Doporučit článek

Vaše jméno:

Váš e-mail:

E-mail adresáta:

Komentář:

Jak jsou na tom webové prohlížeče s bezpečností?

28. 8. 2009, Jan Tomášek

NSS Labs zveřejnila nové testy zaměřené na bezpečnost internetových prohlížečů. Mnohé může překvapit, že v nich vyniká Internet Explorer o kterém se doposud mluvilo jako o nebezpečném a konkurenční prohlížeče se na tomto rády přiživovaly. Za zmínku stojí mírně velkohubá prohlášení od Mozilla Foundation jako například: “Přejděte na Firefox - nejrychlejší, nejbezpečnější a nejmodernější způsob prohlížení webu.” A pak jejich nabízené srovnání z roku 2006 se starým IE6 (nemluvě o tom, kde přišli na ten přívlastek ”nejrychlejší”).

Testované prohlížeče:

Internet Explorer 8
Firefox 3.0.11 (nebo 3.5)
Safari 4
Google Chrome 2
Opera 10 (nebo 9)

První test Socially Engineered Malware Q3 2009 je zaměřen na ochranu proti všem počítačovým programům určeným ke vniknutí nebo poškození počítačového systému na které můžeme dnes běžně nejvíce narazit (socially engineered malware: malware, využívající nejslabšího článku systému - uživatele).

větší je lepší

Zde si vede IE8 s 81% zachycených útoků bezkonkurenčně nejlépe, ale i tak bych chtěl připomenout, že se nedá spoléhat jen na ochranu prohlížeče (případně jiných nástrojů) a nejdůležitější je při brouzdání po internetu používat hlavně zdravý rozum.

Druhý test Phishing Q3 2009 se zaměřuje na podvodné techniky používané k získávání citlivých údajů, někdy nazýváno česky jako “rhybaření”.

větší je lepší

Firefox se umístil jen pár procent za prvním IE8. Vývojáři Opery trochu zaspali a propadli se na 54% rozpoznaných podvodných stránek. Google se s Chrome moc nevytáhl a špatná situace prohlížeče Safari není lepší ani na Mac OS X platformě.

NSS Labs byla sice sponzorovaná online security týmem Microsoftu, nicméně to neznamená, že jsou tyto jinak nezávislé studie zfalšované, Microsoft poslední dobou opravdu hodně pracuje na zabezpečení. Kdo chce, tak si ještě může celé dokumenty v PDF pozorně prostudovat.

Na závěr ještě vhodné dodat, že podle bezpečnostní analytické společnosti Secunia obsahuje IE8 aktuálně dvě méně kritická zjištěná ohrožení a Safari dvě ohrožení z kterého je jedno vysoce kritické. U ostatních zmiňovaných prohlížečů nejsou žádná neopravená bezpečnostní ohrožení momentálně známá, to však nemusí nutně znamenat, že je vůbec neobsahují a někdo by je tak nemohl využít ve svůj prospěch.

Zdroje: ThePCSecurity.com, FavBrowser.com, Secunia.com

Štítky: bezpečnost, Chrome, Firefox, Internet Explorer, Opera, Safari, test

Publikováno v rubrice Internetové prohlížeče. Reakce v diskuzi lze sledovat prostřednictvím RSS 2.0. Můžete přidat komentář, nebo se na článek odkázat ze svého webu.

Komentáře v diskuzi

1. radosto (88.146.173.xxx) 28. 8. 2009, 16:03

Mám pochybnosti o objektivnosti těch testů.

2. Vykook (94.112.194.xxx) 28. 8. 2009, 16:27

Presne tak, staci spravna volba stranek k testovani a dopadne to uplne jinak.

3. yanick (ověřeno) 28. 8. 2009, 16:38

Nepouziva Firefox aj Chrome na testovanie podvodnych stranok rovnaky zdroj udajov, Google?

