Sovremennie
internet-texnologii stavat razrabot4ikam brauzernix produktov dostato4no
netrivial'nuu zada4u - sozdat' maksimal'no udobniy produkt,
obespe4ivau6iy visokiy uroven' bezopasnosti pri rabote v Seti. Daleko ne
vse proizvoditeli mogut predostavit' podobnie re6enia. Naskol'ko
bezopasen Internet Explorer 8 ot Microsoft?
Veb-brauzer
na segodna6niy den' predstavlaet odno iz naibolee vostrebovannix
prilojeniy. Eto svazano s dostato4nim rasprostraneniem nedorogogo 6PD
dla korporativnix i doma6nix pol'zovateley, a takje s nali4iem v
internete razli4nix interaktivnix servisov, gde ot pol'zovatela
trebuetsa samaa aktual'naa versia brauzera s ustanovlennimi mul'timedia
ras6ireniami. Tem ne menee, vo mnogix takix re6eniax vrema ot vremeni
poavlautsa uazvimosti raznogo xaraktera. 4erez nix zloumi6lenniki mogut
polu4at' dostup k konfidencial'noy informacii, soxranennoy v vremennix
faylax prosmotra brauzera, perexvativat' logini i paroli i, 4to stalo
uje samoy glavnoy problemoy vsex veb 2.0-saytov, zapuskat' proizvol'niy
kod na ispolnenie 4erez brauzer. Podobnie texnologii aktivno
ispol'zuutsa pri zarajenii PK troanskimi programmami ili
"ljeantivirusami", prevra6enii komp'uterov v ma6ini dla rassilki spama,
kraje platejnix dannix. Sootvetstvenno, razrabot4ik brauzera doljen
primenat' special'nie preventivnie texnologii, pozvolau6ie za6itit'
pol'zovatela ot podobnix incidentov. Rassmotrim, kak postroena sistema
bezopasnosti v Internet Explorer 8.
Problemi bezopasnosti
Razrabot4iki veb-brauzerov edinoglasni vo mnenii, 4to obespe4enie
bezopasnosti takix produktov avlaetsa pervoo4erednoy zada4ey dla
vendora. "V nastoa6iy moment obespe4enie bezopasnosti pol'zovateley
brauzera – eto celaa mnogourovnevaa sistema, - govorit Il'a
6pan'kov, menedjer po razvitiu Opera Software v Rossii i SNG. -
Prejde vsego, v ideale sobstvenniy kod brauzera ne doljen soderjat'
potencial'no opasnix uazvimostey, no v real'nosti je uazvimosti est'
absolutno v lubom brauzere, prosto eti bre6i neizvestni do tex por, poka
ix ne obnarujat testeri ili zloumi6lenniki. I vot zdes' uje na perviy
plan vixodit skorost' ustranenia obnarujennix "dir" - razrabot4iki, kak
pravilo, delaut eto v krat4ay6ie sroki".
Po ego slovam, na sleduu6em urovne neobxodimo maksimal'no ogradit'
pol'zovatela ot vozmojnix obmannix deystviy, predprinimaemix setevimi
zloumi6lennikami – v eto vxodit za6ita ot fal'6ivix saytov, i otsutstvie
funkciy, dopuskau6ix zapusk ispolnaemix faylov bez vedoma pol'zovatela,
i daje standartnie uvedomlenia o tom, kakie dannie zapra6ivaet ili
kakie deystvia sobiraetsa predprinat' pose6aemiy veb-server. Po mneniu
gospodina 6pan'kova, razrabot4ik doljen predostavit' pol'zovatelam (a
takje
administratoram lokal'nix setey) sredstva upravlenia, pozvolau6ie
osu6estvlat' tonkuu nastroyku za6i6ennosti brauzera (blokirovka
vsplivau6ix okon, upravlenie obrabotkoy vremennix faylov, vipolneniem
interaktivnix skriptov, terminal'niy rejim i mnogoe drugoe). Specialist
takje otme4aet vajnost' obrazovatel'nogo aspekta - s pomo6'u spravo4noy
dokumentacii i podrobnix statey na svoem veb-sayte razrabot4iki provodat
obu4enie pol'zovateley v plane obespe4enia sobstvennoy bezopasnosti pri
rabote v seti, tem samim povi6aa ob6iy uroven' komp'uternoy gramotnosti
pol'zovateley: "Brauzer - eto slojniy programmniy instrument,
pol'zovat'sa kotorim toje nujno u4it'sa. Ved' daje samie mo6nie sredstva
za6iti mogut okazat'sa bespoleznimi, esli sam vladelec brauzera budet
naru6at' azi komp'uternoy bezopasnosti".
