Уязвимости Internet Explorer зачастую получают широкий резонанс, давая повод злопыхателям объявить браузер дырявым. Так, в начале 2010 года активно обсуждалась уязвимость Hydraq (Aurora). С ее помощью злоумышленники провели атаку против сотрудников Google (почему-то пользовавшихся IE, а не родным Chrome :). В том случае удар был нацелен на конкретных людей, а эксплуатировалась доселе неизвестная уязвимость браузера.
Однако Internet Explorer – далеко не лидер по количеству обнаруженных недостатков в системе безопасности, причем не первый год.
Количество уязвимостей
Специалисты Symantec несколько лет ведут свою статистику обнаруженных в браузерах уязвимостей, даже если их не признают таковыми разработчики. На диаграмме видно, что в последние два года IE не являлся лидером по количеству изъянов в системе безопасности.
Год назад с большим отрывом «первенствовал» Firefox, а в 2010 году всех «победил» Chrome. Скорее всего, на результаты повлияло то, что Google официально платит за каждую обнаруженную уязвимость в системе безопасности своего браузера до нескольких тысяч долларов США.
В целом, аналитики Symantec отмечают увеличение количества обнаруженных уязвимостей в продуктах компаний, оплачивающих услуги исследователей. Mozilla, между прочим, тоже вознаграждает за найденные «дырки» в Firefox, но его движок постарше и получше вылизан, а в Chrome уязвимости пока проще найти.
Если смотреть исключительно на количество уязвимостей и объявлять IE дырявым, то как в таком случае охарактеризовать Firefox и Chrome? Первый, наверное, должен называться решетом, авторой – ситом? :)
Обновляйте браузер!
На самом деле, сравнение браузеров по количеству «дырок» не дает полной картины. Исследователи не разглашают уязвимости, если они сотрудничают с разработчиками. Поэтому о большинстве из них мир узнает уже при выходе обновленной версии браузера. И тем важнее ее устанавливать!
Однако есть публичные уязвимости, которые могут быть не закрыты, и злоумышленники их очень любят.
Быстрота устранения уязвимостей
В общем, создатели браузеров довольно оперативно устраняют уязвимости, узнав о них. Специалисты Symantec подсчитали, сколько дней в среднем требуется разработчикам, чтобы устранить недостатки в безопасности браузера, объявленные публично.
Столь скромные цифры у всех браузеров объясняются тем, что о многих уязвимостях объявляют одновременно с выпуском заплатки, поэтому по методологии Symantec на устранение требуется ровно 0 дней. Такие случаи преобладают, поскольку исследователи, желающие официально заработать деньги на обнаруженных уязвимостях, конфиденциально ставят в известность компанию, позволяя ей устранить недостатки.
В 2010 году уязвимости в Internet Explorer в среднем закрывались дольше, чем в других браузерах. И хотя для 47 уязвимостей в среднем 4 дня на устранение выглядят не очень страшно, одну из них закрывали 125 дней, что не могло не подпортить статистику браузеру Microsoft. Но и это не рекорд!
Любопытно, что Safari с таким громадным окном для одной уязвимости умудрился в среднем уложиться меньше чем в одну в день. Видимо, остальные бреши латали очень быстро, в том числе и с помощью Chrome (у браузеров общий движок WebKit).
Впрочем, эти цифры не отражают степень опасности уязвимости. Высоко опасные и критические изъяны в системе безопасности не держат открытыми по 4 – 9 месяцев, хотя и там есть над чем работать.
Обновляйте браузер автоматически!
Длинные интервалы при закрытии публичных уязвимостей неприятны тем, что их включают в наборы для атаки. К моменту закрытия уязвимости в сети уже могут циркулировать различные обертки для ее эксплуатации. Откладывая обновление браузера, вы сильнее рискуете!
Chrome обновляется сам, даже не заостряя на этом внимание пользователя. Opera и Firefox при стандартных настройках сразу устанавливают обновления, а Internet Explorer обновляется через Windows Update, что рекомендуется автоматизировать. Таким образом, от вас не требуется усилий, чтобы поддерживать браузер в актуальном состоянии.
