IE7 ar Firefox 2: kuri naršyklė saugesnė?

„Microsoft“ ir „Mozilla“ žengia į susidūrimo kursą – abi lenktyniauja, kad užbaigtų pagrindinius savo pavyzdinių interneto naršyklių atnaujinimus, kuriuos planuojama išleisti šį rudenį. Per pastaruosius dvejus metus „Firefox“ padidino mastelį iš niekur, kad „Internet Explorer“ sąskaita užgrobtų didelę rinkos dalį. Didžiausias „Firefox“ pardavimo taškas yra geresnis saugos problemų įvertinimas; taigi neatsitiktinai „Microsoft“ daug dėmesio skyrė „Internet Explorer 7“ saugos funkcijų tobulinimui.

Abi naršyklės oficialiai išleistos plačiai prieinamose viešosiose beta versijose (Internet Explorer 7 Beta 3 ir Firefox 2 Beta 1), todėl tinkamas metas palyginti kiekvieno iš jų našumą.

Šiam pranešimui sudariau vaizdų galerija Tai tiksliai parodo, kaip kiekvienos naršyklės „Windows XP“ versija veikia susidūrus su įprastomis saugumo grėsmėmis.

O kas tie grasinimai? Iš esmės kiekvienas, daug laiko praleidžiantis internete, turi turėti omenyje šias keturias grėsmes:

• Išnaudoja, kad atakuoja nepataisytas programos kodo spragas. Tai yra pati didžiausia grėsmė, nes sėkminga ataka gali suteikti įsibrovėliui visišką jūsų kompiuterio ir kiekvienos jame esančios informacijos kontrolę.
• Apgaulingi atsisiuntimai. Kai kurios bjauriausios šnipinėjimo ir kenkėjiškų programų dalys išeina pro priekines duris, apsirengusios arba apsimetusios kartu su nekenksmingomis ar nekenksmingomis programomis.
• Sukčiavimo bandymai. Populiariausia 2006 m. naršykle pagrįsto nusikaltimo forma yra sukčiavimo el. paštas, kuriuo bandoma pasisavinti auka suklastotame tinkle užpildė vertingą asmeninę informaciją – banko slaptažodžius, kredito kortelės duomenis forma.
• Priešiški priedai. Nesąžininga programa gali tiesiog erzinti – užgrobti jūsų pagrindinį puslapį ir išspjausti nepageidaujamus iššokančiuosius langus – arba gali būti Trojos arklys ar rinkiklis, galintis ištuštinti aukos banko sąskaitą.

Kai kurios iš šių grėsmių yra techninės, tačiau dauguma jų yra socialinės inžinerijos forma. Kompiuterio vartotojas, turintis kompiuterio administravimo teises, gali nepaisyti bet kurios saugos funkcijos ar apsaugos programos. Naršyklės kūrėjo iššūkis yra suteikti vartotojui pakankamai informacijos, kad jis galėtų priimti protingą sprendimą.

Pažvelkime į dvi naujas naršykles ir palyginkime, kaip kiekviena iš jų susidoroja su skirtingomis grėsmėmis.

IŠNAUDOJIMAI

Netrūksta nei IE, nei Firefox pažeidžiamumų. Per aštuonis mėnesius nuo „Firefox 1.5“ išleidimo „Mozilla Foundation“ paskelbė 56 saugumo patarimai, iš kurių 26 buvo susiję su pažeidžiamumais, kurie „gali būti naudojami paleisti užpuoliko kodą ir įdiegti programinę įrangą, kuriai reikia jokios vartotojo sąveikos, išskyrus įprastą naršymą. Šie trūkumai buvo ištaisyti per šešias techninės priežiūros serijas išleidžia.

Skaičiuojant „Internet Explorer“ saugos biuleteniai yra šiek tiek sudėtingesnis, nes „Microsoft“ jų nesuskirsto tvarkingai pagal produktus. Nepriklausomi saugumo tyrinėtojai, kurie lygino šiuos du dalykus, paprastai suteikia pranašumą „Firefox“; Pavyzdžiui, Secunia teigia Šiuo metu nepataisyta 21 iš 105 „Internet Explorer“ saugos patarimų, nors tik vienas yra įvertintas „labai kritiškai“. Priešingai, Tik trys „Firefox“ pažeidžiamumai yra išvardyti kaip nepataisyti, ir nė vienas iš jų nėra laikomas kritiniu.

