11086 browser-security

Безопасност и защита при използване на Web-браузъри

ИКОНОМИЧЕСКИ УНИВЕРСИТЕТ – ВАРНА
ФАКУЛТЕТ ИНФОРМАТИКА

РЕФЕРАТ ПО ДИСЦИПЛИНАТА „БЕЗОПАСНОСТ И ЗАЩИТА“
НА ТЕМА

„Безопасност и защита при използване на
Web-браузъри“

Изготвил: Проверили:
Атанас Георгиев Сянков Доц.д-р Стефан Дражев
Ф.н. 11086, 59 група – Информатика х. Ас. Видилина Кръстева

Атанас Георгиев Сянков ф.н. 11086 гр. 59 специалност Информатика


1. Нуждата от защита

Днес, браузъри като Internet Explorer, Mozilla Firefox и Apple Safari са
инсталирани на почти всички компютри по света. Поради причината, че
браузърът се използва толкова често, е от изключителна важност той да
бъде настроен за сигурно и защитено използване. Често, браузърите, които
идват с инсталираната операционна система по подразбиране на
компютрите не са настроени за безопасно сърфиране в мрежата.
Неподсигуряването на браузъра може да доведе до различни компютърни
проблеми като инсталиране на скрит софтуер без наше знание или опити за
манипулиране на нашата система от трети лица.

В идеални условия, всеки потребител би следвало да може да направи
анализ на това, кой софтуер с останалите програми и по какъв начин с оглед
да се ограничат възможните проблеми, които могат да възникнат. Много от
компютрите идват с инсталиран софтуер и потребителят трябва да може да
направи преценка кое е нужно, кое не. Но практиката показва, че не е
възможно всеки потребител да направи тази експертиза сам.

Главен проблем в наши дни са софтуерни атаки, които използват за
проводник нашия уеб-браузър. Източник на такива проблеми са сайтове,
които разпространяват софтуер от съмнителен произход. Този проблем се
засилва поради следните фактори:
- Много от потребителите кликат линкове, без да се замислят за
последствията от това действие.
- Уеб страниците могат да бъдат замаскирани и да закарат потребителя на
друга нежелана страница.
- Много от уеб-браузърите са настроени по подразбиране да предоставят
производителност за сметка на сигурност.
- Открити нови проблеми след предоставянето на продукт от
производителя.
- Софтуерните пакети включват допълнителни програми, които
подсилват риска от проблеми със сигурността.
- Програми, които зависят от уеб-браузъра може да не са настроени да
получават обновления по сигурността.
- Много сайтове изискват от потребителя да инсталира софтуер за да се
възползва от тяхните възможности, което също допринася за риска.
- Много от потребителите не могат да настройват самостоятелно своя уеб-
браузър.
- Много от потребителите не искат да включват или изключват даден
софтуер, който може да допринесе за проблеми с уеб-браузъра.



2. Функции на уеб-браузъра и рискове

Важно е да разбираме функционалността на нашия уеб-
браузър. Включването на някои функции може да намали нивото
на сигурност. Често, производителите включват и изключват
функции по подразбиране, което ускорява изчислителните
процеси, но това често води до увеличаване на риска за
компютъра.

Злонамерените потребители се стремят да атакуват клиентски
системи (нашият компютър) чрез множество слабости на
системата. Използват тези слабости с цел поемане на контрол
върху системата, кражба на информация, унищожаване на
файлове и използване на компютъра за атаки към други
компютри. Лесният начин за тези атаки е чрез нашият уеб-
браузър. Злонамереният потребител ще създаде съмнителна уеб-
страница, която да инсталира Троянски Кон или шпионски
софтуер, който да краде информация. Това може да стане и чрез
изпращането на имейл със същото съдържание, при чието
отваряне или запазването и употребата на прикачени файлове се
включват същите шпиониращи мини-програми и троянски коне
без знанието на потребителя.

Някои от функциите на уеб-браузърите, които могат да доведат
до проблем:

- ActiveX – технология използвана от Microsoft Internet
Explorer в Windows базирани системи. Той позволява
приложения или части от приложения да бъдат стартирани
чрез уеб-браузъра. Една страница може да използва такива
приложения, които са инсталирани по подразбиране в
системата или да предложи такива за сваляне от интернет.
Това добавя допълнителна функционалност в традиционото
уеб-браузване, но може да доведе до по-сериозни вреди ако не
е имплементирано както трябва.



- JAVA – обектно ориентиран език за програмиране, който
може да се използва за разработката на активно съдържание
за уеб сайтове. Java виртуална машина или JVM се използва
за стартирането на Java код или още наречен „аплет“,
предоставен от уеб сайта. Някои операционни системи идват с
инсталирана по подразбиране JVM, докато други изискват да
се инсталира преди да може да се използва Java. Java аплетите
работят независимо от операционната система. Обикновено
аплетите се изпълняват в “sandbox”, където
взаимоотношението с операционната система е ограничено.
Въпреки това, множество имплементации на JVM съдържат
слабости, които позволяват на аплета да премине през тези
ограничения. Има и такива Java аплети, които могат да
преминат през тези sandbox ограничения, чрез съгласието на
потребителя (signed applets).

- Plug-ins – Плъгините са приложения, които представляват
добавки към уеб-браузъра. Netscape са разработили стандарта
NPAPI за разработването на плъгини, но той се използва от
много уеб браузъри като Firefox и Safari. Плъгините се
инсталират подобно на ActiveX контролите, но не могат да се
използват извън уеб-браузъра.

- Cookies – Или „бисквитки“ са файлове, които съдържат
информация за дадени уеб-страници. Те могат да съдържат
информация за това, кои сайтове са били посетени или да
съдържат лична информация за вход в системите им. Те са
създадени с цел да се отварят само и единствено от сайта,
който ги е създал на диска. Съществуват и сесийни бисквитки,
които се нулират след като бъде затворен сайта както и
постоянни бисквитки, които изчезват само след като изтече
определен срок. Cookies могат да се използват да
идентифицират уникални посетители за даден сайт, което
някои хора считат за нарушение на личните права. Ако един
сайт използва Cookies за автентикация, то злонамереният
потребител може да се сдобие с този Cookie файл и да



използва заложената в него информация за лични
злонамерени цели. Постоянните cookies представляват по-
голям проблем от сесийните, защото съществуват за по-дълъг
период от време.

- JavaScript – Също познат като ECMAScript е скриптов език ,
който се използва за направата на по-интерактивни уеб-
сайтове. Съществуват спецификации в стандарта , които
ограничават определени функции като достъпа до локални
файлове.

- VBScript – друг скрипт базиран език, който е уникален за
Microsoft Internet Explorer. VBScript е подобен на JavaScript, но
не е толкова широко използван, поради ограниченията, които
налага за други браузъри.

Базовата конфигурация на повечето от уеб-браузърите включва
поддържането на скриптове, което може да доведе до множество
слабости:

- Cross-site скриптинг – или още познат като XSS
представлява уязвимост в уеб-страниците, която позволява на
атакуващия потребител да използва данните от
взаимоотношенията на потребителя с даден сайт.

- Cross-zone и Cross-Domain уязвимости – повечето уеб-
браузъри използват модели за сигурност за да предотвратят
даден скрипт в един сайт за да може той да няма достъп до
информация през друг домейн. Уязвимости за тези модели се
използват за да се извършват действия, които принципно
един сайт не може да извърши.

- Избягване на засичане (Detection Evasion) – Анти-
вирус, Intrusion Detection Service (IDS) и Intrusion Prevention
Service (IPS), работят главно чрез преглеждане за специфични
пътеки и дадено съдържание. Ако се открие „known bad”
пътечка, тогава определени действия се извършват с оглед



предпазване на потребителя. Но поради динамичната
природа на програмните езици, скриптирането в уеб-
страниците може да се използва за пренебрегване на такива
защитни ситеми.

3. Начини за защита в уеб-браузърите
Някой софтуерни функции, който предоставят фукционалност
на уеб-браузър, като ActiveX, Java, Scripting (JavaScript, VBS, и
т.н.), също могат да представят уязвимости за компютърната
система. Те могат да са резултат от лоша инплементация, лош
дизайн или неподсигурена конфигурация. Поради тези причини,
потребителят трябва да разбира, кой уеб-браузър какви функции
поддържа и рисковете който носят те. Някой уеб-браузъри
позволяват пълната забрана на такива технологии, а други
позволяват използването им на избран сайт.
Множество уеб-браузъри могат да бъдат инсталирани на
компютъра. Други софтуерни приложения на компютъра, като
имейл клиенти, редактори на документи, и т.н. може да
използват различен браузър от този който се използва по
подразбиране. Също така, файлове с определено разширение,
могат да използват различни браузъри за да се отворят. Много от
програмите не използват същият браузър, който потребителят
използва. Поради тази причина, е важно да се настрой всеки
един браузър който е инсталиран на компютъра. Предимството
на това да имаме няколко браузъра е че можем да използваме
единият за важни операции, като он лайн банкиране, а другият
да се използва за еженевно браузване. Това може да намали
шанса за проявата на уязвимости, който могат да доведът до
загубата на важна информация.
Уеб-браузърите се обновяват често. В зависимост от версията на
софтуера, функциите и опциите,може да се изместят или
променят.



