نکاهی به امنیت در مرورگر ها

ترجمه و بازنویسی : بابک فخریلو
منبع : سایت pcworld

وب هر روز از خطرها و آسیب های زهر آلود پر می شود و حجمی حیرت آور از  برنامه های آسیب پذیر، خود را با استفاده از مرورگر ، درون hard drive ها پنهان می کنند .
سوال اینجاست : آیا مرورگری که انتخاب می کنید به احتمال آلوده شدن رایانه تان می افزاید ؟
کارشناسان می گویند از انتخاب internet explorer اجتناب کنید ، چرا که در مقایسه با سایر مروگر ها هدف بسیاری از  برنامه های آسیب پذیر است.
این استدلال قابل توجه است اما نباید تنها به همین پاسخ ساده اکتفا کرد . به همین خاطر در این مطلب به کارایی امنیتی پنج مرورگر معروف یعنی Internet Explorer, Firefox, Opera, Safari, Chrome. پرداخته ایم .

با مروی که بر بیشتر سایت های آلوده شده در وب داشتیم به این نتیجه رسیدیم که اعمال و حرکاتی مشهودی که کاربر برای نصب آخرین وصله ها انجام می دهد تاثیر بسیار زیادی روی امنیت دارد تا نوع مرور گری که شما انتخاب می کنید .
برنامه های فریبنده : اینجا کلیک کن !
بیشتر بد افزار ها به یک همدست نیاز دارند ، آن هم شما هستید . اگر پیش از این فکر می کردید کاربران نسبت به آنچه که از سایت های ناشناس  دانلود می کنند با خبر هستند باید بگوییم نه ! مردم ساده انگار توجهی به این موضوع نمی کنند . حجم عظیمی از آسیب ها زمانی رخ می دهد که کاربر در دامی گرفتار می شود که در آن با پیام های
anti- virus جعلی برخورد می کند و آن را انتخاب می کند .(مثال: «شما آلوده شده اید : این anti-virus را دانلود کنید» ) .
هیچ مروگری نمی تواند از شما در برابر چنین حملات احمقانه ای حفاظت کند .
اما برای کاربران تیزهوش جای هیچ نگرانی نیست چون چنین اشتباهاتی را مرتکب نمی شوند و البته از وصله ها هم غافل نیستند . در آزمایشی که بر روی بیش از 100 سایت محبوب آسیب زا انجام دادیم ، هیچ کدام از مروگرهای full- patch اجازه آسیب رساندن و آلوده کردن را نداند . گرچه حفاظت مرورگر بدون وقفه و کامل بود ، اما گاهی نیاز به reboot کردن سیستم می شد .
این را به یاد داشته باشید که مرورگر در این نبرد تنها نیست . بد افزار های مبتنی بر وب می توانند با استفاده از مرورگر  به نقاط آسیب پذیر در  سیستم عامل و افزونه های مروگر چون Flash ،Java و QickTime حمله کنند .
علاوه بر خود مروگر افزونه هایی که گفتیم نیز باید همواره در حالت full-patch باشند .
خوب خبر خوب دیگر این است که این روزها بیشتر برنامه های معروف –شامل مرورگرهایی که ما امتحان کردیم- به طور خودکار بروز رسانی می گردند .
مقایسه پنج مرورگر بزرگ
مروگر ها امکانات امنیتی زیادی دارند که به کاربر کمک می کند تا از آسیب بدافزار ها در امان باشد .
همه این پنج مرورگر بزرگ pop-up blocker ، فیلتر های anti-phishing و حفاظت از رمز عبور را دارند .
بجز Opera بقیه آنها به کاربران امکان مرور امن (private browsing ) را می دهند . در این حالت مرورگر هیچ اطلاعتی از مرور کاربر را نگهداری نمی کند (که ممکن است برای ردیابی فعالیت های online مورد استفاده قرار گیرد) و خبری از تاریخچه مرورگر (browsing history ) ، کوکی ها و temporary Internet files یا هر چیز دیگری نیست .
در این میان تنها دو مروگر FireFox و Internet Explorer از ویژگی های امنیتی خوبی برخوردار هستند :
امکان تغییر security zone که به کاربران اجازه می دهد تا سطوح مختلف امنیتی را برای وب سایت هایی که مورد اعتماد آنها هستند تنظیم کند .
برای نمونه کاربر می تواند یک Zone را طوری تنظیم کند که سایت های مشکوک حتما رو در روی اقدامات سخت گیرانه امنیتی مرورگر قرار گیرند ، مثل غیر فعال کردن JavaScript که غالبا در آسیب رسانی بد افزار ها موثر است .همچنین FireFox و Internet Explorer به کاربران این امکان را می دهند که افزونه ها (add-on ) را غیر فعال کنند در حالی که چنین ویژگی در Safari ، Opera و Chrome وجود ندارد .
چنین ویژگی های امنیتی در مرورگرها نقش عمده ای را در حفظ کاربر بازی می کنند .البته با توجه به نوع مرورگر عملکرد ها متفاوت است : برخی از آن ها خصیصه های خوب و حقیقی دارند  و بقیه نه . و بعضی نیز در امنیت از بقیه بهتر هستند .
در اینجا نگاهی سریع به هر کدام از این پنج مرورگر می اندازیم .
Microsoft Internet Explorer 8 beta 2
موافق ها : Internet Explorer مرورگر قوی است ، از داشتن بیش از 1300 کنترل امنیتی به خود می بالد ، در حالی که مرورگر فایر فاکس (که جایگاه دوم را در بین مرورگر ها دارد) تنها 150 کنترل دارد . در این مرورگر پنج قلمرو امنیتی (security zone ) وجود دارد که به راحتی تنظیم می گردد و به شما اجازه می دهد که JavaScript و افزونه ها را غیر فعال کنید . کنترل والدین بر روی مرور را تنها در این مرورگر می یابید .
مخالف ها : محبوبیت Internet Explorer آن را جز اولین هدف های حمله هکر ها قرار داده است . پشتیبانی منحصر بفرد این مرورگر از ActiveX (راه دیگری برای رخنه بدافزار ها) مسئله امنیتی دیگری را مطرح می کند که  در سایر مروگرها وجود ندارد .
نتیجه : کنترل های امنیتی این مروگر باید  با این حقیقت سنجیده شود که بیشترین حمله ها (به طور پی در پی) به این مرورگر وارد  می شود .