Brianas Krebsas iš „Washington Post“, palygino „Mozilla Firefox“ ir „IE6“ įrašus ir padarė išvadą:

Mažiausiai 38 dienas 2005 m. IE buvo pažeidžiama nepataisytų kritinių saugos trūkumų, kuriuos aktyviai išnaudojo virusai, kirminai ir šnipinėjimo programos. Praėjusiais metais mažiausiai 256 dienas „Internet Explorer“ buvo nepataisytų pažeidžiamumų, kai išnaudojimo metodas buvo viešai atskleistas, bet nebūtinai buvo naudojamas.

„Firefox“ 2005 m. buvo apie 35 dienas, kai buvo pasiekiamas žinomo pažeidžiamumo išnaudojimo kodas. už nepataisytą trūkumą ir nulis dienų, kai buvo žinoma, kad kirminas ar virusas pasinaudojo nepataisytu defektu trūkumas.

Teorinis pranašumas yra „Firefox“, tačiau pastaraisiais metais abi bendrovės buvo užsiėmusios naujinimų prieinamumu ir nėra įrodymų, kad bet koks plačiai paplitęs kenkėjiškų programų protrūkis būtų susijęs su nepataisytomis pažeidžiamomis vienas.

Ar IE7 pagerins šį dėmėtą rekordą? Galbūt. Pasak „Microsoft“ atstovo Tony Choro, „Internet Explorer“ komandos grupės programų vadovo, dalis problemos buvo senas, netvarkingas kodas. „Laikui bėgant IE sukūrė 13 ar 14 skirtingų kodo vietų, kuriose dedame URL. Nenuoseklūs rezultatai leido mums nugalėti. Čia mes pertvarkėme didelę IE dalį, kad viena rutina įvertintų URL. „Microsoft“ lažinasi, kad naujasis URL analizatorius leis kūrėjams iš pradžių išvengti pažeidžiamumų ir greičiau juos ištaisyti. pasirodyti. Tačiau tik laikas parodys, ar šios pastangos atsipirks taip, kaip tikėtasi.

ATSISIUNČIMAI

Abi naršyklės sukelia daug greičio ribojimo bet kuriam programos kodui, kurį norite atsisiųsti. Nesvarbu, ar naudojate IE7, ar Firefox 2, jums reikės bent trijų paspaudimų (o kartais ir dar kelių), kad atsisiųstumėte ir įdiegtumėte programą.

Bent jau šiuo atveju IE turi geresnį funkcijų rinkinį, kad vartotojai nebūtų apgaudinėjami atsisiųsti programą, kurios jie tikrai nenori. IE7 atsisiuntimo dialogo langas pasirodys tik spustelėjus nuorodą, nukreipiančią tiesiai į tą atsisiuntimą. Jei svetainės kūrėjas naudoja scenarijų, kad bandytų iššokti atsisiuntimo laukelį ir priversti jus su juo susidoroti, IE perima scenarijų ir informacijos juostoje parodo raginimą.

Informacijos juosta netrukdo naršyti ir, jei norite, galite jos visiškai nepaisyti. Priešingai, „Firefox“ leidžia tinklalapiams suaktyvinti atsisiuntimo dialogo langą, kurį reikia išspręsti.

Be to, IE suteikia daugiau informacijos apie programos leidėją ir tai, ar programa pasirašyta skaitmeniniu būdu. Tačiau tai nebūtinai yra didelis privalumas vartotojams, ypač kalbant apie leidėjus, kurie aktyviai bando juos apgauti. Bandymo metu radau vieną programą, kuri buvo pasirašyta skaitmeniniu būdu naudojant teisėtą sertifikatą, bet netikra informacija ir dar du, kurie buvo pasirašyti naudojant naminius sertifikatus, įskaitant vieną iš – nejuokauju – Joe's-Software-Emporium.