4. Настройка на различните браузъри

Microsoft Internet Explorer

Microsoft Internet Explorer е уеб браузър интегриран в Microsoft
Windows операционни системи. Премахването на това приложение
не е практично. Освен Java, скриптинг и други форми на активно
съдържание, Internet Explorer имплементира ActiveX технологията.
Въпреки, че всяко едно приложение е уязвимо към софтуерни
атаки, е възможно да се използва браузър без поддръжка на ActiveX
контроли, което да намали риска от евентуални проблеми. Но по
подразбиране, това би довело до проблеми с други сайтове, които
изискват ActiveX контрол. Използването на друг браузър няма да
премахне Internet Explorer или други Windows компоненти.

Друг софтуер, тип email клиент, може да използва Internet Explorer,
браузър контрола ActiveX (Web OC) или Internet Explorer render in
engine (MSHTML).

Настройка на IE версия 7 (настройките варират във вида си според
версията)

За да се променят настройките в IE се избира Tools – Internet
Options



В новия прозорец се избира Security таб-а. На този таб се вижда
спектър от зони на сигурност, които IE използва. За всяка от зоните
може да се зададе лична настройка на нивото на сигурност. Като се
кликне Custom Level бутона се отваря прозорец в който се дава
възможност за избор на множество настройки за конкретната зона.
Internet зоната е тази, в която се стартират всички сайтове.
Настройките по сигурността в тази зона важат само за сайтовете в
нея, но не за тези в други зони. Препоръчителното ниво на
сигурност за тази зона е High, което може да се избере от
приложения слайдер. С избирането на ниво на сигурност High
редица от приложения като Java, ActiveX, Active scripting биват
изключени с оглед по-високо ниво на сигурност. Избира се Default
Level и след това със слайдера се прилага ниво High.



За по-задълбочени настройки се избира бутона Custom Level.

Зоната Trusted Sites (доверени сайтове) включва настройки за
сайтове, които потребителя е добавил по свое желание. За да се
добавят или премахнат сайтове от тази зона се избира бутона Sites,
което отваря друг прозорец, който представлява лист с доверени
сайтове и предоставя възможност за взаимодействие. В тази зона
може да се зададе настройка, която да позволява достъпа до сайтове
с потвърдени сертификати за сигурност(HTTPS). Тези сертификати
са гаранция, че сайта, който потребителя посещава е безопасен.



Препоръчително е нивото на сигурност за Trusted Sites, е
препоръчително да бъде настроено на Medium-High (или Medium за
Internet Explorer 6 или по-ранни версии). Когато нивото за Internet
Zone е зададено на High е възможно потребителя да срещне
сайтове, които не функционират пълно заради настройките по
сигурността за тази зона. Точно заради този проблем е включена
Trusted sites зоната. Веднъж включен сайт в Trusted sites,
настройките за него по подразбиране разрешават използването на
ActiveX и Active scripting. Предимството на такъв тип конфигурация
е по-високото ниво на сигурност по подразбиране за IE, като се
създава “whitelist”, със сайтове които евентуално биха получили
допълнителна функционалност, ако е налична такава.

Privacy таб-а съдържа настройки за Cookies. Cookie-тата
представляват текстови файлове, които са създадени на диска от
сайтовете, които потребителя посещава, осъществено директно или
индиректно чрез банери и реклами например. Едно Cookie може да
съдържа каквато информация един сайт реши да запише на
компютъра на потребителя. Най-често се използват за да се следи
компютъра в един сайт, като се запазват лични данни и настройки.
Препоръчително е да се избере Override automatic cookie
handling след като се кликне на бутона Advanced, като след това се
избира Prompt директни и индиректни cookies.



Чрез тази опция всеки път, когато даден сайт се опита да запамети
Cookies на компютъра на потребителя ще се изведе диалогов
прозорец – дали потребителя е съгласен да се извърши подобна
операция. Ако сайтът се опитва да запамети огромен брой файлове
на компютъра, то тогава потребителят следва да избере опцията
Allow Session Cookies, което позволява записването на временни
cookies без нужно съгласие на потребителя. Сесийните Cookies
представля по-малък риск за системата.

Примерен изглед от таб Privacy:



Примерен изглед на Advanced Privacy Settings:

След това, може да се направи логична преценка на това дали е
съмнителен сайта, който потребителя разглежда, дали е съгласен да
запази cookie файловете, които той се опитва да запази на
машината и какво действие да се предприеме (позволение или
блокиране, с опция да се запази по подразбиране отговора на
потребителя за бъдещи Cookie файлове).