Ten test si asi pozriem, Chrome bezi v sandboxe. Povedal by som, ze ten prvy graf je presne naopak :-)

4. .cvm (ověřeno) 28. 8. 2009, 16:46

Este by bolo fajn uverejnit aj casy zablokovania phishing, ci malware stranky po nahlaseni.
Opera a jej HauteSecure (naprogramovali ju byvali zamestnanci Microsoftu) ochrana sice nezachytila toho mnoho, ale za to pracovala najrychejsie. ;)
Pri phishingovom teste je zaujimave v grafe sledovat, ze Opera v prvej polovici testu zaznamenavala 95-100% uspesnost (ako jedina - IE a FX dosahovali 80%) a potom sa prepadla. :)

Apropo, toto boli testy zabezpecenia, ci bezpecnosti? Bezpecnost, ci skor zranitelnost monitoruje napriklad spominana Secunia. Ked som do nej nahliadol a zozbieral som udaje o momentalne pouzivanych prehliadacov, tak z nej vypadlo toto:
Affected By:
Internet Explorer 7,8 (od 2006) - 38+4 advisories, 88+12 vulnerabilities
Firefox 2.x,3.x (od 2006) - 29+18+2 advisories, 154+102+6 vulnerabilities
Opera 9.x (od 2006) - 22 advisories, 50 vulnerabilities
Chrome 1,2 (od 2008) - 6+4 advisories, 8+8 vulnerabilities

Unpatched:
Internet Explorer 7,8 - 24% (9 of 38) + 50% (2 of 4)
Firefox 2.x,3.x - 10% (3 of 29) + 0% (0 of 18) + 0% (0 of 2)
Opera 9.x - 0% (0 of 22)
Chrome 1,2 - 17% (1 of 6) + 0% (0 of 4)

Extra kategoria:
Internet Explorer 6 (od 2001) - 139 advisories, 158 vulnerabilities
Unpached: 16% (22 of 139)
…a Secunia taktiez zaznamenava stovky (!!!) nahlasenych nebezpecnych rozsireni pre Firefox.

5. jehovista (86.134.116.xxx) 28. 8. 2009, 19:53

K tem testum se snad ani vyjadrovat nebudu. Jenom dodam, ze MS dela jeste mnohem velkohubejsi prohlaseni o svem prohlizeci, nez mozilla foundation. Staci se podivat: http://www.microsoft.com/windows/internet-explorer/get-the-facts/browser-comparison.aspx
(jako jediny prohlizec je bezpecny, zajistuje soukromi, je snadny k pouzivani, spolehlivy, … Firefox a Chrome nic z toho neumi - zkratka bullshit)

6. Tom Devastor (ověřeno) 28. 8. 2009, 20:35

Jestli jsou velkohubějších by bylo dost sporné, ono to takto může jen vypadat, že opomněli nebo jen prostě měli nějaký jiný důvod proč nepřidat pár fajek. Ale aspoň nehlásají bludy rovnou na hlavní stránce, to má pouze Firefox.

7. jehovista (86.134.116.xxx) 28. 8. 2009, 20:41

[6] Kdyz se podivam na uvodni stranku o Firefoxu (http://www.mozilla.com/en-US/firefox/firefox.html), tak tam vidim napsane akorat, ze 3.5 je rychlejsi, nez predchozi verze. Oproti tomu Microsofti “get the lies” jasne rika, ze jediny prohlizec, ktery disponuje bezpecnosti, soukromim a spolehlivosti je IE8.

8. Big Muscle (94.112.159.xxx) 28. 8. 2009, 22:42

7: možná spíš mluvil o http://www.mozilla-europe.org/cs/firefox/ a hlášce “nejrychlejší, nejbezpečnější a nejmodernější způsob prohlížení webu.” ;-)

9. ghfgdgsfa (85.135.144.xxx) 29. 8. 2009, 00:00

“NSS Labs byla sice sponzorovaná online security týmem Microsoftu, nicméně to neznamená, že jsou tyto jinak nezávislé studie zfalšované”
:D
no ono ani netreba falsovat studie staci spravne nastavit podmienky a vysledok je taky aky bol pozadovany(tymto nechcem kritizovat IE a MS ale studiu samotnu)
bohuzial akonahle je sponzorovana studia nejakou stranou absolutne straca vahu alebo videli ste studiu v ktorej sponzorujuca strana dopadla zle ?
a je uplne jedno ci su to operacne systemy, prehliadace, jedlo alebo auta…

10. mirek (85.70.152.xxx) 29. 8. 2009, 11:20

Tak nevím, nejsem sice odborník na IT ani na prohlížeče, ale výsledky tohoto testu se mi nezdají, protože jsou ve srovnání s jinými testy a obecným míněním úplně opačné; IE8 nejbezpečnšjší - to je dle mého názoru utopie, protože většina škodlivých kódů je psána pro IE.

