Programmering

Test Center guide til browsersikkerhed

Den nylige out-of-band nødrettelse til Internet Explorer har mange eksperter, der anbefaler enhver browser, men IE som det bedste sikkerhedsforsvar. Selv om der er en vis sikkerhed ved brug af mindre hyppigt angrebet software, er et bedre spørgsmål, hvilket er det sikreste valg blandt de mest populære browsere? Hvad er de vigtigste sikkerhedsfunktioner at se efter i en browser, og hvad er svaghederne, man skal passe på?

Denne anmeldelse fokuserer på sikkerhedsfunktioner i følgende Windows-baserede internetbrowsere: Google Chrome, Mozilla Firefox, Microsoft Internet Explorer, Opera Softwares Opera og Apples Safari. Alt undtagen Chrome er inkluderet, fordi de rangerer blandt de mest populære browsere med lange track records og millioner af brugere. Google Chrome er inkluderet, fordi det kan prale af en unik sikkerhedsmodel og den store forventning om at spise væsentligt ind i de andre browsers markedsandel. De seneste offentligt tilgængelige versioner (inklusive betaversioner) er blevet brugt i gennemgangen. Hver browser er blevet testet på Windows XP Pro SP3 og Windows Vista Enterprise.

[ Tilmere om browsersikkerhed og testcentrets sikkerhedsanmeldelser af Chrome, Firefox, Internet Explorer, Opera og Safari, se specialrapport. ]

Formålet med denne gennemgang var at teste hver browsers sikkerhedskondition. Som sådan dækker disse anmeldelser generelt ikke nye funktioner, der ikke er relateret til sikkerhed. Da denne anmeldelse også var fokuseret på at teste sikkerheden for hver enkelt browser, blev alle browsere kun testet med standardleverandørinstallerede tilføjelser. For eksempel, selvom NoScript er en populær Firefox-browser-tilføjelse, der ofte er installeret for at forbedre sikkerheden, er den ikke installeret som standard og er ikke oprettet af leverandøren, så den var ikke inkluderet i anmeldelsen.

Fuld offentliggørelse: Forfatteren af ​​denne artikel er fuldtidsansat af Microsoft som sikkerhedsarkitekt. Han er ikke involveret i udviklingen eller markedsføringen af ​​Internet Explorer. Han bruger dagligt flere browsere på tværs af forskellige OS-platforme og har flere favoritter, inklusive browsere, der ikke er inkluderet i denne anmeldelse.

Oprettelse af en sikker browser

Generelt skal administratorer betragte enhver internetforbundet webbrowser som høj risiko. I miljøer med meget høj sikkerhed har webbrowsere ikke tilladelse til at køre eller må ikke gengive indhold fra Internettet. Men forudsat at din virksomhed har brug for at surfe på Internettet og søger en webbrowser med et acceptabelt sikkerhedsniveau, skal du fortsætte med at læse. En sikker browser skal mindst omfatte følgende træk:

* Det blev kodet ved hjælp af SDL-teknikker (Security Development Lifecycle).

* Det har gennemgået kode gennemgang og fuzzing.

* Det adskiller logisk netværks- og lokale sikkerhedsdomæner.

* Det forhindrer let ondsindet fjernbetjening.

* Det forhindrer ondsindet omdirigering.

* Det har sikre standardindstillinger.

* Det giver brugeren mulighed for at bekræfte enhver fildownload eller -udførelse.

* Det forhindrer URL-uklarhed.

* Den indeholder anti-bufferoverløbsfunktioner.

* Det understøtter almindelige sikre protokoller (SSL, TLS osv.) Og cifre (3DES, AES, RSA osv.).

* Den opdateres automatisk og opdateres (med brugerens samtykke).

* Den har en pop op-blokering.

* Det bruger et anti-phishing-filter.

* Det forhindrer misbrug af webstedscookies.

* Det forhindrer let URL-spoofing.

* Det giver sikkerhedszoner / domæner for at adskille tillid og funktionalitet.

* Det beskytter brugerens loginoplysninger til webstedet under opbevaring og brug.

* Det gør det muligt at aktivere og deaktivere browsertilføjelser.