Примерен изглед на диалогов прозорец с позволения за Cookie:

При избор на бутона Sites се предоставя възможност да се настроят
cookies за специфични сайтове. Долната част на тази секция
определя домейна на сайта и действието, което да се предприеме
при евентуални заявки за запазване на Cookies от даден сайт на
машината на потребителя. Горната част на прозореца представя
възможност за промяна на тези настройки.



Алтернатива на тези решения за показване на диалогови
прозорци всеки път, когато един сайт се опита да запамети Cookies е
да се използват предварително зададените правила на IE за
сигурността. За да се достъпят се клика бутона Default, последвано
от настройка на слайдера на High. Някои сайтове може да спрат да
функционират при такова ниво на сигурност. В този случай, сайтът
се добавя като изключение за тези правила чрез описаният по-горе
метод.



Таб Advanced съдържа настройки, които са приложени за
всички зони на сигурност. Препоръчително е да се премахне
отметката на Enable third-party browser extensions. Тази опция
включва помощни инструменти и Browser Helper Objects (BHOs).
Докато някои разширения са полезни, те имат и възможността да
нарушат личните данни на потребителя. Пример за това е, че едно
разширение би могло да наблюдава поведението и навиците при
браузване от страна на потребителя или биха могли да променят
части от дадена уеб страница в опит да се доберат до лична
информация.


Internationalized Domain Names (IDN) могат да бъдат
излъгани с цел spoofing на адресите на уеб страниците. Това
спомага за phishing атаки и тяхната по-голяма ефикасност. За да
се защити потребителя от IDN spoofing в internet explorer, той
трябва да приложи настройката Always show encoded addresses.
Това ще накара IDN адресите да се показват в кодирана форма в
адресната лента на IE и неговата статус лента, което ще премахне
визуалната идентичност със spoofing адреса.



Също така се препоръчва изключването на използването на звуци в
уеб-страниците (Play sounds in webpages). Звуците в уеб-страница
като странично съдържание предоставят допълнителен риск за
сигурността и работата с недоверено съдържание. Тази опция не
засяга мултимедия като Adobe Flash или Apple QuickTime.

Под таб Programs е възможно да се зададат приложения по
подразбиране за разглеждане на уеб сайтове, email съобщения и
множество други мрежови задачи. Също така може да се
предотврати появата на въпроса дали потребителя иска IE да бъде
неговият браузър по подразбиране.



Mozilla Firefox

Mozilla Firefox поддържа много функции, подобни на тези на IE с
изключението на ActiveX и модела със зоните на сигурност. Firefox
работи с поддръжката на конфигуруеми политики за сигурност
(CAPS), които приличат на зоните за сигурност в IE, но без
графичен потребителски интерфейс за тяхната настройка.

За да се отворят настройките на Mozilla Firefox се избира от
менюто Tools – Options.

След което се вижда прозорец, в горната част на който се виждат
различните категории и функциите към съотвената категория в
долната част. Първата категория по подразбиране е General. В тази
секция може да се зададе Firefox да бъде браузър по подразбиране.
Препоръчително е да се избере опцията Always ask me where to
save files. Това ще направи явна заявката на някой сайт, който
желае да запише файл на машината на потребителя.



Под секция Privacy съществуват опции за историята на
браузването и cookies. В секцията с историята на браузването е
препоръчително да се изключи опцията Remember what I enter
in forms and search bar. Ако браузъра помни тези опции, това
може да бъде отчетено като нарушение на личните данни, особено
ако браузъра се използва с споделена среда. Също така могат да
бъдат спряни регистрациите на операции по сваляне на файлове и
посетени страници.

В Cookies секцията трябва да се избере опцията „ask me every
time”. По този начин се засилва нивото на сигурност при заявки от
сайтове, които целят запис на cookie файлове на машината на
потребителя.



След запитване(prompt) към потребителя, съдържанието на
дадено Cookie може да бъде разгледано и следователно може да се
избере дали да се забрани, да се позволи за сесията или да се
позволи като цяло. Това предоставя информация на потребителя
относно колко и какви Cookies произлизат от даден сайт и дава по-
молекулярен подход към управлението им. Като се избере опцията
“Use my choice for all cookies from this site” браузърът
запомня избора на потребителяи вече няма нужда от prompt при
всяко влизане в дадената страница. Като се избере опцията „Allow
for session” ще направи cookie-то сесийно и ще го нулира след
като приключи взаимоотношението с даденият сайт. Ако prompt-
ването за всяко cookie идва в повече на потребителя, то той може да
избере опцията „Keep until: I close Firefox”, така браузърът
предотвратява появата на постоянни cookies.


