Bezpieczeństwo przeglądarek
- Józef Muszyński,
- Roger Grimes,
- 09.11.2009
Microsoft Internet Explorer
Internet Explorer jest najczęściej atakowaną przeglądarką. Jej popularność, złożoność i wsparcie kontrolek ActiveX stwarza podwyższone ryzyko w porównaniu z konkurencją. Z drugiej strony, nadal ma najlepsze mechanizmy klasy enterprise, najlepszą precyzję ustawiania bezpieczeństwa i wiele stref bezpieczeństwa, w których umieszcza się witryny z różnym stopniem zaufania. Jest to też jedyną przeglądarką wśród testowanych z wbudowaną kontrolą rodzicielską.
IE 8 wnosi wiele nowych mechanizmów, w tym kontrolowanie programów ActiveX oraz innych dodatków w odniesieniu do użytkownika lub miejsca internetowego. Ulepszony bazowy model bezpieczeństwa ustępuje jedynie Google Chrome, a niemal każdy mechanizm bezpieczeństwa w niej zawarty jest zaprojektowany do używania w przedsiębiorstwie.
Chociaż w ostatnich kilku latach MS Internet Explorer utraciła część rynku na rzecz swoich konkurentek, to jednak pozostaje liderem rynku i ma wiele istotnych mechanizmów bezpieczeństwa oraz opcji klasy enterprise.
Z punktu widzenia bezpieczeństwa, popularność nie popłaca. IE miała ujawnionych co najmniej 70 luk w ciągu ostatnich dwóch lat - częstotliwość porównywalna tylko z drugą najbardziej popularną przeglądarką Firefox. W Firefox 3.0 wykryto co najmniej 39 luk w ciągu 6 miesięcy. Natomiast Opera 9.x - 45 w ciągu 2 lat, a Chrome - 10 w ciągu 5 miesięcy.
W testach używano IE 8.0 wersji Beta2. Po zainstalowaniu, IE uruchamia narzędzie antymalware i sprowadza najnowsze uaktualnienia. Aplikacja IE uruchamia proces macierzysty z poziomem medium integrity, a równoległe procesy interpretacyjne z poziomem low integrity w Protected Mode.
IE ma wszystkie podstawowe mechanizmy bezpieczeństwa: antyphishing, blokowanie wyskakujących okienek, sesje z ochroną prywatności, bezpieczeństwo cookies, sprawdzanie zawartości MIME i anty-XSS itp. IE nie dopuszcza do automatycznego sprowadzania plików czy automatycznego uruchamiania programów pomocniczych. Uaktualniony filtr antyphishingowy pozwala na blokowanie miejsc uważanych przez Microsoft za niebezpieczne. Podobnie jak mechanizmy antyphishingowe w Firefoksie i Operze, nie jest on dostatecznie dokładny, aby całkowicie można było na nim polegać. Nadal potrzebne są: oprogramowanie antymalware i zdrowy rozsądek.
Jednym z drobnych ulepszeń bezpieczeństwa w IE 8 jest podświetlanie rzeczywistej nazwy domeny w pasku adresowym, kiedy nazwa ta jest zagnieżdżona w dużo dłuższym URL. Phisherzy często zagnieżdżają sfałszowaną nazwę domeny w dużo dłuższym ciągu podrabianej nazwy domeny.
IE miała zawsze dobrą ochronę prywatności i obsługę “ciasteczek". Polityki cookies są stosowane w odniesieniu do stref bezpieczeństwa, ale mogą być również używane do indywidualnych stron.
Jedynie IE i Firefox mają menedżera dodatków. IE 8 dopuszcza ograniczenie pracy dodatków do pojedynczej witryny lub używanie w dowolnej witrynie. Menedżer dodatków pokazuje, które są aktualnie załadowane, które są używane, a które nie.
Użytkownicy IE mają możliwość wyłączenia kontrolek ActiveX lub dopuszczenia jedynie kontrolek podpisanych (Java i JavaScript mogą również być włączone lub wyłączone w odniesieniu do stref).
Niewątpliwie jednym z najpotężniejszych mechanizmów klasy enterprise w IE jest możliwość ustawiania bezpieczeństwa na podstawie pięciu różnych stref bezpieczeństwa: internet, intranet, zaufane strony, witryny z ograniczeniami i komputer lokalny. W większości przeglądarek nie ma stref bezpieczeństwa lub dopuszcza się ograniczone wyjątki dla witryn, co w istocie tworzy dwie strefy. Każda strefa bezpieczeństwa może być połączona z poziomem bezpieczeństwa (wysoki, średnio-wysoki, średni, średnio-niski, niski i niestandardowy). Niektóre strefy nie mogą być łączone z pewnymi poziomami bezpieczeństwa. Na przykład strefa internetu nie może być umieszczona w poziomie bezpieczeństwa niższym niż średni.