Уязвимости 0-day
Еще один важный аспект безопасности браузеров – уязвимости, которые втайне от всех эксплуатируются для атаки на конкретного человека или компанию. Они могут оставаться вне досягаемости радаров специалистов и разработчиков до тех пор, пока дело не получит огласку или достаточно большое число компьютеров попадет под удар.
Увеличить рисунок
Уязвимости 0-day в браузерах и других программах (данные Symantec, 2010 год)
По данным Symantec, в 2010 году во всех программных продуктах было выявлено 14 таких уязвимостей, причем на долю браузеров пришлось четыре. Три из них нашлись в Internet Explorer (в том числе, Hydraq/Aurora), хотя одна из них не затрагивала IE8. На их закрытие у Microsoft уходило 7, 21 и 41 день (долго!). Четвертая уязвимость 0-day была обнаружена в Firefox (Belmoo backdoor), и ее устранили уже через день после обнаружения.
Применяйте комплексную защиту!
Исправить уязвимость браузера могут только его разработчики. Пока нет заплатки, остается полагаться на другие уровни защиты. Уязвимость – это щель, в которую может проникать вредоносный код. Нейтрализовать его призваны антивирусные и антишпионские программы, а наиболее успешно противостоят уязвимостям 0-day системы класса HIPS (например, DefenseWall).
Если они не справятся, еще остается шанс минимизировать ущерб за счет технологий безопасности Windows. Так, Internet Explorer при включенном контроле учетных записей работает в защищенном режиме. Это означает, что браузер и запущенные из него процессы не могут изменять существующие параметры реестра и файлы. Другими словами, повышается устойчивость операционной системы к заражениям.
Статистика посетителей OSZone.net
Я предлагаю вам взглянуть на расклад по браузерам у посетителей OSZone.net за неделю с 11 по 17 апреля. Даты были выбраны так, чтобы захватить новые версии популярных браузеров – с момента выхода Chrome 10 прошло пять недель, IE9 был доступен уже месяц, а Firefox 4 — три недели. Данные вполне репрезентативны, поскольку они основаны на 700 тысячах посетителей (я исключил неизвестные версии браузеров и слегка сгруппировал данные).
Распределение по браузерам аудитории компьютерного портала OSZone.net
для каждой версии указана доля в группе (данные mail.ru за апрель 2011 г.)
На основе этих данных трудно сделать вывод о наличии уязвимостей в браузерах посетителей, но кое-какая информация наводит на размышления.
Opera
16% пользователей браузера не удосужились обновить его до версии 11, на что у них было почти четыре месяца. Как результат, они выходят в Интернет с несколькими уязвимостями, как минимум одна из которых имеет высокую степень опасности.
Firefox
Многие приверженцы Firefox не спешат обновлять любимый браузер. На диаграмме картина через три недели после выхода Firefox 4, а еще через недели его доля была уже 50% против 42% у 3.6.
При этом 3% пользователей точно работают с известными уязвимостями, а про версии 3.5.х и 3.6.х ничего нельзя сказать с уверенностью. На них можно установить исправления безопасности, не обновляя браузер, но почему-то меня терзают смутные сомнения в поголовной актуальности этих версий.
Chrome
Браузер Google наплодил столько версий, что разобраться в них непросто. Во-первых, версии 11 и 12 на диаграмме – это предварительные выпуски (финальная версия 11 появилась позже). Во-вторых, после выхода первой стабильной версии 10 было еще два обновления, которые закрыли 7 уязвимостей высокой степени опасности. Статистика mail.ru не дает достаточной степени детализации по версиям. Но даже и без учета этих данных 12.5% пользователей Chrome работают в старых версиях с огромным количеством уязвимостей.
Любопытно, что Chrome – единственный браузер, увеличивший свою долю на OSZone за год, если сравнить с прошлогодним раскладом. В основном, он завоевал сердца пользователей IE и Firefox.
Internet Explorer
Несмотря на явные улучшения в IE8, 21% пользователей браузера Microsoft до сих пор доверяются версиям 6 и 7. Остается только гадать, установлены ли для них многочисленные заплатки. Заметьте, что на IE6 до сих пор сидит каждый десятый пользователь браузера Microsoft. Не случайно, в Microsoft главным соперником IE9 считают IE6!
