Dominującej przeglądarce Microsoftu rzuca wyzwanie Mozilla Firefox, oprogramowanie open source. Przeprowadzone testy rozwiązań nie wykazały jednak istotnej przewagi żadnego z nich.

Wybór nie jest łatwy, szczególnie w środowisku firmowych sieci. Podatność Internet Explorer na ataki może wynikać częściowo z bogactwa zawartych w niej różnych mechanizmów, powiększających pole obstrzału. Z drugiej strony dostrzegalna przewaga Firefox pod względem bezpieczeństwa ma swoją cenę - mniej mechanizmów i możliwa niezdolność dostępu do niektórych aplikacji webowych opartych na Windows.

Tak więc można wziąć pod uwagę wyjście kompromisowe: możliwości używania Internet Explorer wewnętrznie, a Firefox do działań w WWW.

W testach skupiono się bardziej na bezpieczeństwie niż łatwości użytkowania. Internet Explorer 6.0 pracował na kliencie Windows XP (notebook Pentium 4; 512 MB RAM) z Service Pack 2 i najświeższymi uaktualnieniami Microsoftu. Z pomocą VMware Workstation zainstalowano na tym samym systemie Mozilla Firefox 1.0.1, na jej własnej maszynie wirtualnej. Maszyna testowa została podłączona do Internetu za pośrednictwem łącza DSL o szybkości 256 kb/s.

Przeglądarki zostały użyte do różnych zadań, takich jak przeglądanie publicznych ośrodków webowych, obsługa poczty elektronicznej za pośrednictwem MS Outlook Web Access, dostęp do serwera webowego opartego na Apache i w ten sposób do wewnętrznych zasobów i narzędzi zarządzania. Dodatkowo podjęto próby surfowania po znanych hakerskich ośrodkach webowych, w celu stwierdzenia jak przeglądarki zachowają się w czasie ataku.

Dostęp do konwencjonalnych ośrodków webowych, takich jak CNN czy Yahoo!, dawał podobne rezultaty. Obie przeglądarki blokowały wyskakujące okienka i oferowały różnorodne wtyczki programowe do obsługi dodatkowych formatów danych, takich jak pliki Macromedia Flash czy Adobe PDF.

Zasadnicza różnica jest taka, że Internet Explorer zawiera mechanizmy powiązane z Windows, które nie są dostępne w Firefox - ActiveX, .Net, Active Server Pages. Trudnym, a czasami wręcz niemożliwym jest więc używanie niektórych aplikacji webowych z Firefox.

Zarówno Internet Explorer, jak i Firefox zawierają udogodnienia związane z cyfrowym podpisem wtyczek programowych (plug-in). Mechanizm podpisu nie jest jednak powszechnie używany, a użytkownicy zwykle akceptują i wykonują niepodpisane i potencjalnie niebezpieczne kody.

Dlatego powinno się zabezpieczyć przeglądarkę systemem zapobiegania włamaniom lub odpowiednim skanerem antywirusowym, które mogą wykrywać, powiadamiać i blokować złośliwe kody.

Interpretacja różnic architektonicznych

Czy architektura Firefox z góry czyni z niego produkt bezpieczniejszy? Ma ona po prostu mniej elementów, które mogą być atakowane. Obsługuje mniej mechanizmów scriptingu (które są też mniej skomplikowane), co utrudnia napisanie niebezpiecznego, zdolnego do ataku kodu w ramach strony webowej.

Firefox nie jest też ściśle zintegrowana z jakimkolwiek systemem operacyjnym. Oznacza to mniej dróg, przez które przeglądarka używa specyficznych mechanizmów systemu operacyjnego.

Także sama natura open source zapewnia szerszy ogląd kodu i szybsze pojawianie się łatek na wykryte luki, oczywiście nie w sposób gwarantowany.

<hr size=1 noshade>Firefox (Mozilla Foundation)

Zalety

• Przeglądarka oparta na standardach, nieużywająca własnych, specyficznych mechanizmów.
• Popularny projekt open source, wspierany przez aktywne grupy projektantów, które mogą szybko dostarczać poprawki.
• Dostępny kod źródłowy.
• Więcej mechanizmów szyfrowania (obsługa certyfikatów dla Online Certificate Status Protocol, SSL/TLS).
• Prostsza implementacja - mniej okazji do ataków i mniej ścieżek prowadzących do słabo chronionych lokalnych interfejsów systemowych.

Wady

• Brak komercyjnego wsparcia serwisowego.
• Mniej kompatybilna ze specyficznymi, ale de facto standardowymi mechanizmami webowymi, takimi jak ActiveX.
• Brak gwarancji, że zespół open source będzie reagował na wykryte nieszczelności szybciej, niż w wypadku implementacji komercyjnych.

