חדש במימון גוגללימוד אבטחת הדפדפןעל ידי חברת מחקר האבטחה Accuvant Labs הכתיר את כרום אלוף תכונות האבטחה, ודירג את Firefox מתחת ל-Internet Explorer מבחינת ההגנה הזמינה מפני איומים הנישאים באינטרנט. כצפוי, למיקרוסופט ול-Mozilla יש דעות שונות לגבי מה הופך דפדפן לאבטח, ומדוע הממצאים של Accuvant אינם בסיסיים. כל זה גרם לנו לחשוב איזה דפדפן הוא המאובטח ביותר, והאם תכונות האבטחה המפורטות במחקרים כמו זה בכלל חשובות לכולנו.
כיצד בוצע המחקר?
Accuvant בחנה שלושה דפדפנים לצורך המחקר: Mozilla Firefox, Google Chrome ו-Microsoft Internet Explorer. שלושתם נבדקו ונבדקו פועלים ב-Windows 7 של 32 סיביות, והמחקר הסתיים ביולי 2011, כך שגרסאות המהדורה הנוכחיות של כל דפדפן באותה תקופה היו אלה שנכללו בדוח. Accuvant אומר שהם השאירו דפדפנים אחרים, כמו Safari ו-Opera, כדי לחסוך זמן, אבל הם מתכננים לעדכן את הממצאים שלהם בשלושת הגדולים ככל שיהיו יותר נתונים זמינים וכל בית פיתוח ישתפר באפליקציה שלהם.
המחקר של Accuvant על אבטחת הדפדפן הוא כנראה המקיף ביותר שבוצע עד כה, למרות שדפדפנים ומערכות הפעלה אחרות לא נכללו. החוקרים ישמחו לספר לכם שהם מסתכלים לעומק יותר מאשר עוקבי באגים ורשימות נקודות תורפה, ומנסים לקבל קצת יותר מידע על מה שהופך דפדפן לאבטח או פגיע לאיומים - הן הנוכחיות והן בעתיד. חלק מהמאמץ הזה הוביל את החוקרים לבחון כיצד כל דפדפן פעל כאשר לפורץ כבר הייתה גישה למכונה עם כל דפדפן מותקן, וכמה מידע הם יכולים להשיג.
מה מצא המחקר?
חוקרים מקורבים קבעו שלגוגל כרום יש את תכונות האבטחה החדשות והיעילות ביותר שמטרתן להגן על המשתמשים מפני קוד זדוני וסקריפטים המוטמעים בדפי אינטרנט, או שהורדו ובוצעו באופן אוטומטי כחלק מהאתרים שבהם הם מבקרים. הם בחנו שלושה תחומים עיקריים:
ארגז חול, או השיטה שבה דפדפן מגביל את הגישה למשאבי המערכת ולנתונים מעבר לגבולות הדפדפן, הייתה תחום אחד של הבדל משמעותי. חוקרים גילו שכרום היה היעיל ביותר מבין שלושת הדפדפנים בהרחקת פולש מנתונים פרטיים שאינם קשורים לדפדפן. ל-Internet Explorer יש גם תכונות של ארגז חול, אך חוקרים טענו שלפולשים ניתנות ליכולות מסוימות של קריאת קבצים, גם אם הם מנועים מלהתקין תוכנה. פיירפוקס, לעומת זאת, פשוט רשום כ"לא מיושם או לא יעיל".
התקשות בדיוק בזמן (JIT)., שמונע מהדפדפן להרכיב JavaScript שלא ניתן להריץ במחשב המשתמש, היה תחום נוסף שבו כרום ו-IE היו בשוויון נפש, אך פיירפוקס נקלע הרחק מאחור.
אבטחת פלאגיןהיה תחום נוסף שבו Chrome התעלה מעל המתחרים שלו, ומנע מהפעלת יישומי פלאגין מהתקנת תוכנות נוספות ומהרצת סקריפטים שאינם דורשים אינטראקציה של משתמשים בזמן שהוא באתר אינטרנט.
בכל שלושת התחומים, Chrome יצא בראש. החוקרים קשרו את Chrome עם Internet Explorer ב-Sandboxing ו-JIT Hardening, אך מציינים שכרום היה קצת יותר טוב בשני התחומים. בכל שלושת התחומים, Firefox קיבל את הציונים הנמוכים ביותר. עם זאת, בתחומים אחרים, כל שלושת הדפדפנים התחברו, ובאזור אחד לפחות, רשימה שחורה של כתובת אתר, כל שלושת הדפדפנים קיבלו ציונים גרועים, אם כי החוקרים שוב ציינו שכרום הצליח יותר משני האחרים - רק שאף אחד מהם לא עשה רשימה שחורה במיוחד טוֹב.
בסופו של דבר, החוקרים של Accuvant העניקו לכרום את המקום הראשון, עם Internet Explorer ממש מאחוריו. הם הצביעו על היכולת של גוגל לבנות את כרום מהיסוד, מאפס, מבלי להתמודד עם קוד מדור קודם או קרן נעליים ביכולות ישנות יותר כפי שיש למיקרוסופט ומוזילה עם Internet Explorer ו-Firefox. בעיקרו של דבר, על פי צוות המחקר, Chrome הוא המאובטח ביותר מכיוון שגוגל הצליחה לכתוב אותו עם פרספקטיבה חדשה ואבטחה בראש, ללא מטען לקחת.
