Wiki Русский
Wiki РусскийWiki PolskiWiki Українська

Безопасность Браузера

Безопасность браузера — это приложение интернет-безопасности к веб-браузерам для защиты сетевых данных и компьютерных систем от нарушений конфиденциальности или вредоносных программ.

Эксплойты безопасности браузеров часто используют JavaScript, иногда с межсайтовым скриптингом (XSS) с дополнительной полезной нагрузкой, использующей Adobe Flash. Эксплойты безопасности также могут использовать уязвимости (дыры в безопасности), которые обычно используются во всех браузерах (включая Mozilla Firefox, Google Chrome, Opera, Microsoft Internet Explorer, и Safari).

Безопасность

Веб-браузеры могут быть взломаны одним или несколькими из следующих способов:

  • Операционная система взломана, и вредоносное ПО считывает/изменяет пространство памяти браузера в привилегированном режиме
  • В операционной системе есть вредоносное ПО, работающее как фоновый процесс, который читает/изменяет пространство памяти браузера в привилегированном режиме
  • Может быть взломан исполняемый файл основного браузера
  • Могут быть взломаны компоненты браузера
  • Могут быть взломаны плагины браузера
  • Сетевые сообщения браузера могут быть перехвачены вне машины

Браузер может не знать о каком-либо из вышеперечисленных нарушений и может показать пользователю, что установлено безопасное соединение.

Всякий раз, когда браузер связывается с веб-сайтом, веб-сайт в рамках этого взаимодействия собирает некоторую информацию о браузере (по крайней мере, для обработки форматирования страницы, которая должна быть доставлена). Если вредоносный код был вставлен в содержимое веб-сайта или, в худшем случае, если этот веб-сайт был специально разработан для размещения вредоносного кода, то уязвимости, характерные для конкретного браузера, могут позволить этому вредоносному коду запускать процессы в приложении браузера. непреднамеренным образом (и помните, что одним из элементов информации, которую веб-сайт собирает при обмене данными с браузером, является идентификация браузера, позволяющая использовать определённые уязвимости). Как только злоумышленник сможет запускать процессы на компьютере жертвы, использование известных уязвимостей в системе безопасности может позволить злоумышленнику получить привилегированный доступ (если браузер ещё не запущен с привилегированным доступом) к «зараженной» системе, чтобы выполнить ещё большее разнообразие вредоносных процессов и действий на машине или даже во всей сети жертвы.

Всплывающее окно

Нарушения безопасности веб-браузера обычно имеют целью обход средств защиты для отображения всплывающей рекламы, сбора личной информации (PII) либо для интернет-маркетинга либо для кражи личных данных, отслеживания веб-сайтов или веб-аналитики о пользователе против его воли с использованием инструментов, таких как веб-маяк, Кликджекинг, Likejacking (где используется кнопка «Нравится» Facebook), HTTP cookie, зомби cookie или файлы Flash cookie Flash cookies (локальные общие объекты или LSO); установка рекламного ПО, вирусы, шпионское ПО таких как троянские программы (для получения доступа к персональным компьютерам пользователей путем взлома) или другое вредоносное ПО, включая кражу интернет-банкинга с использованием атак «Человек-в-браузере  (англ.) (рус.».

Углубленное изучение уязвимостей в веб-браузере Chromium показывает, что неправильная проверка ввода (CWE-20) и неправильный контроль доступа (CWE-284) являются наиболее распространенными основными причинами уязвимостей безопасности. Кроме того, среди уязвимостей, изученных во время этого исследования, 106 уязвимостей возникли в Chromium из-за повторного использования или импорта уязвимых версий сторонних библиотек.

Уязвимости в самом программном обеспечении веб-браузера можно свести к минимуму, постоянно обновляя программное обеспечение браузера, , но этого будет недостаточно, если базовая операционная система скомпрометирована, например, руткитом. Некоторые подкомпоненты браузеров, такие как сценарии, надстройки и cookie-файлов,особенно уязвимы («проблема запутанного помощника»), и их также необходимо решать.

Следуя принципу эшелонированной защиты, полностью исправленный и правильно настроенный браузер может оказаться недостаточным для предотвращения возникновения проблем безопасности, связанных с браузером. Например, руткит может перехватывать нажатия нажатия клавиш, когда кто-то входит на банковский веб-сайт, или выполнять «атаку посредника», изменяя сетевой трафик в веб-браузере и из него. Перехват DNS или спуфинг DNS могут использоваться для возврата ложных срабатываний для ошибочно введенных имен веб-сайтов или для искажения результатов поиска для популярных поисковых систем. Вредоносное ПО, такое как RSPlug, просто изменяет конфигурацию системы, чтобы указать на мошеннические DNS-серверы.

Браузеры могут использовать более безопасные методы сетевого взаимодействия, чтобы предотвратить некоторые из этих атак:

Защита периметра, как правило, с помощью брандмауэров и использования фильтрующих прокси-серверов, которые блокируют вредоносные веб-сайты и выполняют антивирусное сканирование любых загружаемых файлов, обычно реализуется в качестве передовой практики в крупных организациях для блокировки вредоносного сетевого трафика до того, как он достигнет браузера.

