Безопасный браузер? Таких больше нет

В ноябре 2003 года Координационный центр CERT первым посоветовал пользователям подумать о применении браузера, отличного от Microsoft Internet Explorer.

В то время у IE повсюду были проблемы, и многие из них коренились в его сложной архитектуре. Об уязвимостях IE сообщалось почти ежемесячно, и пользователи каждый раз рисковали до выхода поправок от Microsoft.

К июню 2004 года злоумышленники начали прицельный огонь по IE. На веб-сайтах появились эксплойты, устанавливающие на компьютеры посетителей злокачественное ПО. Эта тенденция достигла своей кульминации в уязвимости IE «zero day» (в тот же день), обнаружившей себя при атаке с перехватом информации, набираемой на банковских веб-сайтах, так что злоумышленники получали доступ к банковским счетам жертв.

С тех пор произошли два события. Во-первых, Microsoft выпустила Windows XP Service Pack 2 с усиленными средствами защиты. Во-вторых, злоумышленники начали использовать уязвимости альтернативных браузеров.

Service Pack 2 внес в IE важные усовершенствования. Хотя архитектура браузера в принципе остается той же самой, эти усовершенствования выходят за рамки тех обновлений, которые устраняют по одной уязвимости за раз. В некоторых случаях SP2 ставит повышение безопасности выше функциональности. Два наиболее важных усовершенствования — это изоляция зоны локальной машины и усиленные ограничения для «chromeless»-окон.

Изоляция зоны локальной машины почти исключает возможность исполнения в этой зоне скриптов с веб-страниц. Это обеспечивает защиту от уязвимостей, позволяющих использовать сценарии с переходом границ доменов (cross-domain scripting), когда неправильно определяется источник скрипта. В веб-браузере важно изолировать скрипты, исходящие из разных доменов. Например, скриптам из www.cert.org не должны быть доступны данные из www.cnet.com. И, конечно же, браузер не должен рассматривать скрипты, поступившие из удаленного веб-сайта, как исходящие из локального компьютера.

В IE скрипты из зоны локальной машины имеют гораздо больше привилегий по сравнению со скриптами из зоны интернета; получив к ней доступ, злоумышленник мог бы загружать со своей веб-страницы и исполнять любые программы. Изоляция зоны локальной машины ограничивает возможности злоумышленника, затрудняя исполнение вредоносных программ.

«Chrome» — это то, что делает окно похожим на окно: рамка, панель адреса, кнопки навигации и т. п. IE, как и некоторые другие браузеры, позволяет разработчикам веб-сайта (и злоумышленникам) создавать окна без рамки. До SP2 атакующий мог создавать вводящие в заблуждение chromeless-окна, скрывающие важные элементы, такие как строка адреса, значок замка безопасности и даже меню «Пуск» Windows. Такая возможность облегчала обман пользователя путем изготовления подложных веб-сайтов.

Другие браузеры, похожие проблемы
Все веб-браузеры сталкиваются с аналогичными угрозами, а некоторые из них имеют схожие конструктивные элементы. IE, по существу, представляет собой программную оболочку, в которую обернуты два компонента Windows: элемент ActiveX веб-браузера, управляющий окнами браузера и навигацией, и механизм рендеринга MSHTML, который визуализирует HTML и исполняет скрипты. Outlook и Outlook Express тоже используют MSHTML.

Аналогично, браузер Safari от Apple Computer основан на компоненте операционной системы, называемой Web Kit. Веб-браузеры Mozilla Foundation, включая комплект Mozilla и Firefox, используют Gecko Runtime Environment (GRE). Уязвимость в любом из этих компонентов может повлиять не только на веб-браузер, но и на любые программы, использующие те же компоненты.

Браузеры Mozilla используют концепцию chrome-скриптов, аналогично зоне локальной машины IE. Если Mozilla по ошибке определит, что скрипт злоумышленника, исходящий из удаленного веб-сайта, нужно рассматривать как chrome-скрипт, тот сможет выполнить любое действие, доступное пользователю, включая загрузку и исполнение программ.