Доля IE9 пока невелика, но на Windows XP до сих пор сидит больше половины посетителей сайта, которым IE9 не светит. Опять же, статистика mail.ru не дает возможности посмотреть процент пользователей IE9 на Windows 7, но в моем блоге их уже почти в 1.5 раза больше, чем оставшихся на IE8!
Общая картина
За последний год аудитория OSZone не слишком изменила своим привычкам. Если считать устаревшими версии ниже IE8, Chrome 9, Firefox 3.6 и Opera 10, то на день написания статьи ими пользуется 11% человек. Для старых версий IE и Firefox теоретически могут быть установлены все заплатки, но даже если это так, концептуально они уже сильно отстали с точки зрения безопасности.
Спустя не меньше полутора месяцев после выхода новой версии любого из браузеров, таковой еще не имеют 38% человек. С последней версией браузера на компьютерный портал приходит лишь 62% процента аудитории.
А ведь у нас все увешано новостями и статьями о новых версиях браузеров!
На других сайтах картина еще хуже – это показывает даже беглый осмотр статистики, например, Мой Мир @Mail.Ru. А это значит, что у злоумышленников еще достаточно возможностей попортить кровь неопытным интернетчикам.
И какой же браузер безопаснее?
Если говорить исключительно об уязвимостях браузеров, то очевидно одно – чтобы у вас был самый безопасный браузер, его надо обновлять автоматически и страховать защитной программой. Вероятность попасть под уязвимость 0-day намного ниже, чем поймать что-то в устаревшем браузере.
Количество же уязвимостей не играет особой роли, тем более, что бреши в защите браузеров закрываются более-менее оперативно. Так, в Chrome больше всего уязвимостей, но Google и устраняет их быстрее всех.
Однако оценивать безопасность браузеров лишь по собственным уязвимостям было бы неправильно. Атаки направлены не только на них, но и на дополнения, без которых веб-серфинг как еда без соли. А еще огромную роль играет человеческий фактор. И через несколько дней мы продолжим разговор о безопасности в Интернете.
Вас ожидает вторая часть материала, в которой речь пойдет об уязвимостях дополнений и средствах противодействия фишингу в современных браузерах.
А вы читаете эту статью в самой последней версии браузера? Устанавливаете ли вы обновления автоматически или принимаете решение при появлении уведомлений? Как быстро вы устанавливаете обновления и новые версии после их выхода?
Андрей
На ноуте с Windows 7 юзаю Internet Explorer 9 и Google Chrome Canary (который обновляется каждый день).
На рабочем — Firefox 3.6, потому что на моём старом Celeron D 430 с 512 Мб мозгов работать что в Firefox 4, что в любой версии Chrome, просто нереально: когда вкладок больше десяти — переключение между ними длится целую вечность :(.
ProFFeSSoR
Работаю всегда в последней версии браузеров. Обычно все обновления настроены в автоматическом режиме, чтобы не следить когда выходит тот или иной апдейт. Обновления расширений Лисы устанавливаются по запросу, в связи с особенностями самого браузера.
Использую на данный момент Firefox 4.0.1 и IE 9.0, как основные средства работы в интернете. Немного осваиваю Оперу 11, но пока всё сложно у меня с ней.
P.S. У Хрома, кстати, самая ужасная обновлялка (ИМХО). Мало того что без спросу прописывается в автозагрузку и не сообщает когда версия браузера обновилась (остальные браузеры после обновления выводят окно с приветствием, где и можно почитать что было обновлено), так ещё и обновить браузер вручную без запущенного Google Update не даёт.