Konstantin Lepixov, texni4eskiy administrator i
koordinator proekta Mozilla v Rossii, formuliruet osnovnoe trebovanie, s
kotorim neobxodimo s4itat'sa pri razrabotke sovremennogo brauzera, kak
soxranenie Seti kak nezavisimogo prostranstva, nepodkontrol'nogo
trebovaniam kommer4eskix kompaniy dla isklu4enia dal'ney6ix pritazaniy
(patentnix, pravovix i tak dalee) s ix storoni, i predostavlenie legkogo
i bezopasnogo dostupa v etu Set'. Dla illustracii etogo on privodit
pat' klu4evix aspektov brauzerostroenia, sredi kotorix - realizacia
bolee jestkix trebovaniy po rabote s SSL-sertifikatami i za6ifrovannimi
dannimi. "Nedavnie uazvimosti v protokole TLS i v standartax SSL 2.0
pozvolaut predpolojit', 4to ataki na baze etix protokolov budut naibolee
razru6itel'nimi i 4astimi v ispol'zovanii (iz-za popularnosti
ispol'zovania etix protokolov dla internet-bankinga i obmena li4nimi
dannimi", - pod4erkivaet on. Pomimo etogo, specialist otme4aet vajnost'
izolirovannogo ispolnenia plaginov i vkladok, poskol'ku eto otnositsa k
izolacii adresnogo prostranstva dla nevozmojnosti 4tenia "4ujix" dannix
iz sosednix vkladok ili plaginov, a takje gibkiy kontrol' za xraneniem
li4nix dannix (stranici pose6eniy, zakladki, paroli i vremennie fayli
prosmotra). Dla etogo v brauzerax est' "rejim privatnogo prosmotra",
udobniy dla ispol'zovania v nenadejnoy srede - naprimer, internet-kiosk
ili 4ujoy komp'uter, a dla mobil'noy versii neobxodima vozmojnost'
otklu4enia otsilki geodannix ili sinxronizacii s udalennimi serverami
xranenia nastroek i personalizacii.
Kak rasskazal Oleg 6aburov, star6iy sistemniy injener
Symantec v Rossii i SNG, veb-brauzeri doljni vipolnat' bazovie funkcii
kontrola bezopasnosti, takie kak proverka sertifikatov pri obra6enii k
saytam 4erez za6i6ennoe soedinenie (po HTTPS) s nagladnoy demonstraciey
pol'zovatelam o problemax s sertifikatami, blokirovka vsplivau6ix okon,
sozdanie za6i6ennix mexanizmov vvoda i xranenia loginov/paroley (dla
za6iti ot kraji u4etnix dannix ot veb-prilojeniy i onlayn-resursov).
"Bolee ser'eznie mexanizmi za6iti, takie kak instrumenti, za6i6au6ie ot
veb-atak, vzlomov i vredonosnogo PO, doljni obespe4ivat'sa vendorami,
specializiruu6imsa na informacionnoy bezopasnosti i sozdau6im produkti
imenno dla etogo napravlenia". Po ego slovam, odnu iz naibolee vajnix
problem bezopasnosti brauzerov predstavlaut uazvimosti. "Osnovivaas' na
dannix na6ey analiti4eskoy seti, mogu skazat', 4to uazvimosti brauzerov i
plaginov k nim avlaetsa samim uazvimim mestom vsex infrastruktur, 4erez
kotorie proizvoditsa naibol'6ee kol-vo atak. V 4astnosti, v 2009 g.
naibol'6ee 4islo veb-atak bilo nacelenno na Internet Explorer i
programmi prosmotra PDF. Plagini v brauzerax, takie, kak ActiveX, takje
ostautsa privlekatel'noy mi6en'u dla zloumi6lennikov", - otme4aet on.