Mozilla Firefox 3.12
موافق ها : این کهنه سرباز جنگ آموخته ! قلمروهای امنیتی ومدیریت add-on درونی دارد که به شما اجازه می دهد تا به راحتی JavaScript و افزونه ها را غیر فعال سازید .
مخالف ها : تنظیم قلمروهای امنیتی (security zones ) کار ساده ای نیست .
نتیجه : فایرفاکس انتخاب خوبی برای کاربران رایانه های شخصی است . بر حسب موارد امنیتی و انتخاب کنترل ها این مرورگر نسبت به Internet Explorer تنها در مقام دوم است .

Apple Safari 3.2.1
موافق ها : Safari به خاطر دارا بودن دقیق ترین فیلتر anti-phishing به خود می بالد و همواره پیش از دانلود فایل به کاربران هشدار می دهد . این مروگر (مانند Chrome ) در بلوکه کردن کوکی ها ناخواسته بسیار خوب عمل می کند .
مخالف ها : نبود security zones و نداشتن  قابلیت غیر فعال سازی افزونه ها .
نتیجه : هنوز هم  این مروگر – اگر full-patch بوده و در سیستمی که خود full-patch شده باشد اجرا گردد – می تواند محیط امنی را فراهم سازد .

Opera 9.63
موافق ها : Opera گستره ی از کنترل های امنیتی و حفاظت مناسب در برابر حملات «denial-of-service » دارد .
مخالف ها : نبود security zones ، عدم توانایی غیر فعال سازی افزونه ها و مرور امن از ضعف های آن است . همچنین فقدان پشتیبانی از خصیه های کلیدی امنیتی ویندوز ممکن است خظر ریسک پذیری آن را در حملات سر ریزی بافر افرایش دهد.
نتیجه : Opera مروگر بزرگی است اما در آزمایش های سخت خود را نشان نداده است . نیاز به پشتیبانی از Windows› Data Execution Prevention (جلوگیری از اجرای اطلاعات ویندوز) و خصیصه Address Layout Space Randomization پیش از استفاده از آن بیشتر توصیه می شود .

Google Chrome 1.0
موافق ها : Java Script درون ماشین مجازی اجرا می شود که برخی محدودیت ها را موجب می شود .Chrome (مشابه Safari ) در بلوکه کردن کوکی ها عملکرد خوبی دارد .
مخالف ها : Chrome نمی تواند JavaScript را غیرفعال کند . یک مشکل بزرگ چرا که JavaScript در برخی از بدافزار های آسیب زا وجو دارد. Chrome اجازه می هد تا رمز های عبور در plain text نمایش داده شوند و براحتی در دید سایر کاربران قرار گیرند و بسادگی از طریق مشکلات سر ریز بافر آسیب می بیند .
نتیجه : مدل امنیتی که Chrome دنبال می کند بسیار خوب است اما انتخاب های امنیتی که گوگل برای آن برگزیده غالبا بی پایان است . دردسر بیشتر اینجا پیش می آید که آسیب پذیری ها یافت شده در Chrome بسیار ساده و عمومی هستند . چیزی که گوگل نسب به آن غافل بوده است .

Advertisements

دربارهٔ Persian Developer

I Love Developing applications

Posted on فوریه 24, 2009, in مرورگر, امنیت and tagged , , , , , , . Bookmark the permalink. بیان دیدگاه.

پاسخی بگذارید

در پایین مشخصات خود را پر کنید یا برای ورود روی شمایل‌ها کلیک نمایید:

نشان‌وارهٔ وردپرس.کام

شما در حال بیان دیدگاه با حساب کاربری WordPress.com خود هستید. بیرون رفتن / تغییر دادن )

تصویر توییتر

شما در حال بیان دیدگاه با حساب کاربری Twitter خود هستید. بیرون رفتن / تغییر دادن )

عکس فیسبوک

شما در حال بیان دیدگاه با حساب کاربری Facebook خود هستید. بیرون رفتن / تغییر دادن )

عکس گوگل+

شما در حال بیان دیدگاه با حساب کاربری Google+ خود هستید. بیرون رفتن / تغییر دادن )

درحال اتصال به %s

%d وب‌نوشت‌نویس این را دوست دارند: