Исследование, проводившееся с января 2007 года по июнь 2008 группой ученых из Швейцарского технологического института, совместно с коллегами из IBM и Google (такие компании, вряд ли просто так будут проводить такие исследования) показало, что только 59.1% пользователей интернета (83.3% - Firefox, 65.3% - Safari, 56.1% - Opera, 47.6% - Internet Explorer) пользуются последней версией браузера со всеми установленными обновлениями.
Остальные же, как не странно, предпочитают игнорировать растущую угрозу, исходящую от злоумышленников (читай хакеров).
Проведенное исследование, является одним из самых всесторонних (на наш взгляд, господа проделали огромную работу) исследований того, какие версии Web-браузеров пользователи используют в сети Интернете.
Web-браузеры – слабое звено в цепочке безопасности, поскольку уязвимость (возможность проникновения в систему клиента) может облегчить для хакеров получение контроля над PC. Когда это случается, хакеры могут совершить злонамеренные действия, такие как воровство ценных данных, или, что еще «веселее», превратить PC пользователя в «беспилотный самолет», рассылающий спам (причем пользователь об этом узнаёт далеко не сразу, а может даже ему об этом скажут).
Как выяснили ученые, хотя производители программного обеспечения (ну всяких Firefox, IE, Opera, Safari) своевременно (порой оперативность поражает) выпускают обновления своих программ, могут потребоваться дни, недели, или даже несколько месяцев, прежде чем пользователи обновят свои программы (хмм, это вот не радует, хотя кто из нас не оставлял на потом вчерашнюю работу?). Одним словом, все забывчивые/ленивые/самоуверенные/жалкотрафика пользователи.
Но это не только ошибка пользователей, так как продавцы Web-браузера не сделали возможность обновлений простым процессом, сказал Stefan Frei, докторант Швейцарского технологического института (это один из авторов данного отчета). Web-браузер, все еще довольно молодая технология (это опять слова Stefan Frei).
Во время исследования, использовались данные, предоставленные компанией Google, чтобы узнать, количество пользователей Firefox, Оперы и Сафари.
Почему нет Internet Explorer от Microsoft? Только по тому, что IE сообщает Web-серверу, какую версию использует пользователей (нет в ответе IE версий патчей или версии билда), то есть только два варианта ответа WEB-серверу: IE6 или IE7.
В данном случае исследователи полагались на данные от людей, которые установили специальную программу на свой PC, названном Личным Программным Инспектором, от датской компании по информационной безопасности Secunia, которая может показывать точную версию IE, сказал Frei.
Итог данного исследования таков, что только пользователи Firefox (изучалась только версия 2) оказались близки к идеалу безопасности (смахивает на продолжение пиар акции)…
Многим интересно, почему не Opera?
Ответ тоже можно найти в оригинале статьи, но если вкратце то, для обновления Opera, необходимо зайти на WEB-сайт Opera и вручную скачать новую версию.
А вот в Firefox, если не изменять настройки по умолчанию, то он сам проверит, скачает и установит актуальные обновления.
Но не только устаревшая версия браузера может стать причиной хакерской атаки на компьютер пользователя.
Плагины (подключаемые модули), как средство расширения функциональности, вызывают очень серьезное беспокойство исследователей.
Такие технологии, как Flash, QuickTime, Java и другие по статистике содержат 89.4% уязвимостей, причем, в зависимости от количества установленных плагинов, эта цифра может быть еще выше.
Проблема с их обновлением (плагинов), стоит еще более остро т.к. нет стандартного интерфейса проверки и загрузки новых версий. А из-за того, что эти расширения выпускаются разными производителями, методы обновлений тоже используются разные, что дает возможность оставить без внимания критическую брешь в системе защиты.
Что бы помочь в борьбе со стремительно развивающейся угрозой безопасности для обычных пользователей со стороны интернет-хакеров, ученые рекомендуют расширить общепринятую для продуктов питания концепцию «годен до...» и на программное обеспечение.
Идея заключается, в том, что на панели браузера, на видном месте, будет высвечиваться надпись о том, сколько времени программа не обновлялась и какое количество обновлений сейчас доступно для скачивания.