Sukčiavimas

Tiek IE7, tiek „Firefox 2“ turi funkcijų, skirtų apsaugoti vartotojus nuo sukčiavimo bandymų. Nė vienas funkcijų rinkinys nėra visiškai naujas; Joje pasirodė „Microsoft“ versija MSN įrankių juosta, skirta IE6 praėjusiais metais, o „Firefox“ atitikmuo pirmą kartą pasirodė kaip „ „Google“ saugaus naršymo plėtinys ir vėliau „Firefox“ skirta „Google“ įrankių juosta.

Abi programos teigia, kad naudoja panašius metodus, analizuoja URL, puslapio turinį ir puslapio struktūrą. Be to, abi programos naudoja išorinius juoduosius sąrašus, kurie reguliariai atnaujinami. „Firefox“ rodo šį iššokantį balioną:

Nors IE7 rodo kraujo raudonumo ženklelį ir įspėjimo langelį:

Sunku patikrinti bet kokį sukčiavimo filtrą turint autoritetą. IPT uždaro daugumą sukčiavimo svetainių, kai apie jas pranešama, todėl bet kuri nuoroda, kuri yra senesnė nei viena ar dvi, gali sukelti 404 klaidą. Dvi „gyvos“ svetainės, kuriose lankiausi kiekvienoje naršyklėje, vargu ar yra mokslinis pavyzdys, bet vis tiek Verta paminėti, kad IE7 abu puslapius pažymėjo kaip patvirtintas sukčiavimo svetaines, o Firefox 2 jų praleido tiek. Mano patirtis naudojant IE7 per pastaruosius kelis mėnesius, ji buvo nuolat tiksli, įtartinos svetainės pažymėtos geltona etikete ir per kelias valandas paverstos patvirtintomis svetainėmis. Nepraleidau pakankamai laiko su „Firefox“ / „Google“ kodu, kad galėčiau susidaryti nuomonę.

Atnaujinimas rugpjūčio 4 d., 8:30 PDT: norėdamas atmesti galimybę, kad mano pradinėje bandymo platformoje kažkas negerai, dabar iš naujo išbandžiau apsaugos nuo sukčiavimo funkcijas „Firefox 2 Beta 1“ dviejuose skirtinguose įrenginiuose su keturiais skirtingais sukčiavimo URL. Visi jie buvo pažymėti IE7 Beta 3, tačiau „Firefox“ negalėjo identifikuoti nė vieno juos. Bandymą pakartojau su „Google“ įrankių juosta, skirta „Firefox“ sistemoje „Windows XP“ su „Firefox 1.5.0.6“ ir identiškais rezultatais. Matyti šis įrašas daugiau detalių.

Atnaujinimas rugpjūčio 4 d., 15:40 PDT: „Mozilla“ viešųjų ryšių agentūros atstovas susisiekė su manimi ir pasakė, kad „Firefox 2“ yra apsaugos nuo sukčiavimo funkcija 1 beta versija buvo skirta naršyklės pagrindinei apsaugos nuo sukčiavimo sistemai išbandyti, o ne pateikti visą įtariamų aferų sąrašą. svetainės“.

NARŠYKLĖS PRIEDAI

Paskutinis, bet tikrai ne mažiau svarbus dalykas yra ši kategorija, kurioje yra liūdnai pagarsėjusi IE7 „ActiveX“ funkcija. Įprasta išmintis kaltina daugumą šnipinėjimo programų dėl „ActiveX“ raginimų ir „atsisiunčiamų atsisiuntimų“, tačiau ši reputacija gali būti pagrįsta praėjusios eros elgesiu.

Pirma, kai kurie apibrėžimai. ActiveX valdikliai yra tiesiog dvejetainis kodas, veikiantis naršyklėje. Tai galingas būdas į naršyklę įtraukti vietinių computinfg išteklių galią; deja, nesąžiningi programinės įrangos gamintojai taip pat gali įstumti šnipinėjimo programas, iššokančius langus ir pagrindinio puslapio užgrobėjus į nieko neįtariančius vartotojų kompiuterius.