Ekspert zame4aet, 4to v obespe4enii bezopasnosti re6au6uu rol' igraet ne
tol'ko koli4estvo obnarujennix uazvimostey, no i sposobnost' vendora ix
operativno zakrivat': tak, po dannim ot4eta Symantec ob ugrozax
internet-bezopasnosti (tom 15) iz vsex brauzerov, proanalizirovannix
Symantec v 2009 godu, Safari imel naibolee dlinnoe «okno vozdeystvia»
(vrema mejdu vipuskom koda eksployta dla uazvimosti i vipuskom pat4a), v
srednem 13 dney, a Internet Explorer, Firefox i Opera xarakterizovalis'
naibolee korotkim oknom v 2009 godu, v srednem menee, 4em odin den'.
Bezopasnost' pri serfinge
Osnovnoy scenariy raboti pol'zovatela v Seti – prosmotr razli4nix
veb-stranic. Obi4no s etoy cel'u on vvodit zapros v poiskovuu ma6inu i
polu4aet spisok ssilok, perexoda po kotorim, on ojidaet uvidet' nujnuu
emu informaciu. Tem ne menee, daleko ne vse veb-resursi, predstavlennie v
internete, avlautsa bezopasnimi v texni4eskom otno6enii.
Nedobrosovestnie veb-mastera mogut vklu4at' v kod zagrujaemogo
veb-dokumenta potencial'no opasnie elementi, vizivaa nestabil'nuu rabotu
brauzera i drugie negativnie posledstvia. Krome togo, v Seti nikto ne
zastraxovan ot special'no sozdannix mo6enni4eskix resursov, kotorie
zavlekaut obi4nogo posetitela za s4et sxodstva dizayna s kakim-libo
izvestnim saytom ili putem pereadresacii domennix zaprosov perevodat ego
na drugoy storonniy resurs, s kotorogo mojet rasprostranat'sa
vredonosnoe PO. Bezuslovno, poiskoviki imeut opredelennie sistemi za6iti
ot vklu4enia podobnix saytov v vida4u, odnako lojnie srabativania ili,
4to e6e xuje, propusk opasnix resursov mogut privesti k vozniknoveniu
problem u pol'zovatela. V etom otno6enii adekvatnoy za6itoy budet
avlat'sa kontrol' urovna nadejnosti sayta neposredstvenno sredstvami
samogo veb-brauzera.
S etoy cel'u razrabot4iki IE8 vklu4ili v produkt special'niy mexanizm
fil'tracii URL pod nazvaniem SmartScreen Filter. On prizvan otseivat'
podozritel'nie sayti, uli4ennie v fi6inge i rasprostranenii vredonosnix
programm. Posle poavlenia URL v adresnoy stroke brauzer analiziruet ego
soderjanie, a takje sravnivaet s bazoy dannix opasnix resursov i
signatur vredonosnix kodov. V slu4ae obnarujenia sovpadeniy ili
vredonosnogo koda zagruzka stranici s etogo sayta ne proizvoditsa, a
pol'zovatelu vivoditsa preduprejdenie o tom, s 4em svazani takie meri.
Pomimo etogo zagolovok vkladki i sama stroka budut okra6eni v krasniy
cvet. Kak soob6aet Microsoft, etot fil'tr blokiruet poradka milliona
zaprosov v nedelu.