<hr size=1 noshade>

Przeglądarka w przedsiębiorstwie

W środowisku korporacyjnym nie można całkowicie zrezygnować z używania Internet Explorer, zwłaszcza kiedy konieczny jest dostęp do serwerów, używających bogatych mechanizmów przeglądarki, obsługiwanych w sieci wewnętrznej lub przez publiczny Internet.

Czy można zacząć selektywnie stosować Firefox? Jeżeli mamy do czynienia z czystym środowiskiem opartym na przeglądarce, ze skryptami i wtyczkami programowymi opartymi na standardach, to można rozważać taką możliwość.

Czy to zabezpieczy nas przed atakami wykorzystującymi przeglądarkę? Zapewne nie. Firefox, podobnie jak inne alternatywne przeglądarki, nie jest doskonała, ale pole ataku może być znacząco zredukowane, gdy mniej używamy złożonych mechanizmów, takich choćby jak dostarczanie ActiveX przez strony webowe.

Jeżeli sieć obsługuje tysiące użytkowników, to zmiany mogą okazać się trudne do przeprowadzenia. Z drugiej strony celowym jest porównanie kosztów zabezpieczenia Internet Explorer przez produkty ochronne na poziomie klienta lub urządzenia zapobiegania wtargnięciom, z kosztami standaryzacji infrastruktury opartej na przeglądarce.

<hr size=1 noshade>Internet Explorer (Microsoft)

Zalety

• Złożony scripting, pozwalający na dostarczanie wymyślnych usług webowych.
• Komercyjne implementacje przeglądarki dostępne wraz z obsługą techniczną i konserwacją.
• Dobrze integruje się z produktami Microsoftu i innych dostawców, opartymi na przeglądarkach i serwerach webowych.
• Ciągłe polepszanie bezpieczeństwa (m.in. uzupełnienia zawarte w XP SP2 i zapowiedź Internet Explorer wersji 7).

Wady

• Złożony scripting umożliwia zdalny dostęp do kiepsko zabezpieczonych interfejsów systemowych, które były projektowane jedynie do użytku lokalnego lub nie przewidziano dla nich ścisłego uwierzytelniania.
• W niektórych wypadkach luki nie są korygowane dostatecznie szybko, co naraża przeglądarkę na atak wykorzystujący te luki.

<hr size=1 noshade>

Co robić?

Ryzyko wykorzystującego przeglądarkę ataku na sieć przedsiębiorstwa jest znaczące. Biorąc pod uwagę zarządzanie ryzykiem, dobrym pomysłem jest poszukiwanie alternatywnej do IE przeglądarki dla wszystkich klientów. Jednak może to być niemożliwe, gdy środowisko jest zbudowane z wykorzystaniem technologii Microsoftu i przy dostępie do wewnętrznych zasobów jest wymagany IE.

Jednym z możliwych rozwiązań może być upoważnienie na używanie Firefox w odniesieniu do zewnętrznego dostępu i zarezerwowanie Internet Explorer do wewnętrznego użytku w przedsiębiorstwie.

W celu zmniejszenia ryzyka pod uwagę muszą być brane także zewnętrzne (w odniesieniu do przeglądarki) środki bezpieczeństwa, takie jak aplikacyjne zapory ogniowe, systemy wykrywania i zapobiegania włamaniom oraz stosowanie systemów wymuszających politykę bezpieczeństwa na klientach, zapewniając dostęp tylko do zaufanych ośrodków webowych.

Nowe wydania

Zarówno Microsoft, jak i Mozilla pracują nad zwiększaniem bezpieczeństwa swoich przeglądarek. IE został uaktualniony przez XP SP2 , który zapewnił lepszą kontrolę danych dostarczanych do wtyczek programowych (kontrola typu MIME zamiast rozszerzeń plików), a także większe możliwości cyfrowego podpisu aktywnych skryptów dostarczanych do przeglądarki. Microsoft planuje także wydanie w tym roku IE w wersji 7.

Mozilla także wydała uaktualnienie Firefox i planuje niebawem kolejną rewizję.

Obie przeglądarki umożliwiają użycie połączeń szyfrowanych SSL/TLS i uwierzytelnianych ośrodków webowych. Ten mechanizm pozwala kontrolować, do których ośrodków użytkownicy mogą bezpiecznie uzyskiwać dostęp w sposób uwierzytelniony przez certyfikaty cyfrowe na serwerze i hasła, certyfikaty i tokeny na kliencie.