Использование поля USER-AGENT специализированными интерактивными аплетами поможет встроить такую функциональность напрямую в веб-сайты. В этом случае пользователь, ищущий, например, информацию с помощью Google, прежде чем увидеть результаты своего поиска, невольно (по задумке авторов) обратит внимание на то, в каком состоянии находится его браузер, и возможно, даже нажмет на ссылку для скачивания последнего обновления.
Хотя на наш взгляд, где гарантия того, что, специально созданные сайты не будут использовать такой функционал в своих целях?
Перевод данной статьи сделан на скорую руку и естественно оригинал содержит более обширную и более детальную информацию.
И буквально только что, нашел интересное:
Михаил Залевский (Michal Zalewski) объявил об открытии исходных текстов Ratproxy, средства для пассивной проверки безопасности web-приложений под лицензией Apache 2.0, используемого внутри компании Google.
В отличии от активных сканеров безопасности, осуществляющих проверку через симулирование атаки, ratproxy реализован в виде прокси-сервера, пассивно пропускающего через себя трафик и выявляющего активность представляющую угрозу безопасности пользователя.
Например, определяется обращение к страницам, зараженным различными троянскими вставками (JavaScript блоками заражающими машины через уязвимости в web-браузерах), попытки выполнения межсайтового скриптинга (XSS), XSRF и другие виды атак.
Ratproxy поддерживает анализ SSL трафика, декомпиляцию Flash ActionScript на лету, сборку разбитых на куски Javascript блоков, генерацию наглядных отчетов в HTML формате.
Исследование Консорциума безопасности web-приложений (Web Application Security Consortium) показало, что из выборки в 31373 сайтов, 85.57% содержали возможность межсайтового скриптинга, 26.38% позволяли осуществить внедрение кода в SQL запросы и 15.70% имели проблемы, которые могли привести к утечке информации.
Вот такие вот циферки…
А любители Opera, могут начать качать обновление Opera 9.51 (заходим на сайт Opera и повторно качаем весь дистрибутив)…
Релиз Opera 9.51 содержит исправления ошибок, а также улучшена возможность перетаскивания табов, устранены недоработки нового визуального оформления, добавлена 64-разрядная сборка для Linux, исправлены проблемы при работе с "Yahoo! Mail" и с web-редакторами на базе TinyMCE 2.1.
В Opera 9.51 устранены уязвимости:
Проведенное исследование, является одним из самых всесторонних (на наш взгляд, господа проделали огромную работу) исследований того, какие версии Web-браузеров пользователи используют в сети Интернете.
Web-браузеры – слабое звено в цепочке безопасности, поскольку уязвимость (возможность проникновения в систему клиента) может облегчить для хакеров получение контроля над PC. Когда это случается, хакеры могут совершить злонамеренные действия, такие как воровство ценных данных, или, что еще «веселее», превратить PC пользователя в «беспилотный самолет», рассылающий спам (причем пользователь об этом узнаёт далеко не сразу, а может даже ему об этом скажут).
Как выяснили ученые, хотя производители программного обеспечения (ну всяких Firefox, IE, Opera, Safari) своевременно (порой оперативность поражает) выпускают обновления своих программ, могут потребоваться дни, недели, или даже несколько месяцев, прежде чем пользователи обновят свои программы (хмм, это вот не радует, хотя кто из нас не оставлял на потом вчерашнюю работу?). Одним словом, все забывчивые/ленивые/самоуверенные/жалкотрафика пользователи.
Но это не только ошибка пользователей, так как продавцы Web-браузера не сделали возможность обновлений простым процессом, сказал Stefan Frei, докторант Швейцарского технологического института (это один из авторов данного отчета). Web-браузер, все еще довольно молодая технология (это опять слова Stefan Frei).
Во время исследования, использовались данные, предоставленные компанией Google, чтобы узнать, количество пользователей Firefox, Оперы и Сафари.
Почему нет Internet Explorer от Microsoft? Только по тому, что IE сообщает Web-серверу, какую версию использует пользователей (нет в ответе IE версий патчей или версии билда), то есть только два варианта ответа WEB-серверу: IE6 или IE7.
В данном случае исследователи полагались на данные от людей, которые установили специальную программу на свой PC, названном Личным Программным Инспектором, от датской компании по информационной безопасности Secunia, которая может показывать точную версию IE, сказал Frei.
Итог данного исследования таков, что только пользователи Firefox (изучалась только версия 2) оказались близки к идеалу безопасности (смахивает на продолжение пиар акции)…
Многим интересно, почему не Opera?