Dmitry Bulanov
Спасибо, Вадим, очень интересный пост. Но по поводу 21% пользователей я немного не согласен в том, что они доверяются 6-й или 7-й версией браузера. Вероятнее всего, что тут есть два возможных варианта:
1-й — у пользователя был установлен 6-й IE сразу с ХР или 7-й сразу с Vista и этот браузер используется лишь изредка, система не обновляется (или может не регулярно обновляется), а основным браузером не является IE;
2-й — может быть у этих пользователей установлена пиратская версия ОС (или сами инсталлировали или какой-то эникейшик) и теперь или боятся качать обновления (т.к. авось Майкрософт на них обидится и оштрафуют/засудят) или просто не знают как это сделать, а эникейшик отключил авто обновления :)
Vadim Sterkin
Андрей, жаль, что у вас на работе такой маломощный компьютер. На нем, должно быть, любые задачи тормозят.
То, что Chrome обновляется сам, понятно. А как у вас устанавливаются обновления безопасности для IE?
ProFFeSSoR, а чем вам не нравится бесшумное обновление Chrome? По-моему, обновление браузера довольно рутинная вещь, и если спрашивать пользователя, то повышается вероятность задержки с обновлением.
Что же касается информации об обновлении, видимо, там особо хвастать нечем — уязвимости закрывают :)
Dmitry Bulanov, я рад, что тебе понравился материал :) Твои предопложения по поводу «случайности» 6 и 7 версии IE понятны, но я не разделяю их. По пунктам:
1. Наш ресурс нормально отображается во всех браузерах. Так почему люди должны приходить на него не в своем стандартном браузере? Кроме того, множество посетителей приходят из поисковиков. Ты много знаешь людей, которые специально запускают IE (не являющийся браузером по умолчанию), только чтобы поискать в нем с помощью гугла или яндекса? :)
2. Не имеет значения ввиду п. 1.
Андрей
Vadim Sterkin Что касается IE, на семёрке включён автоапдейт, а на рабочую XP я ставлю UpdatePack Live от simplix’а, которую регулярно выкачиваю для обслуживания разных машин.
Hector
Пользуюсь Google Chrome, он обновляется автоматически.
p.s. а что за интересная штука с Яндексянином?
Vadim Sterkin
Андрей, вообще, для обновления разных машин на работе существует WSUS. Он вас чем-то не устраивает?
Hector, да, мне тоже нравится эта идея с тихим обновлением :)
По поводу Яндексянина — экспериментирую с плагином, варьирующим привет в зависимости от реферера и направляющим новичков к интересным материалам блога. Если вы не из яндекса пришли, то это баг :)
Андрей
Vadim Sterkin UpdatePack я качаю не для рабочих машин, а, скорее, для домашних машин друзей, т. к. за пиво я занимаюсь их обслуживанием :). А на работе хотели поднять WSUS, но потом как-то замяли тему. Спасибо что напомнили, подумаем на досуге ;)
Hector
Vadim Sterkin, перешел из ссылки в избранном, поиском от яндекса не пользуюсь, но у меня там почта
Morpheus
Спасибо за исследование, познавательно!
Всегда пользую свежую версию, и чтение материала происходит именно в ней, обновляю сразу.
Можно ли говорить о том, что в свежей версии любого браузера нет незакрытых уязвимостей? Судя по табличке, нет.
Дополню про Chrome: немногие знают, что автоматически он обновляется только в одном случае — когда установлен через web-установщик. Если скачивали автономный установщик по прямой ссылке с серверов гугла или просто с какого-нибудь каталога программ, браузер автоматически обновляться не будет.
Это легко проверить, зайдя в «О браузере». Если крутится бублик и пишет «Проверка обновлений», а затем «Вы используете самую последнюю версию…», значит всё в порядке, а если вместо этого «ошибка #», значит, браузер автоматически не обновляется.
Исправить положение можно обновившись с этой страницы. Браузер обновляется в рамках своего канала, т.е. стабильная версия может обновиться только до стабильной версии, dev до dev и т.д.
ProFFeSSoR
Я же написал — не нравится тем что лишний процесс постоянно висит в системе, в то время как другие браузеры обновляются при запуске. О вопросах пользователю речи не было.
Информация об обновлении отсутствует по сути т.к. Google любую мало мальски значимую вещь превращают в новый мажорный релиз, тогда как Опера или Лиса делают версию Х.1. Маркетинг, рассчитанный на глупых пользователей, как показывает практика, успешный.