Drugaa vostrebovannaa texnologia obespe4enia bezopasnogo veb-serfinga
svazana s opredeleniem podlinnosti domennogo imeni, na kotorom
raspolagaetsa tot ili inoy sayt. Zloumi6lenniki o4en' 4asto pol'zuutsa
nevnimatel'nost'u vladel'cev PK i sozdaut psevdosayti, imeu6ie sxojie do
sme6enia URL (i, estestvenno, mogut skopirovat' samo grafi4eskoe
oformlenie original'nogo resursa). Sootvetstvenno, pol'zovatel' riskuet
po o6ibke zayti na ne imeu6iy ni4ego ob6ego s nastoa6im resursom sayt,
vvesti svoi dannie i poterat' kontrol' nad svoim akkauntom, platejnimi
instrumentami i tak dalee. Sey4as podobnie ugrozi rasprostraneni v
social'nom vebe, v 4astnosti, v socsetax. V Internet Explorer 8
prisutstvuet antifi6ingoviy fil'tr (Social Engineering Defenses),
kotoriy signaliziruet pol'zovatelu o tom, 4to on sover6aet perexod na
mo6enni4eskiy resurs. Dla etogo v adresnoy stroke nazvanie sayta
videlaetsa 4ernim cvetom, a ostal'nie simvoli v URL-stroke otobrajautsa
serim. Esli perexod osu6estvlaetsa po za6i6ennomu soedineniu (HTTPS), to
adresnaa stroka podsve4ivaetsa zelenim cvetom, a kogda odin iz
vstroennix fil'trov preduprejdaet ob opasnosti, podsvetka stanovitsa
krasnoy. Takaa texnologia sey4as realizovana dla bolee 4em 10 tis.
saytam s modulami billinga.
Sredstva za6iti brauzera IE8 realizovani v adresnoy stroke
Ataki s ispol'zovaniem poddel'nix sertifikatov bezopasnosti dla
HTTPS-soedineniy takje ne predstavlautsa segodna "ekzotikoy". Mo6enniki
davno nau4ilis' perexvativat' peredavaemie dannie v moment, kogda
pol'zovatel' otve4aet na zapros o perexode na za6i6ennoe soedinenie ili
kogda uje iz samoy HTTPS-sessii izvlekaetsa informacia pri pomo6i
vredonosnix skriptov. Podobnie ugrozi aktual'ni i dla tex, kto 4asto
ispol'zuet neza6i6ennie podklu4enia k seti (naprimer, Wi-Fi bez
6ifrovania) i ne primenaet veb-antivirusi, prepatstvuu6ie
nesankcionirovannoy pereda4e li4nix dannix. Krome togo, nepravil'no
nastroennoe za6itnoe PO na komp'utere uveli4ivaet risk podmeni DNS pri
rabote s brauzerom, naprimer, pri vnesenii pravok v fayl hosts. Sposob
za6iti ot podobnix nepriatnostey – blokirovka neza6i6ennogo soderjimogo
na stranice - ne vsegda ka4estvenno realizovan v sovremennix brauzerax.
Za6ita HTTPS-sessiy – osobennost' IE8
V Internet Explorer 8 pered vixodom iz HTTPS-sessii pol'zovatelu
pokazivaetsa zapros o tom, jelaet li pol'zovatel' pokazat' te fragmenti
koda stranici, kotorie bili polu4eni 4erez za6i6ennoe soedinenie, ili
net. Takoe re6enie vigladit bolee nadejnim s to4ki zrenia informacionnoy
bezopasnosti i bolee udobnim v plane uzabiliti.
Za6ita interaktivnogo soderjania
Sovremennie sayti davno uje ne predstavlaut soboy nabor stati4nix
veb-stranic, soedinennix mejdu soboy giperssilkami. Sey4as eto - krupnie
platformi, ispol'zuu6ie ne tol'ko sobstvennoe soderjanie, no i kontent
iz drugix sistem (naprimer, obnovlaemie v rejime real'nogo vremeni
soob6enia v mikrobloge Twitter ili vstavlennie videoroliki s
mediaxostingov). Eti re6enia ispol'zuut razli4nie texnologii – AJAX,
Flash, AIR, Silverlight i tak dalee.