Тема безопасности браузера разрослась до такой степени, что породила целые организации, такие как The Browser Exploitation Framework Project, создающие платформы для сбора инструментов для взлома безопасности браузера, якобы для проверки браузеров и сетевых систем на наличие уязвимостей.

Плагины и расширения

Хотя подключаемые модули и расширения браузера сами по себе не являются частью браузера, они расширяют пространство для атак, раскрывая уязвимости в Adobe Flash Player, Adobe (Acrobat) Reader, подключаемом модуле Java и ActiveX, которые обычно используются злоумышленниками. Исследователи тщательно изучили архитектуру безопасности различных веб-браузеров, в частности тех, которые основаны на принципах plug-and-play. Это исследование выявило 16 распространенных типов уязвимостей и 19 потенциальных способов их устранения. Вредоносное ПО также может быть реализовано как расширение браузера, например вспомогательный объект браузера в случае Internet Explorer. Такие браузеры, как Google Chrome и Mozilla Firefox, могут блокировать или предупреждать пользователей о небезопасных плагинах.

Adobe Flash

Исследование, проведенное в августе 2009 года Social Science Research Network, показало, что 50 % веб-сайтов, использующих Flash, также используют файлы Flash cookie, однако политики конфиденциальности редко раскрывают их, а пользовательские элементы управления настройками конфиденциальности отсутствовали. Кэш большинства браузеров и функции удаления истории не влияют на запись Flash Player локальных общих объектов в собственный кеш, и сообщество пользователей гораздо меньше знает о существовании и функциях файлов Flash cookie, чем файлы cookie HTTP. Таким образом, пользователи, которые удалили HTTP-куки и очистили файлы истории браузера и кеши, могут полагать, что они удалили все данные отслеживания со своих компьютеров, хотя на самом деле история просмотра Flash остается. Помимо ручного удаления, надстройка BetterPrivacy для Firefox может удалять файлы Flash cookie. Adblock Plus можно использовать для фильтрации определённых угроз, а Flashblock можно использовать, чтобы дать возможность перед тем, как разрешить контент на других сайтах, которым доверяют.

Чарли Миллер рекомендовал «не устанавливать Flash» н на конференции по компьютерной безопасности CanSecWest. Несколько других экспертов по безопасности также рекомендуют либо не устанавливать Adobe Flash Player, либо заблокировать его.

Модель безопасности пароля

Содержимое веб-страницы является произвольным и контролируется лицом, владеющим доменом, имя которого отображается в адресной строке. Если используется HTTPS, то шифрование используется для защиты от злоумышленников, имеющих доступ к сети, от изменения содержимого страницы в пути. При представлении поля пароля на веб-странице пользователь должен посмотреть на адресную строку, чтобы определить, является ли доменное имя в адресной строке правильным местом для отправки пароля. Например, для системы единого входа Google (используемой, например, на youtube.com) пользователь всегда должен проверять, что в адресной строке указано "https://accounts.google.com», прежде чем вводить свой пароль.

Нескомпрометированный браузер гарантирует правильность адресной строки. Эта гарантия является одной из причин, по которой браузеры обычно отображают предупреждение при переходе в полноэкранный режим поверх того места, где обычно находится адресная строка, поэтому полноэкранный веб-сайт не может создать поддельный пользовательский интерфейс браузера с поддельной адресной строкой.

Аппаратный браузер

Были попытки продавать аппаратные браузеры, работающие из файловых систем, недоступных для записи и только для чтения. Данные не могут быть сохранены на устройстве, а носитель не может быть перезаписан, каждый раз при загрузке отображается чистый исполняемый файл. Первым таким устройством был ZeusGard Secure Hardware Browser, выпущенный в конце 2013 года. Веб-сайт ZeusGard не работал с середины 2016 года. Другое устройство, iCloak® Stik из веб-сайта iCloak, предоставляет полную Live CD, которая полностью заменяет всю операционную систему компьютера и предлагает два веб-браузера из системы только для чтения. С iCloak они предоставляют браузер Tor для анонимного просмотра, а также обычный браузер Firefox для неанонимного просмотра. Любой незащищенный веб-трафик (например, не использующий https) может по-прежнему подвергаться изменению со стороны посредника или другим манипуляциям на основе сетевого трафика.

Live CD

Live CD, которые запускают операционную систему из источника, недоступного для записи, обычно поставляются с веб-браузерами как часть образа по умолчанию. Если исходный образ Live CD не содержит вредоносных программ, все используемое программное обеспечение, включая веб-браузер, будет загружаться без вредоносных программ при каждой загрузке образа Live CD.

Защита браузера

Работа в Интернете в качестве учётной записи пользователя с наименьшими привилегиями (без прав администратора) ограничивает возможность использования эксплойта безопасности в веб-браузере от компрометации всей операционной системы.

Internet Explorer 4 и более поздние версии позволяют различными способами заносить в чёрный список и белый список элементы управления ActiveX, надстройки и расширения браузера.