Mirek

11. VfB (81.19.41.xxx) 29. 8. 2009, 13:11

IMHO: koukám že jde zejména o testy phishingu a spol, což o bezpečnosti prohlížeče moc nevypovídá, phishingové útoky jsou směrované na rozhraní mezi židlí a klávesnicí a takže vypovídají spíše o hlouposti uživatelů jednotlivých prohlížečů
o bezpečnosti prohlížečů spíše vypovídá množství neopravených chyb a rychlost oprav těchto chyb a zde IE prohrává na celé čáře, vždyť je to pokud vím snad jediný šířeji používaný prohlížeč, který nemá funkci automatického stahování aktualizací…. .což je pro mně mnohem větší riziko než nějaké podvodné stránky

12. Tom Devastor (ověřeno) 29. 8. 2009, 13:47

ghfgdgsfa: Oni tu studii sponzorovali protože věděli, že s jejich snahou o bezpečnost, IE8 nemůže dopadnout špatně.

VfB: Jedná se o malware (což jsou všechny různé breberky) + phishing.
A aktualizace se normálně automaticky stahují přes windows update.

13. Satai (94.112.146.xxx) 29. 8. 2009, 14:01

@Tom: studie, ktera “nemuze dopadnout spatne” je bezcenna. Poznani je postaveno na falzifikaci teorii, ne na jejich potvrzovani. Doporucuji mrknout na Poppera.
Ale hlavni finta spociva v tom, ze muzete zaplatit 5 studii a vybrat si ty, ktere jsou pak zverejnene. Stary trik, pouzivaji ho trebas vyrobci leku.

14. Tom Devastor (ověřeno) 29. 8. 2009, 14:34

Neměňte prosím význam mého sdělení, psal jsem o důvodech proč se nebáli studii sponzorovat… Počkám jestli se objeví nějaké studie s výrazně rozdílným výsledkem, do té doby nemám důvod jim nevěřit.

PS: Děkuji uživateli ms, za dodání popisu pojmu socially engineered malware: malware, využívající nejslabšího článku systému - uživatele

15. Satai (94.112.146.xxx) 29. 8. 2009, 14:47

@Tom: ja chapu, proc se nebali. Ale to nic nemeni na tom, ze je to bezcenne.
Studie o utoku na misto v systemu, ktere je jeho tvurci povazovano za silne, navic odsouzena k tomu, ze se dostane mezi lidi jen tehdy, pokud “vyjde spravne”. Pokud nejaka microsoftem sponzorovana studie dopadne opacne, tak se ji nedockate (stejne jako vam vyrobce GPU nezvoli pro benchmark hru, ktera jeho karte nesedi nebo Mozilla a Apple zvoli jako javascriptovy benchmark takovy, ktery se jim hodi). Takze spolehat na neco takoveho, je jako spolehat na studie vyrobcu kosmetiky o zlepseni vrasek o 70%.

16. ghfgdgsfa (85.135.226.xxx) 29. 8. 2009, 16:54

nechcem nic naznacovat ale nezavisla studia sponzorovana stranou ktora vyhra je asi na takej urovni ako transparentnost statnej zakazky ktoru vyhra firma ministrovho brata - tiez mohla dat najlepsiu ponuku ale kto tomu uveri ?
uz samotny fakt ze sa necha sponzorovat od ucastnika testu vrha na vykonavatela studie zle svetlo a znizuje mu doveryhodnost

17. Rhybář (89.102.202.xxx) 29. 8. 2009, 21:44

Taky trošku RHYBAŘÍM.

18. VfB (81.19.41.xxx) 30. 8. 2009, 09:18

13 - normálně přes WU, to není normální chování, normálně si každý program stahuje aktualizace sám pro sebe, to jen MSIE a MSOmá nějaký extra buřty xD

19. airlive (212.80.64.xxx) 30. 8. 2009, 11:19

Winston Churchill : „Věřím jen těm statistikám, které si zfalšuji sám“

20. Satai (94.112.146.xxx) 30. 8. 2009, 18:16

@airlive: To kupodivu sir Winston nejspise nikdy nerekl ;) http://en.wikiquote.org/wiki/Winston_Churchill#Misattributed

21. nameT (78.157.164.xxx) 30. 8. 2009, 23:18

Zajimavy prispevek, clovek se ledacos dozvi, nezavislejsi studii jsem asi nikdy nevidel…Kazdy soudny clovek prece vi, ze IE je ze vsech prohlizecu ten nejderavejsi, kdyz pominu nekvalitu programu jako takoveho, tak ten hlavni duvod je jeho majoritni rozsireni - nejvic parazitnich kodu.

22. Tom Devastor (ověřeno) 31. 8. 2009, 00:09

Bývávalo… Navíc Firefox 3 má skoro dvojnásobný podíl co IE8.