Vadim Sterkin
Morpheus, я рад, что тебе было интересно прочесть материал :)
Абсолютно верно. Не всегда эти уязвимости опасны для данных пользователя и работы системы, но в любом случае мы не в силах это изменить.
Спасибо за важные примечания об автоматическом обновлении Chrome и каналах. Развесистая версионность Chrome и недостаточная детализация mail.ru затрудняет анализ, поэтому небезопасными я счел лишь версии ниже 10. Но в моем блоге используется Google Analytics, где можно увидеть версии сборок.
Так вот если посмотреть только на версию 10, то за прошедшую неделю (2-8 мая) сборку ниже 10.0.648.205 имели почти 7%. А это как минимум 3 критических уязвимости, закрытые 14 апреля в 10.0.648.205. Надо полагать, что автоматическое обновление браузера у этих людей не работает. Впрочем, пользователей версии 9.х и ниже у меня намного меньше, чем на OSZone.
Андрей, расклад понятен, хотя неочевидно, как вы обновляетесь на работе :)
Hector, это странно, т.к. в закладках нет реферера… Приветствие все равно показывается, но «общее». А вот если из почты яндекса придти, то должно быть таргетированное.
RuGo!
Вот , как-то сразу графики статистики …….
одним словом — далеко это от реала !
Решил поискать инфу ещё и вот для примера: http://www.anti-malware.ru/node/2509
И кщё кучи и кучи всяких разных обзоров и ничего близкого к этому графику не нашёл -( -) как быть ? кому верить ?
Потом, относительно статистики по посещению сайта
Это не совсем верная статистика ! Я и ещё куча моих знакомых сидят под Opera и чаще OperaAC, которая может притвориться для ваших скриптов — любым браузером !!! Что мы и делаем часто !
Ну и вообще о статистике безопасности -) Это статистика найденых и залатаных дыр, а не реальных заражений ! Я кучу народу обслуживаю и попадаются новые клиенты и вот моя статистика : как только пересаживаю очередного ламмера с IE на Opera, так всё !
Количество вызовов к этому типу уменьшается на 90% я уже молчу, что 100% WinLock , после которых приходится лечить комп и проводить ликбкез ламмеру — это поймано IE !!! С Opera — (из моих клиентов) ни кто этого не ловил !
Hector
RuGo!, вашей ссылке уже год, дата 11 мая 210
Vadim Sterkin
ProFFeSSoR, одним процессом больше, одним меньше. По-моему, регулярное обновление браузера наличием дополнительного процесса вполне оправдывается.
RuGo!, первая часть вашего комментария и вопросы не очень понятны. Особенно с учетом заявления о том, что нигде ничего подобного нет вкупе со ссылкой на anti-malware, где приводится прошлогодняя статистика того же Symantec :)
Статистика посещения сайта — какая есть. Она основана на сотнях тысяч пользователей, и я уверен, что подавляющее большинство из них не меняет User Agent браузера.
Да, это статистика уязвимостей браузеров, но они зачастую являются основанием для заражений системы. Заражения при веб-серфинге происходят двумя путями:
1. Выполнение вредоносного кода без ведома пользователя при посещении сайтов за счет уязвимости в браузере или дополнении (drive-by)
2. Самостоятельная установка и запуск вредоносного кода обманутым пользователем (фишинг)
Winlock может попадать на компьютер и тем, и другим путем. Поскольку сегодняшний разговор лишь об уязвимостях браузеров, я бы не стал утверждать, что Opera больше защищена чем IE. Да, она менее таргетирована, но обновленный IE не менее безопасен (а при включенном UAC — более безопасен).
Возможно, ваш опыт основан на том, что у пользователей был необновленный IE или пользователи Opera просто не такие наивные, меньше ведутся на фишинг.
Рассказ о дополнениях и фишинге еще впереди.
Morpheus
Процесс нигде не висит. Обновление реализовано с помощью планировщика заданий и происходит оно с заданным интервалом. Так же можно обновиться, зайдя в «О браузере». Не нравится — отключите задание. Хотите при старте браузера — простенький батник в 2 строчки.
