1. кількість вразливостей
2. Оновлюйте браузер!
3. Швидкість усунення вразливостей
4. Оновлюйте браузер автоматично!
5. Уразливості 0-day
6. Застосовуйте комплексний захист!
7. Статистика відвідувачів OSZone.net
8. Opera
9. Firefox
10. Chrome
11. Internet Explorer
12. Загальна картина
13. І який же браузер безпечніше?

Уразливості Internet Explorer часто отримують широкий резонанс, даючи привід злостивцям оголосити браузер дірявим. Так, на початку 2010 року активно обговорювалася вразливість Hydraq (Aurora). З її допомогою зловмисники провели атаку проти співробітників Google (чомусь користувалися IE, а не рідним Chrome :). У тому випадку удар був націлений на конкретних людей, а експлуатувалася досі невідома уразливість браузера.

Однак Internet Explorer - далеко не лідер за кількістю виявлених недоліків в системі безпеки, причому не перший рік.

кількість вразливостей

Фахівці Symantec кілька років ведуть свою статистику виявлених в браузерах вразливостей, навіть якщо їх не визнають такими розробники. На діаграмі видно, що в останні два роки IE не був лідером за кількістю вад в системі безпеки.

збільшити малюнок

Рік тому з великим відривом «мав першість» Firefox, а в 2010 році всіх «переміг» Chrome. Швидше за все, на результати вплинуло те, що Google офіційно платить за кожну виявлену уразливість в системі безпеки свого браузера до декількох тисяч доларів США.

В цілому, аналітики Symantec відзначають збільшення кількості виявлених вразливостей в продуктах компаній, які оплачують послуги дослідників. Mozilla, між іншим, теж винагороджує за знайдені «дірки» в Firefox, але його движок постарше і краще вилизаний, а в Chrome уразливості поки простіше знайти.

Якщо дивитися виключно на кількість вразливостей і оголошувати IE дірявим, то як в такому випадку охарактеризувати Firefox і Chrome? Перший, напевно, повинен називатися решетом, автор - ситом? :)

Оновлюйте браузер!

Насправді, порівняння браузерів за кількістю «дірок» не дає повної картини. Дослідники не розголошують уразливості, якщо вони співпрацюють з розробниками. Тому про більшість з них світ дізнається вже при виході оновленої версії браузера. І тим важливіше її встановлювати!

Однак є публічні уразливості, які можуть бути не закриті, і зловмисники їх дуже люблять.

Швидкість усунення вразливостей

Загалом, творці браузерів досить оперативно усувають уразливості, дізнавшись про них. Фахівці Symantec підрахували, скільки днів в середньому потрібно розробникам, щоб усунути недоліки в безпеці браузера, оголошені публічно.

збільшити малюнок

Настільки скромні цифри у всіх браузерів пояснюються тим, що про багатьох вразливості оголошують одночасно з випуском заплатки, тому за методологією Symantec на усунення потрібно рівно 0 днів. Такі випадки переважають, оскільки дослідники, бажаючі офіційно заробити гроші на виявлених вразливостей, конфіденційно доводять до відома компанію, дозволяючи їй усунути недоліки.

У 2010 році уразливості в Internet Explorer в середньому закривалися довше, ніж в інших браузерах. І хоча для 47 вразливостей в середньому 4 дні на усунення виглядають не дуже страшно, одну з них закривали 125 днів, що не могло не зіпсувати статистику браузеру Microsoft. Але і це не рекорд!

Цікаво, що Safari з таким величезним вікном для однієї уразливості примудрився в середньому вкластися менше ніж в одну в день. Мабуть, інші проломи латали дуже швидко, в тому числі і за допомогою Chrome (у браузерів загальний движок WebKit).

Втім, ці цифри не відображають ступінь небезпеки уразливості. Високо небезпечні і критичні вади в системі безпеки не тримають відкритими по 4 - 9 місяців, хоча і там є над чим працювати.

Оновлюйте браузер автоматично!

Довгі інтервали при закритті публічних вразливостей неприємні тим, що їх включають в набори для атаки. До моменту закриття уразливості в мережі вже можуть циркулювати різні обгортки для її експлуатації. Відкладаючи оновлення браузера, ви сильніше ризикуєте!

Chrome оновлюється сам, навіть не загострюючи на цьому увагу користувача. Opera і Firefox при стандартних налаштуваннях відразу встановлюють оновлення, а Internet Explorer оновлюється через Windows Update, що рекомендується автоматизувати. Таким чином, від вас не потрібно зусиль, щоб підтримувати браузер в актуальному стані.

Уразливості 0-day

Ще один важливий аспект безпеки браузерів - уразливості, які потай від усіх експлуатуються для атаки на конкретну людину або компанію. Вони можуть залишатися поза досяжністю радарів фахівців і розробників до тих пір, поки справа не набуде розголосу або досить велике число комп'ютерів потрапить під удар.

збільшити малюнок
Уразливості 0-day в браузерах та інших програмах (дані Symantec, 2010 рік)

За даними Symantec, в 2010 році у всіх програмних продуктах було виявлено 14 таких вразливостей, причому на частку браузерів довелося чотири. Три з них знайшлися в Internet Explorer (в тому числі, Hydraq / Aurora), хоча одна з них не торкалася IE8. На їх закриття у Microsoft йшло 7, 21 і 41 день (довго!). Четверта вразливість 0-day була виявлена ​​в Firefox (Belmoo backdoor), і її усунули вже через день після виявлення.

Застосовуйте комплексний захист!

Виправити вразливість браузера можуть тільки його розробники. Поки немає заплатки, залишається покладатися на інші рівні захисту. Уразливість - це щілина, в яку може проникати шкідливий код. Нейтралізувати його покликані антивірусні і антишпигунські програми, а найбільш успішно протистоять уязвимостям 0-day системи класу HIPS (наприклад, DefenseWall ).