Много уеб-браузъри ще предоставят възможност да се
запаметява login информация. Ако потребителят реши да използва
такава функция, то той трябва да бъде сигурен в защитата на
личните си данни от това приложение.

В секция Security под опция Passwords се предоставят
възможности за контролирането на паролите и Главна
парола(Master Password), която позволява криптиране на
информацията в системата.

Опцията „Warn me when sites try to install add-ons” показва
warning лента в горната част на браузъра, когато даден уеб-сайт се
опита да инсталира разширения към него.



Категорията Content съдържа опция, позволяваща Java. Чрез
Java, определен сайт има възможността да инициализира
изпълнението на дадена програма на потребителската машина.
Препоръчително е тази опция да се изключи, освен ако не се
изисква от сайта, който потребителя е сигурен, че иска да достъпи.
След като се приключи работата със сайта е препоръчително
опцията да се изключи отново.

В менюто, което се достъпва от бутона Advanced могат да се
изключат специфични JavaScript приложения. Препоръчително е
да се изключат всички опции в този прозорец.



Категорията Content предоставя опция за модифициране на
действията по сваляне на файлове. Когато за даден файлов тип е
зададено да се стартира с дадено приложение по подразбиране,
това може да увеличи риска при използване на браузъра.
Уязвимостите в тези приложения се откриват по-лесно от
злонамерените потребители, когато са зададени да се стартират
автоматично след изтегляне. При клик на бутона Manage може да
се настроят различните файлови типове и как Firefox подхожда към
тях.



Диалоговият прозорец с действия по свалянето на файлове
показва текущите конфигурирани действия, които браузъра да
извършва, когато срещне такъв файл. За всяко едно от действията
може да се избере опция Remove Action / Change Action в
зависимост от желанието на потребителя да премахне това действие
или да промени текущото.



Поради факта, че Firefox не притежава лесни за настройване
зони на сигурност като IE, би било трудно да се определят тези
настройки за отделни сайтове. Примерно един потребител би
желал да включи JavaScript за специфичен, доверен сайт, но би
искал да запази забраната за всички останали. Тази
функционалност може да се добави към Firefox посредством
разширение като NoScript. След като се инсталира това
разширение, JavaScript ще бъде изключен за всички сайтове по
подразбиране. Разрешаването на JavaScript за даден сайт, става
чрез клик върху иконата на разширението, която отваря меню. Чрез
това разширение, скриптовете могат да се разрешат за временно
или по-продължително ползване.



На Plugins таб е препоръчително да се изберат следните опции:



Google Chrome

Настройките по сигурността в Google Chrome са най-улеснени от
потребителска гледна точка. За да се достъпят настройките се
избира бутона на главното меню ( ), след което се избира Settings
- Advanced Settins.

След това се отива на секцията Privacy, която предоставя
потребителско-ориентиран графичен интерфейс. Chrome
предоставя опции за контрол върху съдържанието и както Firefox,
предоставя възможност за изчистване на browsing информацията
на потребителя.



Chromе показва предупредителни съобщения във формата на уеб
страница, преди да бъде достъпена страницата, която потребителя
се опитва да достъпи, ако при нея бъдат установени евентуални
проблеми. Всичко това, благодарение на активираната технология
за безопасно сърфиране.

Chrome предлага контрол върху Cookies, също като IE и Firefox
през опцията Content Settings , също така предлага контрол върху
JavaScript, Plug-ins и Pop-Ups.

Тъй като Chrome използва безопасна виртуална среда
(sandboxing), той не позволява злонамерен софтуер да се инсталира
на компютъра на потребителя или да позволи случващото се в един
таб на браузъра да повлияе на това в друг.



Статистика за браузърите с най-висока
сигурност 2013

Към днешна дата, най-сигурният браузър е Google Chrome с
оценка 9.85 от 10, последван от Mozilla Firefox на второ и Internet
Explorer на трето място.



Съдържание

1. Нужда от защита

2. Функции на уеб-браузъра и рискове
2.1 ActiveX
2.2 JAVA
2.3 Plugins
2.4 Cookies
2.5 JavaScript
2.6 VBScript
2.7 Cross-Site Scripting
2.8 Cross-Zone
2.9 Cross-Domain
2.10 Detection-Evasion

3. Начини на защита в уеб-браузърите

4. Настройка на различните браузъри
4.1 Microsoft Internet Explorer
4.2 Mozilla Firefox
4.3 Google Chrome

5. Статистика за браузърите с най-висока сигурност за 2013


11086 browser-security

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (20)

Similar to 11086 browser-security

Similar to 11086 browser-security (16)

11086 browser-security