Ваши необоснованные нападки на хром уже наводят на мысли… Мы так и не дождались от вас обещанного тестирования по отправке сведений, только шум создаёте. Это
???
Да, если бы автоматическое обновление было включено, уже не было бы ни дырявых десяток, ни девяток вообще.
ProFFeSSoR
Mozilla нынче пошла по тому же пути. Они провели исследования, что слабо разбирающиеся в браузерах люди довряют большей цифре версии, поэтому клепают мажорные релизы с такой частотой, так же собирается делать и Лиса чтобы «догнать» конкурентов, ничего кроме маркетинга это не меняет, по сути 4.1 версия будет называться 5.0 и т.д. как в Хроме. Хотя если дать «потрогать» Хром 1.0 и 11.0 обыкновенному пользователю, дай Бог чтоб он там хоть пять отличи нашёл, не говоря уже о хоть каком-то изменении интерфейса.
nitrousoxidesis
Ты сам ламер, потому что в ИТ не разбираешься совершенно. Как же мне далко твоих клиентов.
Metiss
Вадим, спасибо вам за работу, наблюдения и обзоры. я, собственно. два слова о другом. Компания Symantec, покоряя российский рынок, впервые явно нарисовалась в институте сердечно-сосудистой хирургии им А.Н.Бакулева году так в 1986-87. Была у нас там такая «интересная»лаборатория. Приезжали они, компы нам поставляли , ай-тишки, что по тем временам было как НЛО. Программное обеспечение тоже. У меня до сих пор хранятся наклейки Семантика… И их первых программных продуктов. Мы в процессе работы во времена приездов кормили их бородинским хлебом с вологодским маслом, а взамен они притаскивали сумки с консервированными сосисками…. И работала я на Q&A. автоматизирую процесс нахождения пациентов в отделениях и в оперблоке, реанимации и тд…Н о это уже не интересно. простите, если заняла Ваше время….
Vadim Sterkin
То же самое можно сказать про все браузеры :) Лично мне изменения в интерфейсе уже давно не нужны, хотя IE9 порадовал минимализмом. А Opera при каждом обновлении сохраняет удобный мне набор и расположение панелей, так что я и не замечаю там ничего нового :)
Если же говорить об укреплении безопасности, то не всегда эти изменения можно потрогать руками. Те же заплатки или внутренние улучшения движка.
Metiss, спасибо за лирическое отступление — очень интересно :)
nitrousoxidesis, впредь прошу вас обходиться без перехода на личности и оскорблений в моем блоге. Хотя в целом мысль выражена в правильном направлении :)
Андрей
Вадим, спасибо за статью. Обновления — автоматом.
С выходом IE9, как то другие отошли на задний план.
Не знаю как дальше, но пока устраивает по всем (для обыкновенного пользователя) параметрам.
Vadim Sterkin
Андрей, спасибо за отклик. Я рад, что у вас включено автоматическое обновление :)
All
В тему: сегодня обнаружена уязвимость 0-day в Google Chrome http://xakep.ru/55629/. Посмотрим, посчитает ли ее Symantec в будущем отчете :)
Vadim aka Arab-Emir
Вадим, спасибо большое, просто отличный пост. Даже отправил в «Фаворит Пэйдж», почитываю-перечитываю в свободное время. Всегда думал что Ослик самый тормозной и небезопасный. А тут оказывается, что это не совсем так :) Ещё раз спасибо.
Vadim Sterkin
Vadim aka Arab-Emir, я рад, что ваше слегка предвзятое мнение постепенно меняется. В ближайшее время вас ожидают новые потрясения ;)
YaNkEE
Юзаю Кроум, никому не секрет, что он сам себе начальник, да и зачем просить у юзера апдейта? Сейчас мало у кого лимитный трафик, поэтому обновляйся сколько хочешь. Ни разу не крали пароли (точнее один раз брат запустил что-то скачанное и hosts заменился, но его вернуть — как два пальца *** :). Обновления, конечно, это отлично, но крадут пароль либо нацеленно, либо массово. Нацеленно у простого человека красть не будут за ненадобностью. Ежели массово — пока твой пароль с кучей других не продадут — ты не заметишь, даже если браузер обновят. Но массово воруют не через дыры, а посредством соц. инжиниринга. В основном посредством замены файла hosts, хотя уже больше народу, видя другую страницу, меняют пароль и hosts, так как знают. Так что простым плебеям (к каковым я себя и отношу) боятся нечего =)
З.Ы. А когда 2nd part?
