21 December 2010

Przeglądarki kontra bezpieczeństwo

Czyż Internet Explorer nie służy do przeglądania internetu z twojego komputera i vice versa?

Mogliśmy jakiś czas temu zaobserwować miły gest ze strony Mozilli wspierający osoby które chcą zwiększyć bezpieczeństwo ich produktu (patrz: Refresh of the Mozilla Security Bug Bounty Program). Zaciekawiony tymże faktem poszperałem więcej w poszukiwaniu informacji o bezpieczeństwie naszych przeglądarek...

Ciekawostką jest raport firmy CERT z 2005r (ich pierwszy nawiasem mówiąc) - jednakże jego jakość jest wątpliwa i bardziej tu pasuje nazwa 'zestawienie'. Taki współczynnik jak ( Liczba luk / Popularność ) jest nie tyle nietrafiony co wręcz błędny. Otóż im większa szansa zysku z odkrytej luki tym częściej i szybciej zostanie ona wykorzystana, a w internecie ilość przekłada się przecież w bezpośredni sposób na zysk. Tak więc, moim zdaniem, powinno być raczej ( Liczba luk * Popularność ). Ten sam mechanizm działa też w drugą stronę: firmy mające małą liczbę użytkowników są znacznie mniej podatne na ataki.

Dostępność luki

Ataki hakerów można podzielić na skierowane na konkretny cel oraz na rozproszone (tzw. "kto się złapie"). Jak łatwo się domyślić, atak skierowany na nas może być bardzo przykry w konsekwencjach, tym samym największe znaczenie ma czas, przez który potencjalne luki są odsłonięte na światło dzienne oraz ich 'krytyczność', co ma wpływ na łatwość(dostępność) oraz sensowność ich wykorzystania.

Wtyczki

Kolejnym niezmiernie istotnym czynnikiem wpływającym na bezpieczeństwo są plugin-y. Jeśli bowiem przeglądarka pozwala na ich zainstalowanie, wówczas (nie)bezpieczeństwo dotyczy także i ich, bo nawiasem mówiąc jakiś czas temu jeden z powszechnie dostępnych plugin-ów zawierał dość długo niewykrywalnego wirusa.

Nowości

Problemem dla bezpieczeństwa są wszelkie nowości zwłaszcza te DUŻE, mające podbić rynek. To one praktycznie zawsze oznaczają nowe luki.

W mojej opini

Co Ja na to? Osobiście z wyżej wymienionych powodów używam Opery, a przy tym jest dla mnie potwornie wygodna. Fakt, że przez te kilka lat dwa razy usunęła mi "ulubione" i kilka razy na miesiąc muszę sprawdzić parę 'niedorobionych' stron na Firefox-ie, jest jak najbardziej do zaakceptowania.

Złożoność problemu

Faktem jest, że bezpieczeństwo ze swojej natury jest skomplikowane, wobec tego można tak ustawić wyniki porównań/ rankingów, aby dowolną (no może poza MSIE) przeglądarkę uznać za "najlepszą". Wykorzystywanie tego do promocji produktów powoduje znaczne ograniczenie bezpieczeństwa mniej obeznanych użytkowników.

Także w temacie

Swoją drogą polecam zapoznanie się także z zestawieniem w formie wykresu.
Porównanie (test) IE, Firefox, Chrome, Opera, czy Safari?, nie koncentruje się na bezpieczeństwie, ale też jest wart naszej uwagi.
Google również wie jak zrobić dobry użytek z umiejętności 'hakerów'.

0 comments / komentarz(y):

Post a Comment