Zloumi6lenniki mogut naxodit' uazvimosti v realizacii postroennix
prilojeniy, kotorie vstroeni v sam osnovnoy kod sayta, tem samim
ustraivaa vse uslovia dla ataki na komp'uter pol'zovatela. Tak,
naprimer, pri otpravke soob6enia v blog s pomo6'u storonnego
veb-prilojenia brauzer mojet ispolnit' proizvol'niy JavaScript, zaraziv
komp'uter troanom ili peredav na storonniy server soderjanie perepiski.
Podobnie slu4ai mejsaytovogo vipolnenia scenariev (XSS) vovse ne
avlautsa redkimi i voznikaut kak na nebol'6ix, tak i na krupnix
proektax. V Internet Explorer 8 dla etix celey prisutstvuet XSS Filter,
kotoriy za6i6aet ot takix atak, blokirua ispolnenie podozritel'nix
scenariev. Otmetim, 4to ego fil'tr sposoben obu4at'sa – luboy
pol'zovatel' mojet vnesti posil'niy vklad v povi6enie bezopasnosti
interneta, soob6aa o podozritel'nix resursax.
Pomimo za6iti ot mejsaytovogo skriptinga v Internet Explorer 8 est' i
podderjka texnologii DEP, to est' provedenia atak na vipolnenie
vredonosnogo koda iz oblasti pamati dla xranenia dannix s povi6eniem
privilegiy do urovna administratora. Takim obrazom zloumi6lennik ne
mojet vospol'zovat'sa texnologiey perepolnenia bufera obmena. DEP vxodit
v sostav realizovannogo za6itnogo rejima, kotoriy vklu4aetsa
avtomati4eski dla zon "internet" i "ograni4ennix uzlov", no viklu4en dla
"nadejnix uzlov" i "intraneta".
Za6i6enniy rejim v IE8 aktivirovan po umol4aniu
Podobnie re6enia stali vozmojnimi za s4et ulu46enia samogo dvijka
brauzera, kotoriy stal lu46e obrabativat' AJAX i DOM. Tak, naprimer, v
Internet Explorer 8 ulu46ilas' podderjka kross-domennix zaprosov (XDR).
Teper' brauzer mojet vipolnat', kak pramie, tak i anonimnie zaprosi k
ob6edostupnim servisam na drugix domenax (naprimer, avtorizacia po
Windows Live ID). Eto pozvolaet sdelat' informaciu dostupnoy mejdu
domenami i povisit' uroven' za6i6ennosti takix perexodov - pol'zovateli
budut spokoyni za svoi dannie, a vebmastera vebsaytov smogut nastroit'
mexanizm predostavlenia informacii drugim domenam i slujbam Seti. V
novom brauzere teper' takje ispol'zuetsa funkcia obmena soob6eniami
mejdu dokumentami (XDM) v sootvetstvii s HTML5. Eto uveli4ivaet
bezopasnost' vzaimodeystvia ob&ektov IFRAME i DOM, problemi s kotoroy
avlautsa rasprostranennim avleniem v su6estvuu6ix na rinke brauzernix
produktax. E6e odno aktual'noe novovvedenie v oblasti bezopasnosti AJAX
kasaetsa obrabotki HTML-koda. V Internet Explorer 8 provedeni raboti nad
ser'eznim ulu46eniem modeli bezopasnosti dvijka, 4to pozvolaet o4i6at'
HTML i JavaScript (JSON) kod ot potencial'no opasnix ispolnaemix
elementov scenariev. Tak, naprimer, blagodara texnologii MIME-Handling
Changes ne pozvolaet zapustit' na ispolnenie vredonosniy skript,
zamaskirovanniy pod grafi4eskoe izobrajenie.