מה אומרות מוזילה ומיקרוסופט על זה?
מנהל פיתוח פיירפוקס של מוזילה, ג'ונתן נייטינגייל, הגיב למחקר בבמאמר בפורבס, ואמר "Firefox כולל מגוון רחב של טכנולוגיות לחסל או לצמצם איומי אבטחה, מתכונות ברמת הפלטפורמה כמו רנדומיזציה של מרחב כתובות ועד למערכות פנימיות כמו מערכת הרעלת מסגרת הפריסה שלנו. ארגז חול הוא תוספת שימושית לארגז הכלים הזה שאנחנו חוקרים, אבל אין טכנולוגיה היא כדור כסף. אנו משקיעים באבטחה לאורך תהליך הפיתוח עם ביקורות קוד פנימיות וחיצוניות, בדיקות וניתוח מתמיד של קוד רץ, ותגובה מהירה לבעיות אבטחה כאשר הן מופיעות גאים במוניטין שלנו בתחום האבטחה, וזה נשאר בראש סדר העדיפויות של Firefox."
באופן דומה, מיקרוסופט הצביעה עלמחקר של NSS Labsשהראה ש-Internet Explorer שולט בכל מתחריו - כולל פיירפוקס וכרום - בהגנה על מערכות משתמשים מפני תוכנות זדוניות. עם זאת, בדיוק כפי שמחקר Accuvant נערך בחסות והזמנת גוגל, המחקרים של NSS Labs משולמים לרוב על ידי מיקרוסופט, כך שיש הרבה ספקנות.
עד כמה המחקר נטול פניות?
Accuvant היא חברת אבטחה ומחקר מכובדת, והם עשו מאמצים רבים כדי לעשות לא רקהטקסט המלא של המחקר זמין, אלא גםהכלים בהם נעשה שימוש והנתונים התומכים מאחורי המחקרלמקרה שחוקרים אחרים ירצו לבחון את הממצאים שלהם.
גוגל ו-Accuvant הסבירו שתיהן שלמרות שהזמינו את המחקר, הן ידעו שאם התוצאות יהיו לטובתן, עובדה זו תטיל ספק ביתרונות התוצאה. אקוונט הסבירבמאמר ב-Ars Technicaשגוגל נתנה להם יותר ממקום רחב לביצוע המחקר, והתעקשה שהמחקר יהיה מבט חסר פניות על מצב אבטחת הדפדפן. Accuvant מצדה גם שמה על הדעת את המוניטין שלה, בטענה שהמחקר מייצג את החברה שלהם ואת איכות העבודה שלה, והם עומדים מאחוריו.
האם גוגל הייתה כל כך פתוחה לגבי היותו עצמאי של המחקר מכיוון שהם הכירו את מתודולוגיית הבדיקה ואת העובדה שבסיס הקוד שלהם שם אותם ביתרון זה כבר סיפור אחר, אבל נכון לעכשיו, אף אחד לא מבקר את התוצאות או המתודולוגיה של Accuvant. עם זאת, השאלה האמיתית היא כמה צריך לדאוג לך או לי?
האם משהו מזה משנה? מה עלי לעשות?
בסופו של דבר, המחקר חשוב, אבל סיכת הלינץ' האמיתית של אבטחת הדפדפן היא - ותמיד הייתה - המשתמש מאחורי המקלדת. ייתכן ש-Chrome נמצא בפסגה כעת, אך מיקרוסופט ומוזילה יבצעו שינויים בכתובת כתוצאה מהממצאים. המתודולוגיה של Accuvant מניחה שהמערכת שלך נפגעת, וגם מניחה שאין לך הגנה אחרת מלבד תכונות האבטחה של הדפדפן עצמו כדי להגן עליך, ששתיהן לא נכונות לרוב המשתמשים. בינתיים, המחקר הזה ישמש בסופו של דבר כבשר תותחים במלחמות הדפדפן, כאשר מעריצי דפדפן אחד יירו אותו לעבר של אחר מבלי לטרוח לקרוא אותו.
לרוב, אבטחת הדפדפן היא עניין של אחריות המשתמש. ודא שאתה גולש באחריות, והשתמש ב-SSL במידת האפשר. אל תקבל, הרץ או אפילו תוריד שום דבר אם אינך בטוח מהו או מדוע התבקשת להוריד קובץ, ושמור רק על ההרחבות והתוספות פועלות שאתה צריך על בסיס יומי.
משתמשי Firefox יכולים להשתמש בהרחבות כמוHTTPS בכל מקוםלגלוש מאובטח בכל פעם שהפעלה מאובטחת זמינה ובשירותים המאפשרים לך להפעיל SSL ולהשתמש בתוסף כמוNoScriptלעצור את JavaScript זדוני בדרכו. משתמשי Chrome יכולים לקבל פונקציונליות דומה עם תוספות כמוNotScriptאוֹמס' תסריט, שעושים דברים מאוד דומים. בסופו של דבר, תכונות האבטחה של הדפדפן רק מרחיקות לכת כדי להגן עליך, וכל עוד אתה נוקט בגישה זהירה, סקפטית וממוקדת אבטחה לגלישה, סביר להניח שלא ישנה באיזה דפדפן אתה משתמש.
מה דעתך על ממצאי המחקר? יותר תחמושת למלחמות הדפדפן, או שזה בעצם מייחד את Chrome או את Firefox למטה? שתף את המחשבות שלך בתגובות למטה.
