Безопасность браузера
Нет ничего опаснее атак через веб-браузеры, ведь они интерпретируют довольно сложный язык HTML и выполняют рендеринг страниц. Безопасность в интернете является острой темой для многих пользователей, но не все знают, что уязвимым местом ПК является веб-браузер.
Вместе с тем веб-страница может содержать код на языках сценариев, таких как JavaScript, или другой код, например элементы управления ActiveX, Java-апплеты, ролики Flash или приложения на управляемом коде. Забудем на минуту, что с точки зрения защиты очень опасно смешивать код и данные. Такая комбинация позволяет организовать богатый и очень продуктивный пользовательский интерфейс, но сильно затрудняет обеспечение безопасности. И это далеко не все. Веб-браузер часто выполняет рендеринг мультимедийных объектов, таких как звуковые файлы и изображения JPEG, BMP, GIF и PNG. Часто отображения в формате GIF содержат анимацию. Управление файлами во многих форматах передается вспомогательными (helper) объектам, называемым обработчиками MIME (MIME handlers). Например, для просмотра видеофайлов часто требуется приложения Quicktime, Windows Media Player и RealPlayer. Вот сколько возможностей предоставляется пользователям через Интернет.
Но и это еще не все. Пользователю доступен практически любой веб-сайт на планете, а ведь сервер на том конце может содержать веб-страницы, предназначенные для атаки. На этих опасных страницах могут использоваться различные варианты атаки: одни непосредственно связаны с браузером, а другие? нет.
Иногдаа на компьютер без ведома пользователя по механизму «скрытой загрузки» (drive-by download) могут устанавливаться опасные программы, выполняющие вредоносный код или передающие атакующему важные пользовательские данные. В большинстве случаев максимм, что может сделать браузер в такой ситуации, — спросить у пользователя, следует ли загружать файл, причем конкретное поведение зависит от настройки браузера.
Скрытая загрузка часто срабатывает потому, что пользователь работает под административной учетной записью. Если это обычный пользователь, опасной программе гораздо сложнее внедриться в операционную систему.
Все это делает веб-среду чрезвычайно опасной. Иными словами, браузеры — превосходное средство для атаки пользователей.
Одно из возможностей решений — просто удалить весь переносимый код, включая сценарий, Java-апплеты и т.п. Но это заведомо неудачное решение. Представьте, что весь такой код удален -онлайновый доступ к банковскому счету перестанет работать, будет практически невозможно зарезервировать номер в гостинице или совершить покупку в интернет-магазине. Пользователи привыкли к определенному уровню удобств, и если их убрать, будут неприятности.
Специалисты из Microsoft знают, что в системе защиты браузеров всегда найдутся недостатки и взломщики захотят ими воспользоваться. Бороться с отдельными дефектами защиты браузеров — гиблое дело.
Еще почитать:
24 ноября 2011
I’ve said that least 2481064 times. The problem this like that is they are just too compilcated for the average bird, if you know what I mean
Hi! The text is extremely interesting. Thanks