Ответ тоже можно найти в оригинале статьи, но если вкратце то, для обновления Opera, необходимо зайти на WEB-сайт Opera и вручную скачать новую версию.
А вот в Firefox, если не изменять настройки по умолчанию, то он сам проверит, скачает и установит актуальные обновления.
Но не только устаревшая версия браузера может стать причиной хакерской атаки на компьютер пользователя.
Плагины (подключаемые модули), как средство расширения функциональности, вызывают очень серьезное беспокойство исследователей.
Такие технологии, как Flash, QuickTime, Java и другие по статистике содержат 89.4% уязвимостей, причем, в зависимости от количества установленных плагинов, эта цифра может быть еще выше.
Проблема с их обновлением (плагинов), стоит еще более остро т.к. нет стандартного интерфейса проверки и загрузки новых версий. А из-за того, что эти расширения выпускаются разными производителями, методы обновлений тоже используются разные, что дает возможность оставить без внимания критическую брешь в системе защиты.
Что бы помочь в борьбе со стремительно развивающейся угрозой безопасности для обычных пользователей со стороны интернет-хакеров, ученые рекомендуют расширить общепринятую для продуктов питания концепцию «годен до...» и на программное обеспечение.
Идея заключается, в том, что на панели браузера, на видном месте, будет высвечиваться надпись о том, сколько времени программа не обновлялась и какое количество обновлений сейчас доступно для скачивания.
Использование поля USER-AGENT специализированными интерактивными аплетами поможет встроить такую функциональность напрямую в веб-сайты. В этом случае пользователь, ищущий, например, информацию с помощью Google, прежде чем увидеть результаты своего поиска, невольно (по задумке авторов) обратит внимание на то, в каком состоянии находится его браузер, и возможно, даже нажмет на ссылку для скачивания последнего обновления.
Хотя на наш взгляд, где гарантия того, что, специально созданные сайты не будут использовать такой функционал в своих целях?
Перевод данной статьи сделан на скорую руку и естественно оригинал содержит более обширную и более детальную информацию.
И буквально только что, нашел интересное:
Михаил Залевский (Michal Zalewski) объявил об открытии исходных текстов Ratproxy, средства для пассивной проверки безопасности web-приложений под лицензией Apache 2.0, используемого внутри компании Google.
В отличии от активных сканеров безопасности, осуществляющих проверку через симулирование атаки, ratproxy реализован в виде прокси-сервера, пассивно пропускающего через себя трафик и выявляющего активность представляющую угрозу безопасности пользователя.
Например, определяется обращение к страницам, зараженным различными троянскими вставками (JavaScript блоками заражающими машины через уязвимости в web-браузерах), попытки выполнения межсайтового скриптинга (XSS), XSRF и другие виды атак.
Ratproxy поддерживает анализ SSL трафика, декомпиляцию Flash ActionScript на лету, сборку разбитых на куски Javascript блоков, генерацию наглядных отчетов в HTML формате.
Исследование Консорциума безопасности web-приложений (Web Application Security Consortium) показало, что из выборки в 31373 сайтов, 85.57% содержали возможность межсайтового скриптинга, 26.38% позволяли осуществить внедрение кода в SQL запросы и 15.70% имели проблемы, которые могли привести к утечке информации.
Вот такие вот циферки…
А любители Opera, могут начать качать обновление Opera 9.51 (заходим на сайт Opera и повторно качаем весь дистрибутив)…
Релиз Opera 9.51 содержит исправления ошибок, а также улучшена возможность перетаскивания табов, устранены недоработки нового визуального оформления, добавлена 64-разрядная сборка для Linux, исправлены проблемы при работе с "Yahoo! Mail" и с web-редакторами на базе TinyMCE 2.1.
В Opera 9.51 устранены уязвимости:
- Доступ к случайным областям памяти браузера через передачу некорректных параметров в элементе canvas;
- Возможность организации выполнения кода злоумышленника, при открытии специальным образом оформленной страницы. Уязвимость проявляется только на платформе Windows.
- Проблема обработки сертификатов безопасности на этапе проверки на наличие обновлений.
Часть данной статьи сокращенный перевод и компиляция на основе открытых источников.
| < Предыдущая | Следующая > |
|---|