Internet Explorer 7 добавлен «защищенный режим», технология, которая повышает безопасность браузера за счет применения функции изолированной программной среды безопасности Windows Vista называемой обязательным контролем целостности. Google Chrome предоставляет песочницу для ограничения доступа к веб-страницам операционной системой.

Подозреваемые вредоносные сайты, о которых сообщается Google и которые подтверждаются Google, помечаются как размещающие вредоносные программы в определённых браузерах.

Существуют сторонние расширения и плагины для защиты даже новейших браузеров, а также некоторые для старых браузеров и операционных систем. Программное обеспечение на основе белого списка, такое как NoScript может блокировать JavaScript, которые используются для большинства атак на конфиденциальность, позволяя пользователям выбирать только те сайты, которые, как они знают, безопасны. Ведущие списков фильтрации вызвали споры из-за того, что по умолчанию разрешают некоторым сайтам проходить предварительно установленные фильтры. US-CERT рекомендует блокировать Flash с помощью NoScript.

Фаззинг

Современные веб-браузеры подвергаются обширному фаззингу для выявления уязвимостей. Код Chromium для Google Chrome постоянно проверяется командой безопасности Chrome с помощью 15 000 ядер. Для Microsoft Edge и Internet Explorer Microsoft провела нечеткое тестирование с использованием 670 машино-лет во время разработки продукта, сгенерировав более 400 миллиардов манипуляций с DOM из 1 миллиарда HTML-файлов.

Лучшая практика

  • Загрузить чистое программное обеспечение: устанавливайте чистую операционную систему с заведомо чистым веб-браузером
  • Принять адекватные контрмеры против уязвимости Cross-Origin Resource Sharing (CORS) (приведены примеры исправлений для браузеров на базе WebKit).
  • Предотвратите атаки с помощью стороннего программного обеспечения: используйте защищенный веб-браузер или режим бесплатного просмотра надстроек.
  • Предотвратите манипуляции с DNS: используйте доверенный и безопасный DNS.
  • Избегайте эксплойтов на веб-сайтах: используйте подключаемые модули браузера для проверки ссылок, обычно используемые в программах интернет-безопасности.
  • Избегайте вредоносного контента: используйте защиту периметра и программное обеспечение для защиты от вредоносных программ.

См. также

Примечания

Ссылки

  • Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus Browser Security White Paper. X41D SEC GmbH (19 сентября 2017).
  • Heiderich, Mario; Inführ, Alex; Fäßler, Fabian; Krein, Nikolai; Kinugawa, Masato Cure53 Browser Security White Paper. Cure53 (29 ноября 2017).

Tags:

Безопасность Браузера БезопасностьБезопасность Браузера Модель безопасности пароляБезопасность Браузера Аппаратный браузерБезопасность Браузера Live CDБезопасность Браузера Защита браузераБезопасность Браузера ФаззингБезопасность Браузера Лучшая практикаБезопасность Браузера См. такжеБезопасность Браузера ПримечанияБезопасность Браузера СсылкиБезопасность БраузераAdobe FlashGoogle ChromeJavaScriptMicrosoft Internet ExplorerMozilla FirefoxOperaSafariБраузерВредоносная программаИнтернет-безопасностьКомпьютерКонфиденциальностьМежсайтовый скриптингУязвимость (компьютерная безопасность)

🔥 Trending searches on Wiki Русский:

КинопоискФилиппиныGNU GPL 3Знаки зодиакаУбийство Дзюнко ФурутыС-300Красные огни (фильм, 2012)Триггер (телесериал)ТуберкулёзЭскобар, ПаблоКордицепсStray KidsШемякин, Михаил Михайлович (художник)Автомат КалашниковаGoogle ДискТ-14100 самых влиятельных людей в истории (книга)Рейс 370 Malaysia AirlinesЗолотов, Виктор ВасильевичРезня в БучеУэнздейБайкалXXXTentacionThe Last of UsНа Западном фронте без переменКлимова, Екатерина АлександровнаОтечественная война 1812 годаИстория УкраиныЛенд-лизБлум, ОрландоКняZzШазам! Ярость боговНефёдова, Мария ВладимировнаОктябрьская революцияЯковлева, Александра Евгеньевна (актриса)АнимеChatGPTЧелленджер 2Соединённые Штаты АмерикиДанияВКонтактеЛеонтьев, Александр ВладимировичЗбруев, Александр ВикторовичПравославная церковь УкраиныЯндекс.ПочтаСтамбулСоветско-финляндская война (1939—1940)РомановыВо все тяжкиеТаиландВальц, КристофWindowsБаста (музыкант)ГрецияХронология вторжения России на Украину (с 2022)Заглавная страницаКруз, ТомМухаммедМиГ-29УзбекистанРимский статут Международного уголовного судаМастурбацияКондуктор (звание)Бальзак, Оноре деКитайПадение ОлимпаГедонизмСбербанк РоссииАнглийский языкКока, КлаваРаппопорт, Ксения АлександровнаТ-34Т-90Фишер (сериал)КанадаБасаев, Шамиль Салманович🡆 More