Vadim Sterkin
Думаю, что вы ошибаетесь. В свежем отчете по безопасности Microsoft написано, что в 2010 году доля троянов, крадущих пароли и мониторящих активность пользователя, в России составила 10,3% (в мире — 11.7%). Это относительно всех вредоносных программ, обнаруженных телеметрией Microsoft (MSRT, MSE и т.д.).
Вряд ли такой большой процент можно отнести только на социальную инженерию. Да и она лишь средство обмана пользователя. Эксплуатируются же уязвимости браузеров и дополнений к ним, о которых и пойдет речь в «2nd part» уже сегодня :)
Что же касается файла hosts, то попробуйте изменить его в Windows 7 со включенным UAC — замучаетесь :)
YaNkEE
Да, 10% через трояны, но через подставную страницу также было украдено большое количество паролей. Тем более, я имел ввиду то, что именно не посредством дыр в браузере.
А насчет hosts — большая часть народу все равно на ХРюшах =)
Vadim Sterkin
YaNkEE, через подставные страницы, как правило, крадут доступ к финансовой информации. А этом аспекте Россия далеко не самая привлекательная страна для злоумышленников ввиду отсутствия у населения счетов и кредитных карт.
Да, большинство сидит на XP, потому что не понимает преимуществ новых ОС. Windows 7, и особенно 64-разрядные система, уже второй год подряд показывает наименьший уровень заражений среди всех ОС Майкрософт.
См. также Почему важно обновлять Windows и установленные в ней программы
YaNkEE
Естественно, в России на такую оплату перейдут не скоро… Но воруют также пароли от соц. сетей, которые потом успешно продают. И все же, массово через дыру в браузере не своровать…
ИМХО, заблуждение. Просто некоторые
нубыне хотят переустанавливать ОС из-за того, что вышла новая. Или не умеют.А некоторые (к коим отношу себя я) не считают это возможным технически. Не все из-за новой ОС будут апгрэйдить железо… У меня Intel Celeron S, 192 Мб мозговой памяти и на винте 10 Гб (второй винт на 30 Гб сгорел…). Сумеете сюда поставить Windows 7, «и особенно 64-разрядную систему, уже второй год подряд показывающую наименьший уровень заражений среди всех ОС Майкрософт.»?
YaNkEE
И наименьшая зараженность 64х лишь доказывает ее меньшую популярность…
Mac OS X тоже считается сложнозаразимой, однако аналитики говорят, что вирусов нет из-за непопулярности ОС, а если ее рост пойдет и дальше — вирусов станет больше =)
Vadim Sterkin
Ерунда, они ее переставляют раз в три месяца все равно, потому что убивают кривыми руками или теми же заражениями :)
Так это ваша проблема, что у вас такое железо. Вы и на ХР не ощущаете всех преимуществ современных веб-сайтов в современных браузерах, потому что не тянет ваша машинка.
И нечего жаловаться на свое слабенькое железо. Если вы за 15 лет не заработали ни на один апгрейд своей системы, то как вы вообще беретесь рассуждать о современных компьютерных технологиях? :) Только не нужно рассказывать, что вам не нужен апгрейд и вам и так замечательно и хорошо сидится на этом ручнике.
Доказывает это только то, что вы не читали статью, хотя я не поленился дать вам ссылку. А написано там то, что подсчет заражений ведется относительно тысячи запусков MSRT. Поэтому популярность системы для этой статистики ключевого значения не имеет. А вот что имеет значение, там написано…
YaNkEE
Ну во-первых я не жаловался, а просто сказал, что не у всех мощный комп. Во-вторых у многих людей старые компьютеры. В-третьих, у студента четвертого курса на IT-факультете не было 15 лет, чтобы сделать апгрейд.