* Det forhindrer ondskabsfuld vinduesbrug.

* Det giver fortrolighedskontrol.

Et andet godt sted at begynde at lære de detaljerede grundlæggende aspekter af webbrowsersikkerhed er del 2 af Browser Security Handbook, der vedligeholdes af Michal Zalewski. Browser-sikkerhedshåndbogen giver en fantastisk introduktion til mange af sikkerhedspolitikkerne bag kulisserne, der ligger til grund for de fleste af nutidens browsere, og angiver, hvilke funktioner der understøttes i forskellige browsere.

Sådan måles sikkerheden i en browser

Sikkerhedsmodel. Hver browser er kodet på den underliggende styrke af browserleverandørens valgte sikkerhedsmodel. Denne model er det, der holder den utroede netværksside adskilt fra de mere pålidelige sikkerhedszoner. Hvis malware er i stand til at udnytte browseren, hvor let kan det kompromittere hele systemet? Hvilke forsvar inkluderede sælgeren i browserens underliggende design for at forhindre ondsindet brug? Hvordan forhindres ondsindet omdirigering (såsom cross-domain cross-site scripting og rammetyveri)? Er hukommelse sikret og ryddet mod ondsindet genbrug? Giver browseren slutbrugerne flere sikkerhedsdomæner eller zoner med forskellige niveauer af funktionalitet, hvor de kan placere forskellige websteder i henhold til deres niveau af tilknyttet tillid? Hvilke beskyttelse af slutbrugerne er indbygget i browseren? Forsøger browseren at opdatere sig selv? Alle disse spørgsmål og mere går ind i at bestemme egnetheden af ​​en browsers sikkerhedsmodel.

Når browseren kører på Windows, drager den fordel af Data Execution Prevention (DEP)? Hvis det kører på Windows Vista, bruger det så fil- og registreringsdatabase-virtualisering, obligatoriske integritetskontrol (se sidepanel) eller adresserumslayout-randomisering? Disse emner kræver for meget plads til at diskutere passende i denne anmeldelse, men alle fire mekanismer kan gøre det sværere for malware at få systemkontrol.

Funktionssæt og kompleksitet. Flere funktioner og øget kompleksitet er modsætningen til computersikkerhed. Yderligere funktioner betyder mere kode tilgængelig til at udnytte med mere uventede interaktioner. Omvendt kan en browser med et minimalt funktionssæt muligvis ikke gengive populære websteder, hvilket tvinger brugeren til at bruge en anden browser eller til at installere potentielt usikre tilføjelser. Populære tilføjelser udnyttes ofte af malware-forfattere.

Brugerdefinerbare sikkerhedszoner (også kendt som sikkerhedsdomæner) er også en vigtig funktion. I sidste ende betyder mindre funktionalitet bedre sikkerhed. Sikkerhedszoner giver mulighed for at klassificere forskellige websteder som mere pålidelige og dermed egnede til større funktionalitet. Du skal være i stand til at stole på din virksomheds websteder betydeligt mere end et websted, der tilbyder piratkopieret software eller en lille webside, der serveres af nogen, du ikke kender. Sikkerhedszoner giver dig mulighed for at indstille forskellige sikkerhedsindstillinger og -funktioner baseret på webstedets placering, domæne eller IP-adresse.

Sikkerhedsdomæner bruges i hvert computersikkerhedsprodukt (firewalls, IPS'er osv.) Til at etablere sikkerhedsgrænser og områder med standardtillid. At have en sikkerhedszone i en browser udvider den model. Browsere uden sikkerhedszoner opfordrer dig til at behandle alle websteder med samme tillidsniveau - såvel som at omkonfigurere browseren eller bruge en anden browser til mindre pålidelige websteder inden hvert besøg.

Sårbarhedsmeddelelser og angreb. Hvor mange sårbarheder er der fundet og offentligt annonceret mod browserproduktet? Går sårbarhedstællingerne op eller ned, når sælgeren lapper sin browser? Hvor alvorlige har sårbarhederne været? Tillader de fuldt kompromis med systemet eller tjenestenekt? Hvor mange sårbarheder er der ikke pakke i øjeblikket? Hvad er historien om nul-dages angreb mod sælgeren? Hvor ofte er sælgerens browser målrettet mod en konkurrent?