Злоумышленники не упускают это из вида. Некоторые недавние атаки были нацелены как на IE, так и на браузеры на базе Mozilla. То, что Microsoft Office тоже использует элемент ActiveX, служит еще одной иллюстрацией опасности тесной интеграции браузера с операционной системой (через общую технологию ActiveX).

Безопасный браузинг
Серебряной пули не существует, как и 100%-ой безопасности. Безопасность требует баланса между функциональностью и стоимостью и опирается на концепции доверия и допустимого риска. С учетом этого можно предложить некоторые рекомендации по безопасному веб-браузингу.

• Своевременно обновляйте браузер. Windows (IE), Mozilla/Firefox и Apple (Safari) — все они допускают автоматическое обновление.

• Будьте осторожны в вебе. Не набирайте важную информацию, такую как пароли и номера счетов, на веб-сайтах, не использующих HTTPS для аутентификации сайта и шифрования информации. Не кликайте на ссылках в сообщениях e-mail. Для посещения важного сайта набирайте URL в строке адреса или используйте закладки, сделанные после набора URL. Если окно браузера выглядит так же, но не содержит признаков HTTPS-соединения, не вводите в такое окно никаких данных.

• Подумайте об изменении конфигурации браузера. Запрет скриптов может значительно обезопасить браузинг, хотя и сделает его менее функциональным или приятным. В IE подумайте о блокировке зоны интернета и помещении регулярно используемых сайтов в зону надежных узлов.

Об авторе:
Арт Маньон — аналитик по интернет-безопасности государственного и частного партнерства US-CERT, специализирующегося на защите от кибератак, которое работает при содействии Министерства внутренней безопасности.

Обсуждение и комментарии

	Skull - sibskullmail.ru 8 Jul 2005 9:54 AM
Чё, правда?! А как же Konqueror? ;)

	SVova 8 Jul 2005 10:57 AM
Всё разумно изложено... Да вот только Opera больше браузером не считается? Не имея в виду её безгрешность хочется понять а у неё - то какие проблемы? Ведь у неё не нулевая доля рынка...

	Коляныч - kolanychmail.ru 8 Jul 2005 11:59 AM
>А как же Konqueror?< links тоже не упомянут ... аналогию прослеживаешь?

	Lynx - lynxserver.md 8 Jul 2005 2:29 PM
вигню какую то написали... это надо было повесить на ламер.ру сайте.. мдя...

	Ender 8 Jul 2005 2:45 PM
Мужик все совершенно правильно пишет. Хотя можно было-бы и ограничится одним заголовком. Я бы даже сказал так "... А таких и не было." :-)

	Skull - sibskullmail.ru 8 Jul 2005 3:06 PM
2Коляныч: > links тоже не упомянут ... аналогию прослеживаешь? Всё же у Konqueror далеко не нулевая доля рынка. Просто истерики нет. Зато на secuna.com сравнение дыр браузеров весьма показательно... :)

	Vitalij 8 Jul 2005 5:28 PM
Да установите вы все Netscape Navigator 3.0 и не каких проблем с вирусоми и прочим. Только по большей части не чего у вас работать не будет, как и в хваленных вами браузерах.

	Dmitry ZinCh // dnbarena.ru 9 Jul 2005 4:47 AM
ты наверно хотел сказать lyxn, мой любимый =) 8 июля, 2005, 11:59 - Коляныч >> links тоже не упомянут ... аналогию прослеживаешь?

	Dmitry ZinCh // dnbarena.ru 9 Jul 2005 4:47 AM
сорри, сам описался lynx

	Skull - sibskullmail.ru 9 Jul 2005 12:53 PM
2Dmitry ZinCh // dnbarena.ru: > ты наверно хотел сказать lyxn, мой любимый =) Нет, он правильно написал. lynx безнадёжно устарел. links для сёрфинга в консоли - самое то. См. http://links.sourceforge.net/

	al 9 Jul 2005 8:18 PM
Safari это в принципе Konqueror даработаный Apple и порт под Mac Os X или я чего путаю ? P.S Cтатью нельза читать фанатом firefox'a :)

	Skull - sibskullmail.ru 11 Jul 2005 10:18 AM
2al: > Safari это в принципе Konqueror даработаный Apple и порт под > Mac Os X или я чего путаю ? Всё верно. Только не сам Konqueror, а его движок рендеринга HTML (KHTML).