Ну конечно, я не буду говорить, что я бы не хотел новый мощный компьютер. Этот компьютер у меня уже давно, и у меня нет лишних денег, чтобы купить мощный аппарат. Я лучше заплачу за универ и свожу девушку в кафе =) А так меня мой компьютер всем устраивает. Главное пробежаться в сети по закладкам, набрать реферат в 2007’ом ворде, покодить немного в visual studio — мне хватает =)
З.Ы. и вообще, у многих моих знакомых (не только студентов) не хватает денег на новый комп, сидят на старых с полустертой клавиатурой и кодят на С++.
Vadim Sterkin
YaNkEE, все понятно, и с приоритетами тоже :) Что ж, желаю вам сразу после получения диплома (а то и раньше) найти достойную работу, чтобы с первой зарплаты можно было купить такой компьютер, на котором будет летать Visual Studio 2010 :)
YaNkEE
Vadim Sterkin, спасибо =)
ruslan09
Работаю с ChromePlus v1.6.1, основан на Google Chromium v10.0.648.204, который в свою очередь основан на обычном GoogleChrome. Использует самые стабильные версии исходника, уже установлены 99% всех нужных мне фич, очень удобен, быстр и безопасен. За год использования ни одного вируса не словил, антивирус кстати от мелкософта. Конечно при этом я не посещаю порно и варез сайты, если по ним лазить, то ни один браузер и антивирус вас не спасет. Ещё в этом мне помогает прекрасное дополнение WOT и AdBlock. Советую всем, очень доволен, за год падений браузера не наблюдал.
Vadim Sterkin
ruslan09, спасибо за отклик. Рекомендация использовать WOT будет в последней части рассказа о безопасности в браузерах, т.к. это логически вытекает именно из анти-фишинга.
AlexIz
ну с предложением по переходу на новые версии браузеров для закрытия дыр очень трудно согласиться по ряду причин, из которых основными являются на мой взгляд:
1. новые версии почти всегда несут в себе гораздо больше уязвимостей, чем предыдущая, со всеми установленными патчами
2. аппетиты новых версий обычно отличаются от старых весьма существенно (специально проводил тесты). А ставить, например, в систему по 8 ГБ памяти (пусть я и утрирую, но несильно), просто ради новой версии браузера станут немногие.
Vadim Sterkin
AlexIz, спасибо за интересное обоснование. Я вижу рациональное зерно в первом пункте, но больше в новых версиях уязвимостей или меньше — это вопрос.
Возьмем релизы Firefox 3.6 — последние 11 выпусков подряд устраняли проблемы с безопасностью. То же самое и в остальных браузерах.
Но в новых движках некоторые проблемы могут устраняться на конструктивном уровне, или наоборот — добавляться новые фичи, снижающие ущерб от выполнения вредоносного кода (всякие песочницы, противодействие XSS).
Что касается второго пункта, то к безопасности это отношения не имеет, хотя аргумент понятен. Но обратите внимание, что повышенные требования к ресурсам отталкиваются от необходимости быстрее обрабатывать сложные сайты. Например, существует масса библиотек на JS — JQuery, Mootools и т.д, которыми напичканы сайты (у меня в блоге используется JQuery). Новые движки быстрее обрабатывают JS. Так что выбор за вами:
старый браузер, меньше потребляемых ресурсов, но медленная работа сайтов
vs.
новый браузер, больше потребляемых ресурсов, и более быстрая работа сайтов
Oleg
Проверять наличие обновлений, но не обновлять его, потому как обновление происходит внутри браузера с теми же настройками, но не его полная замена, что по мне весьма не выгодно, очень.
Поэтому все новые версии моего браузера не прошли проверки на качество обслуживания, и остались не удел.
Firefox 3.0.6 по качеству все равно занимает 1 место среди всех при маленькой скорости и нестабильным интернетом, все пользователи кто использовал браузер этот буду солидарны уже по причине его эффективности, за всех если отвечать!
Vadim Sterkin
Не нужно говорить за всех. Вы пользуетесь устаревшим браузером, к которому уже и обновления безопасности-то не выходят, наверное? Пользуйтесь им дальше. Но писать такое после прочтения данной статьи просто нелепо.