Якщо вони не впораються, ще залишається шанс мінімізувати збиток за рахунок технологій безпеки Windows. Так, Internet Explorer при включеному контролі облікових записів працює в захищеному режимі . Це означає, що браузер і запущені з нього процеси не можуть змінювати існуючі параметри реєстру і файли. Іншими словами, підвищується стійкість операційної системи до заражень.

Статистика відвідувачів OSZone.net

Я пропоную вам поглянути на розклад по браузерам у відвідувачів OSZone.net за тиждень з 11 по 17 квітня . Дати були обрані так, щоб захопити нові версії популярних браузерів - з моменту виходу Chrome 10 пройшло п'ять тижнів, IE9 був доступний вже місяць, а Firefox 4 - три тижні. Дані цілком репрезентативні, оскільки вони засновані на 700 тисячах відвідувачів (я виключив невідомі версії браузерів і злегка згрупував дані).

Розподіл по браузерам аудиторії комп'ютерного порталу OSZone.net
для кожної версії зазначено частку в групі (дані mail.ru за квітень 2011 р)

На основі цих даних важко зробити висновок про наявність вразливостей в браузерах відвідувачів, але деяка інформація наводить на роздуми.

Opera

16% користувачів браузера не спромоглися відновити його до версії 11, на що у них було майже чотири місяці. Як результат, вони виходять в Інтернет з декількома уразливими, як мінімум одна з яких має високу ступінь небезпеки.

Firefox

Багато прихильників Firefox не поспішають оновлювати улюблений браузер. На діаграмі картина через три тижні після виходу Firefox 4, а ще через тижні його частка була вже 50% проти 42% у 3.6.

При цьому 3% користувачів точно працюють з відомими уразливими, а про версії 3.5.х і 3.6.х нічого не можна сказати з упевненістю. На них можна встановити виправлення безпеки, без оновлення браузер, але чомусь мене терзають невиразні сумніви в поголовної актуальності цих версій.

Chrome

Браузер Google наплодив стільки версій, що розібратися в них непросто. По-перше, версії 11 і 12 на діаграмі - це попередні випуски (фінальна версія 11 з'явилася пізніше). По-друге, після виходу першої стабільної версії 10 було ще два оновлення, які закрили 7 вразливостей високого ступеня небезпеки. Статистика mail.ru не дає достатній мірі деталізації за версіями. Але навіть і без урахування цих даних 12.5% ​​користувачів Chrome працюють в старих версіях з величезною кількістю вразливостей.

Цікаво, що Chrome - єдиний браузер, який збільшив свою частку на OSZone за рік, якщо порівняти з минулорічним розкладом . В основному, він завоював серця користувачів IE і Firefox.

Internet Explorer

Незважаючи на явні поліпшення в IE8, 21% користувачів браузера Microsoft до цих пір довіряються версіями 6 і 7. Залишається тільки гадати, чи встановлені для них численні латки. Зауважте, що на IE6 досі сидить кожен десятий користувач браузера Microsoft. Не випадково, в Microsoft головним суперником IE9 вважають IE6!

Частка IE9 поки невелика, але на Windows XP до сих пір сидить більше половини відвідувачів сайту, яким IE9 не світить. Знову ж, статистика mail.ru не дає можливості подивитися відсоток користувачів IE9 на Windows 7, але в моєму блозі їх вже майже в 1.5 рази більше, ніж решти на IE8!

Загальна картина

За останній рік аудиторія OSZone не дуже змінила своїм звичкам. Якщо вважати застарілими версії нижче IE8, Chrome 9, Firefox 3.6 і Opera 10, то на день написання статті ними користується 11% осіб. Для старих версій IE і Firefox теоретично можуть бути встановлені всі заплатки, але навіть якщо це так, концептуально вони вже сильно відстали з точки зору безпеки.

По тому не менше півтора місяців після виходу нової версії будь-якого з браузерів, такої ще не мають 38% людей. З останньою версією браузера на комп'ютерний портал приходить лише 62% відсотка аудиторії.

Але ж у нас все обвішано новинами і статтями про нові версії браузерів!

На інших сайтах картина ще гірша - це показує навіть побіжний огляд статистики, наприклад, Мій Світ @ Mail.Ru . А це означає, що у зловмисників ще достатньо можливостей попсувати кров недосвідченим інтернетникам.

І який же браузер безпечніше?

Якщо говорити виключно про уразливість браузерів, то очевидно одне - щоб у вас був найбезпечніший браузер, його треба оновлювати автоматично і страхувати захисною програмою. Імовірність потрапити під вразливість 0-day набагато нижче, ніж зловити щось в застарілому браузері.

Кількість же вразливостей не грає особливої ​​ролі, тим більше, що прогалини в захисті браузерів закриваються більш-менш оперативно. Так, в Chrome найбільше вразливостей, але Google і усуває їх швидше за всіх.

Однак оцінювати безпеку браузерів лише за власними уязвимостям було б неправильно. Атаки спрямовані не тільки на них, а й на доповнення, без яких веб-серфінг як їжа без солі. А ще величезну роль відіграє людський фактор. І через кілька днів ми продовжимо розмову про безпеку в Інтернеті.

Вас чекає друга частина матеріалу, в якій мова піде про уразливість доповнень і засобах протидії фішингу в сучасних браузерах.

А ви читаєте цю статтю в самої останньої версії браузера? Встановлюєте ви оновлення автоматично або приймаєте рішення при появі повідомлень? Як швидко ви встановлюєте оновлення і нові версії після їх виходу?

Обговорення завершено.