Browsers sikkerhedstest. Hvordan gik browseren mod populært tilgængelige browsersikkerhedstestpakker? I denne gennemgang bestod alle produkter de mest kendte browsersikkerhedstest på Internettet, så hvert element blev yderligere udsat for snesevis af ondsindede websteder. Ofte var resultatet ikke smukt. Jeg oplevede hyppige browseroplåsning, stødende indhold og undertiden komplet genstart af systemet.

Funktioner til administration af virksomheder. henvender sig til administratorer og teknikere, der har brug for at udføre opgaver på tværs af en hel virksomhed. Det er generelt nemt at sikre en yndlingsbrowser til personlig brug, men det kræver specielle værktøjer at gøre det for en hel virksomhed. Hvis browseren blev valgt til virksomhedsbrug, hvor let er det at installere, indstille og administrere sikre konfigurationer for hver bruger?

Dette er de generelle kategorier, der blev overvejet ved gennemgang af hver internetbrowser.

Hvordan jeg testede

De internetbaserede testpakker omfattede adskillige browsersikkerhedsteststeder, såsom scanit og Jason's Toolbox; flere teststeder for JavaScript, Java og pop-up-blokkering; flere cross-site scripting (XSS) testwebsteder; og adskillige browsers privatlivstest. Jeg testede sikkerheden i browsernes adgangskodebehandling ved hjælp af Password Manager Evaluator-webstedet og sikkerheden ved cookiehåndtering ved hjælp af Gibson Research Corporations Cookie Forensics-websted. Jeg testede udvidede valideringscertifikater ved hjælp af links på IIS7-webstedet.

Jeg surfede til snesevis af websteder, der vides at indeholde live malware fra adskillige offentlige og private malware-lister, herunder ShadowServer. Jeg besøgte også snesevis af kendte phishing-websteder med tilladelse fra PhishTank og lignende henvisningswebsteder. Jeg brugte Process Explorer til at overvåge lokale processer og ressourcer under installation og igangværende operationer. Og jeg sniffede browsernes netværkstrafik ved hjælp af Microsoft Network Monitor eller Wireshark og undersøgte resultaterne for informationslækager.

Endelig stolede jeg også på offentlig sårbarhedstest til disse evalueringer, herunder Metasploit og milw0rm.com. Sårbarhedsstatistikker blev taget fra Secunia.com eller CVE.

Derudover blev hver browser brugt over en række på flere uger (eller længere) til at teste generel brug, patchintervaller og anden involveret funktionalitet.

Den mest sikre browser

Derfor er den samlede konklusion af denne anmeldelse, at enhver fuldt patchet browser kan bruges relativt sikkert. Du kan ændre browsere, men din risiko er den samme med dem alle - næsten nul - hvis din browser, operativsystem og alle tilføjelsesprogrammer og plug-ins er fuldt patchede.

Men hvis jeg foregav at være en slutbruger, der blev narret til at køre en ondsindet eksekverbar fil (såsom et falskt antivirusprogram), tillod hver browser, at systemet blev inficeret og kompromitteret. Slutbrugere, der kører på Windows Vista uden forhøjede legitimationsoplysninger, ville have forhindret de fleste malwareinfektioner i at forekomme, men selv disse brugere blev let udnyttet, hvis de med vilje hævede sig selv til at installere det useriøse program.

Tips til browsersikkerhed

* Log ikke på som administrator eller root, når du kører en internetbrowser (eller brug UAC i Windows Vista, SU på Linux osv.).

* Sørg for, at browseren, operativsystemet og alle tilføjelser og plug-ins er fuldt patchede.

* Lad dig ikke narre til at køre ondsindet kode.

* Hvis du uventet bliver bedt om at installere tredjepartssoftware, mens du gennemsøger et websted, skal du åbne en anden fane og downloade den ønskede software direkte fra softwareleverandørens websted.

* Vær forsigtig med, hvilke tilføjelsesprogrammer og plug-ins du bruger. Mange er ikke sikre, mange er meget usikre, og nogle er faktisk malware i forklædning.

Copyright verticalshadows.com 2021