Prieš Windows XP 2 pakeitimų paketą, jei naudojote IE, norėdami apsilankyti bet kuriame tinklalapyje, kuriame buvo ActiveX valdiklis, gali būti rodomas dialogo langas langelis, kviečiantis įdiegti tą programinę įrangą, o šnipinėjimo programų pardavėjai specializuojasi, kad šie valdikliai skambėtų kaip esminė sistema pleistrai. Kadangi senojo tipo „ActiveX“ dialogo langas buvo panašus į sistemos raginimą, vartotojus buvo lengva apgauti, kad jie įdiegtų nepageidaujamą programinę įrangą. pateikdamas jį kaip būtiną atnaujinimą. Ir jei vartotojas pasakė ne, tada vėl atidarykite dialogo langą ir darykite tai tol, kol susilpninsite jo pasipriešinimą.

IE versijose po SP2, įskaitant IE7, ActiveX raginimai rodomi informacijos juostoje, kur jie netrukdo naršyti ir gali būti saugiai ignoruojami. Be to, puslapis gali paraginti vartotoją tik vieną kartą – nebereikia kelių prašymų įdiegti programinę įrangą. Tiesą sakant, elgesys iš esmės yra identiškas bet kurios kitos programinės įrangos atsisiuntimui

Be to, IE7 prideda mechanizmą, neleidžiantį svetainėms išnaudoti jūsų kompiuteryje jau įdiegtų valdiklių, pvz., įtrauktų į „Windows“. Vadinamasis „ActiveX“ pasirinkimas pateikia įspėjamąjį pranešimą, kai bet kuris puslapis bando naudoti valdiklį, kurio jis neįdiegė. IE7 „ActiveX“ valdikliui tiesiog neįmanoma atlikti „diegimo pagal diską“ – tam reikia, hm, aktyvaus vartotojo dalyvavimo.

Dėl šių pakeitimų šnipinėjimo programų kūrėjams daug sunkiau apgauti nekaltą ir neįmantrų vartotoją, tačiau jie nepanaikina „ActiveX“ visiškai. Ir tai tikriausiai yra geras dalykas. Galų gale, mažiausiai pusšimtis aukšto lygio „Internet Explorer“ priedų, įskaitant „Macromedia Flash“, „QuickTime“ ir iTunes Music Store naudoja ActiveX valdiklius – jau nekalbant apie Windows naujinimą ir daugybę mažų, bet naudingų įrankių, pvz „Crucial Technology“ sistemos skaitytuvas ir bandymų rinkinys iš PC Pitstop.

O kaip su Firefox? Jis neveikia „ActiveX“, todėl yra visiškai saugus, tiesa?

Na, ne visai. „Firefox“ turi savo priedo modelį su savo saugumo problemų rinkiniu. Prastai parašytas arba priešiškas Firefox plėtinys gali sukelti rimtų problemų. Populiarus Greasemonkey plėtinys turėjo būti išplėštas praėjusiais metais po to, kai saugumo tyrinėtojai atskleidė a rimtas saugumo trūkumas. Ir anksčiau šiais metais rašė saugumo tyrinėtojas paprastas pratęsimas kuri ieškodama slaptažodžių uostinėja HTML formas ir siunčia rezultatus plėtinyje nurodytu el. pašto adresu. Taip, vartotojas turi pasirinkti įdiegti tą plėtinį, bet tas pats pasakytina ir apie ActiveX valdiklius. Tiesą sakant, plėtiniai netgi gali būti naudojami diegiant vykdomąsias programas – techniką, kurią Sun naudoja diegdama „Java“.

Kaip Mozillazine straipsnis anksčiau šiais metais pažymėjo:

„Mozilla Foundation“ niekada neteigė, kad naudotojų noriai įdiegti plėtiniai yra saugūs ir taip yra Išmintingieji jau seniai žinojo, kad plėtiniai gali padaryti praktiškai bet ką, kai jie veikia naudotojo sistema. Tačiau nerimą kelia tai, kad kai kurie vartotojai mano, kad plėtiniai yra netiesiogiai saugūs.

Ir čia yra esmė. Šį rudenį, kai abi naršyklės bus oficialiai išleistos, žaidimo sąlygos iš esmės bus vienodos. Tiek IE7, tiek „Firefox 2“ prideda papildomų apsaugos sluoksnių ir suteikia vartotojams papildomos informacijos, padedančios priimti protingus sprendimus. Tačiau galiausiai jokia naršyklė negali priversti vartotojo priimti protingų ar protingų sprendimų. Jie gali tik nurodyti teisingą kelią.