два серьезных недостатка, с точки зрения репрезентативности и информативности: исключительная теоретичность (отсутствие собственно тестов) и сырые данные (отсутствие каких-либо понятных выводов по результатам). поэтому он и "ни о чем".

тест не будет ни о чем, если четко продумать, что именно мы хотим тестировать и подобрать соответствующие критерии. так как проблема данной темы тестирования только в огромном количестве критериев и в их сложной взаимной пересекаемости. как следствие, задача продумать методологию действительно непростая. но вполне конечная, если не хвататься за все критерии одновременно и не сваливать их в кучу.

вследствие этого, задачи при составлении методологии:

1. выделить несколько векторов тестирования и аккуратно разложить по ним все многочисленные критерии.

2. обеспечить системность.

Что касается системности, можно сделать тест из трех частей.

1. теоретическая

2. синтетическая

3. полевая

х. анализ

1. Теоретическая часть - чистый анализ статистики по уязвимостям для веб-браузеров.

Собрать статистику часто используемых браузеров - по UserAgent из веб-логов сайтов по всему миру. Думаю, не будет нарушением каких-либо законов мира и справедливости взять эту статистику из приведенного john'ом исследования с указанием первоисточника, но лучше собрать самим.

Собрать статистику обнаружения уязвимостей для этих браузеров, перемножить с критичностью этих уязвимостей.

Собрать статистику по скорости реакции браузер-вендоров на уязвимости и по частоте обновлений.

Из всего этого можно будет вывести множество полезных коэффициентов, например "наибольшой тормоз в плане обновлений", "степень уязвимости к 0day эксплойтам" (об этом см. в конце) и т.д.

2. Синтетическая часть - искусственное воспроизведение эксплуатации, исходя из анализа ситуации.

Собрать статистику по веб-уязвимостям (можно запросить у АВ вендоров - любой "рука-на-пульсе" вирусный аналитик легко раскидает актуальные уязвимости по процентам)

Собрать коллекцию эксплойтов (как-то провесить по частоте встречаемости)

И прогнать эксплойты по браузерам.

Критерий успешной эксплуатации - запущенный код.

3. Полевая часть

даем Сергею Ильину IE, засекаем час и отправляем активно гулять по порно-сайтам.

Тут думаю идея ясна - воспроизвести реальную ситуацию "наиболее вероятной эксплуатации" - что соответствует прогулке по сайтам dirty тематики (хак, крак, адалт, дорвеи). Можно еще нагуглить актуальных уязвимостей, которые инжектируются в "нормальные" сайты через ворованные фтп-пароли и погулять по этим сайтам тоже.

х. Анализ

Математическая работа по сопоставлению данных пп.1-3 в сочетании с гуманитарной работой по их сведению к каким-либо человекочитаемым показателям без существенных информационных потерь. Этот пункт надо думать, когда согласованы предыдущие.

***

Что касается такого показателя, как степень пропатченности браузера.

Ну можно попробовать запросить у браузер-вендоров статистику по обновлениям. Но я считаю, что этим параметром можно пренебречь - так как мы тестируем не степень легкомыслия пользователей, насколько часто они обновляются, а степень безопасности браузеров. Чтобы результатом теста безопасности браузеров можно было воспользоваться практически, тестируемые браузеры должны находиться в легко воспроизводимых состояниях. Единственное легко и вполне естественно воспроизводимое состояние для браузера, это 100% патчей.

То же самое относится к вопросу о разных наборах плагинов для мозиллы. То, что у всех разные наборы плагинов - и есть причина того, что этим показателем можно пренебречь: вследствие своей непрозрачности, он представляет лишь миноритарную угрозу.

Хотя можно взять Н самых популярных плагинов, такого порядка, как вьюеры документов и средства интеграции с другим популярным софтом.

***

Очень важный и сложно формализуемый показатель, это степень уязвимости браузера к 0day эксплойтам. Проблема с ним в том, что ситуация 0day эксплуатации невоспроизводима. Поэтому практический тест не возможен, возможно только как-то аппроксимировать показатель "степень 0day уязвимости" из статистики прошлого. Например, так: взять плотность уязвимостей для данного браузера (количество/критичность на единицу времени), и поделить на обновляемость данного браузера (скорость/качество закрытия уязвимостей). Получится некий коэффициент, косвенно отражающий минимальный период времени, в течение которого браузер уязвим для свежих 0day.

А если этот коэффициент еще скрестить с статистикой по браузерам, то получится некий показатель "глобальной веб-уязвимости".

***

Также следует отдельно рассмотреть ситуации, когда эксплуатация происходит через веб, но виновник - не браузер. Примеры - кроссбраузерные плагины (flash, очень актуально) и уязвимости операционной системы (эксплуатация через картинки и курсоры). Это к теоретической части.

***

Это то что совсем очевидно; думаю, можно еще много чего придумать интересного и показательного для теста.

[Сергей Ильин 1538]

Оффтоп на тему Google Chrome выделен в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6095

Обсуждение рекомендуемых настроек безопасности браузеров также выделено в отдельную тему

http://www.anti-malware.ru/forum/index.php?showtopic=6094

Будте внимательны!

[Kokunov Aleksey 20]

UP

По подсказке p2u напоминаю про тему...

Актуально все же оказалось...

[Deja_Vu 366]

У меня опера 9.63, которая вышла сегодня сдала тест http://www.info-svc.com на 11 из 21

[p2u 824]

У меня опера 9.63, которая вышла сегодня сдала тест http://www.info-svc.com на 11 из 21

Я (исключительно благодаря своим настройкам) получил следующий результат: 13 из 21 сдал; 8 провалил.

Надо сказать, что я Firefox (3.0.5) настроил так, чтобы он не выдал никаких алертов, кроме тех случаев, когда сайт хочет загрузить файлы и/или запускать программы или модули. На практике мне ничего такого не грозит, так как кроме мейла и на несколько форумах, мне нигде логон не требуется. В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ. Спасибо всё равно за тест!

Paul

[sergey888 20]

В Firefox'e вообще ничего сохранять нельзя, особенно пароли! Поэтому Password Manager - один из первых вещей, которых надо ОТКЛЮЧИТЬ.

Не реально. Водить каждый раз пароли при входе на каждый сайт это выше моих сил. Это значит мне придется вводить каждый раз при запуске Mozilla Firefox 15 паролей. Я не сохраняю пароли только на то, чем действительно сильно дорожу.