Popitka zapuska proizvol'nogo koda na ispolnenia v IE8 blokiruetsa i
poavlaetsa sootvetstvuu6ee preduprejdenie
Do massovogo poavlenia razli4nix RIA (Rich Internet
Applications)-re6eniy osnovnim putem dla vzloma brauzera zloumi6lennikom
bili ActiveX-komponenti. Veb-masteri mogli ustanavlivat' na saytax
potencial'no opasnie elementi (obi4no eto bila reklama saytov "vzrosloy
tematiki" ili paneli instrumentov somnitel'noy funkcional'nosti),
kotorie vnedralis' v samo prilojenie, a 4erez nego – i v operacionnuu
sistemu. Teper' upravlat' vsemi etimi komponentami mojno s pomo6'u
osnastki gruppovix politik bezopasnosti (Group Policy Enhancements). Ona
obleg4aet upravlenie u4etnoy zapis'u i pozvolaet osu6estvlat' ustanovku
elementov upravlenia ActiveX samimi pol'zovatelami bez
administratorskix privilegiy. Pomimo etogo, ulu46en i kontrol'
upravlenia bezopasnost'u ispolnenia ActiveX-elementov - podobnie
elementi mojno ne tol'ko razre6at' ili zapre6at' na ispolnenie v
brauzere celikom i polnost'u (kak i bilo ran'6e), no i delat' eto
viboro4no dla kajdogo veb-resursa. Sami je razrabot4iki podobnix
elementov upravlenia pri pomo6i sredstva ATL (ActiveX SiteLock) mogut
nastroit' sozdannie ActiveX-komponenti dla ispol'zovania s ograni4eniem
dostupa v vide spiska domenov ili na opredelenniy period vremeni.
Povsednevnaa bezopasnost'
Pomimo sugubo texni4eskix novovvedeniy v Internet Explorer 8, kotorie v
avnom vide neizvestni dla obi4nogo pol'zovatela (ne razrabot4ika) ili
veb-mastera, v samom produkte proizo6li izmenenia i v na urovne ob6ego
udobstva ispol'zovania. Oni takje svazani s bezopasnost'u i nadejnost'u
produkta. V etom otno6enii v brauzere est' trexurovnevaa realizacia,
sostoa6aa iz rejimov InPrivate Browsing (jurnal pose6eniy, vremennie
fayli obozrevatela, dannie, vnesennie v formi, ne budut xranit'sa v
samom brauzere), rejima InPrivate Blocking (fil'tracia dannix,
zapra6ivaemix saytom u brauzera) i InPrivate Subscriptions (privatnie
podpiski).
Arxitektura
svazey adra i vkladok IE8 uveli4ivaet stabil'nost' i nadejnost' raboti
brauzera
Krome togo, v vos'moy versii veb-obozrevatela ot Microsoft izmenilas'
arxitektura raboti adra brauzera otnositel'no vkladok. V predidu6ey
versii zavisanie odnoy iz nix privodilo k avariynomu zaver6eniu vsego
processa prilojenia. Teper' blagodara podxodu Loosely-Coupled IE (LCIE)
adro rabotaet izolirovano ot vkladok, a sami otkritie stranici –
otdel'no drug ot druga. V rezul'tate etogo voznik6iy sboy v odnoy iz
vkladok ne mojet naru6it' rabotu ostal'nix. Pol'zovatelu v etom slu4ae
budet pokazano preduprejdenie ob o6ibke, no sam brauzer prodoljit rabotu
i ne zakroetsa. Esli je zaver6enia processa ne izbejat', to blagodara
sisteme avtomati4eskogo vosstanovlenia posle sboa vkladka ili celaa
sessia budut avtomati4eski vosstanovleni v prejnee sostoanie, vklu4aa
dannie, vvedennie v veb-formi.
V
IE8 prisutstvuet bolee ras6irenniy instrument dla nastroyki dopolneniy
brauzera
V Internet Explorer 8 poavilas' vozmojnost' upravlenia dopolneniami
brauzera – ne tol'ko panelami instrumentov i nadstroykami, no i
uskoritelami, veb-fragmentami, vizual'nim poiskom. Ix mojno vklu4at' i
otklu4at', udalat', videt' kak oni vliaut na skorost' raboti
obozrevatela i tak dalee. E6e odna osobennost' Internet Explorer 8 –
mexanizm Application Protocol Prompt, kotoriy pozvolaet doverennim
prilojeniam (naprimer, programmam dla perexvata mediapotoka)
osu6estvlat' svoy zapusk neposredstvenno iz brauzera.