	Intel Outside. Athlon 64. 14 Jul 2005 1:06 AM
Вообще-то абсолютно безопасное ПО - утопия. Другое дело, что дыры в таком открытом браузере, как Firefox, хоть и есть, но фиксить их намного легче, чем в закрытом типа IE. Далее - открытая концепция предусматривает возможность добавления в браузер компонентов, радикальным образом блокирующих целые категории уязвимостей. Например, запрет на сокрытие контекстного меню, контроль за ресурсами, используемыми скриптами - это уже сегодня реализовано. Но многое пока еще не появилось даже в Firefox. Например: адресная строка. В нынешнем виде она противоречит как безопасности, так и юзерскому комфорту. Считаю, что браузер не должен менять содержимое этого элемента ни при каких условиях. В общем случае, ввод и вывод должны быть разделены. Должна быть (скрываемая при потребности) адресная строка для ввода и read-only поле, отображающее реальный адрес конкретной страницы (тоже скрываемое); причем адрес из этого поля можно было бы перемещать в строку ввода одним кликом. А главное - эти элементы, как и многие другие, должны быть неприкасаемыми для скриптов. Так же как и статусная строка. Скрывать код страницы, как и ее реальный адрес, невозможно даже в теории (поскольку всегда можно просмотреть HTTP-лог) - и поэтому блокировка возможности посмотреть эту информацию в браузере лишена всякого смысла. Далее, юзер должен иметь полный доступ к DOM, возможность настраивать отображаемый сайт под себя и запоминать эти настройки для каждого сайта. Например, убирать фреймы с рекламой, выставляя их размер в ноль. Исходный дизайн сайта может быть рекомендованным (доступным по умолчанию), но ни в коем случае не принудительным. Частично это реализовано в Опере, где можно все сайты делать черно-белыми, отключая стили на корню. При этом никакое изменение уже загруженного документа не должно приводить к его перезагрузке. Этим грешит MS IE - грузим мегабайтный документ в неправильной кодировке, меняем ее на правильную... и видим, как из сети скачивается еще мегабайт трафика. Это неправильно. Документ - результат HTTP запроса - уже загружен, его только следует по-иному отобразить. Кроме того, в истории того же IE, в отличие от Огнелиса, сохраняется не состояние документа, измененное пользователем (а это порой килобайты набранного в поля ввода текста!), а его адрес и оригинал, загруженный в кэш. Это тоже неправильно, как и обращение к оригиналу для сохранения документа. Простой пример - юзер пишет письмо в хотмейле и хочет его сохранить на середине, с целью последующей отправки, причем со всеми заполненными полями To, From и т.д., вместе со страницей, на которой находится форма письма. Позволит IE это сделать? Никогда в жизни, разве что сторонние плагины типа Instant Source (и то - не сохранить документ, а отобразить его текущее состояние с заполненными полями в виде HTML, для последующего копирования и сохранения). Наконец, такое нехорошее изобретение, как referrer - какой толк от него пользователю? Почему он в обычном IE не может блокировать реферрера в тех случаях (а их большинство), когда этого не требуется, и вынужден выдавать информацию о своих веб-предпочтениях кому попало! Да, понимаю, реализация всех этих функций приведет к уничтожению рынка баннерной рекламы, партнерских программ, других сомнительных бизнесов, но какую реальную пользу эти бизнесы приносят? Зато такие меры способны повысить реальную безопасность операций с интернет-магазинами, торгующими реальными товарами от автомобилей до шароварных программ, повысить доверие пользователей к таким магазинам, а еще - очистить Сеть от мусора, наполняющего ее угрожающими темпами, бесполезного баннерного и шпионского трафика. Все эти навороты вроде динамической подгрузки контента, отдельных окон небольшого размера требуются лишь для небольшого количества часто посещаемых пользователем проверенных сайтов. Так что заголовок статьи следует читать так: Безопасный браузер? Таких еще нет!

	vagra 1 Sep 2005 10:56 PM
И не будет! http://vagra.boom.ru/ \| vagra

← июнь 2005

4 5 6 7 8 10 11 12 13

август 2005 →