Вадим Стеркин

  • Главная
  • Windows
  • SSD
  • Программы
  • Разное
  • Об авторе
Вы тут: Главная → Паутина → Уязвим ли ваш браузер?

Уязвим ли ваш браузер?

Рубрики: Паутина, Программы Обновлено: 14.10.2019 комментариев 49

Уязвимости Internet Explorer зачастую получают широкий резонанс, давая повод злопыхателям объявить браузер дырявым. Так, в начале 2010 года активно обсуждалась уязвимость Hydraq (Aurora). С ее помощью злоумышленники провели атаку против сотрудников Google (почему-то пользовавшихся IE, а не родным Chrome :). В том случае удар был нацелен на конкретных людей, а эксплуатировалась доселе неизвестная уязвимость браузера.

Однако Internet Explorer – далеко не лидер по количеству обнаруженных недостатков в системе безопасности, причем не первый год.

Количество уязвимостей

Специалисты Symantec несколько лет ведут свою статистику обнаруженных в браузерах уязвимостей, даже если их не признают таковыми разработчики. На диаграмме видно, что в последние два года IE не являлся лидером по количеству изъянов в системе безопасности.

*
Увеличить рисунок

Год назад с большим отрывом «первенствовал» Firefox, а в 2010 году всех «победил» Chrome. Скорее всего, на результаты повлияло то, что Google официально платит за каждую обнаруженную уязвимость в системе безопасности своего браузера до нескольких тысяч долларов США.

В целом, аналитики Symantec отмечают увеличение количества обнаруженных уязвимостей в продуктах компаний, оплачивающих услуги исследователей. Mozilla, между прочим, тоже вознаграждает за найденные «дырки» в Firefox, но его движок постарше и получше вылизан, а в Chrome уязвимости пока проще найти.

Если смотреть исключительно на количество уязвимостей и объявлять IE дырявым, то как в таком случае охарактеризовать Firefox и Chrome? Первый, наверное, должен называться решетом, авторой – ситом? :)

Обновляйте браузер!

На самом деле, сравнение браузеров по количеству «дырок» не дает полной картины. Исследователи не разглашают уязвимости, если они сотрудничают с разработчиками. Поэтому о большинстве из них мир узнает уже при выходе обновленной версии браузера. И тем важнее ее устанавливать!

Однако есть публичные уязвимости, которые могут быть не закрыты, и злоумышленники их очень любят.

Быстрота устранения уязвимостей

В общем, создатели браузеров довольно оперативно устраняют уязвимости, узнав о них. Специалисты Symantec подсчитали, сколько дней в среднем требуется разработчикам, чтобы устранить недостатки в безопасности браузера, объявленные публично.

*
Увеличить рисунок

Столь скромные цифры у всех браузеров объясняются тем, что о многих уязвимостях объявляют одновременно с выпуском заплатки, поэтому по методологии Symantec на устранение требуется ровно 0 дней. Такие случаи преобладают, поскольку исследователи, желающие официально заработать деньги на обнаруженных уязвимостях, конфиденциально ставят в известность компанию, позволяя ей устранить недостатки.

В 2010 году уязвимости в Internet Explorer в среднем закрывались дольше, чем в других браузерах. И хотя для 47 уязвимостей в среднем 4 дня на устранение выглядят не очень страшно, одну из них закрывали 125 дней, что не могло не подпортить статистику браузеру Microsoft. Но и это не рекорд!

*

Любопытно, что Safari с таким громадным окном для одной уязвимости умудрился в среднем уложиться меньше чем в одну в день. Видимо, остальные бреши латали очень быстро, в том числе и с помощью Chrome (у браузеров общий движок WebKit).

Впрочем, эти цифры не отражают степень опасности уязвимости. Высоко опасные и критические изъяны в системе безопасности не держат открытыми по 4 – 9 месяцев, хотя и там есть над чем работать.

Обновляйте браузер автоматически!

WUДлинные интервалы при закрытии публичных уязвимостей неприятны тем, что их включают в наборы для атаки. К моменту закрытия уязвимости в сети уже могут циркулировать различные обертки для ее эксплуатации. Откладывая обновление браузера, вы сильнее рискуете!

Chrome обновляется сам, даже не заостряя на этом внимание пользователя. Opera и Firefox при стандартных настройках сразу устанавливают обновления, а Internet Explorer обновляется через Windows Update, что рекомендуется автоматизировать. Таким образом, от вас не требуется усилий, чтобы поддерживать браузер в актуальном состоянии.

Уязвимости 0-day

Еще один важный аспект безопасности браузеров – уязвимости, которые втайне от всех эксплуатируются для атаки на конкретного человека или компанию. Они могут оставаться вне досягаемости радаров специалистов и разработчиков до тех пор, пока дело не получит огласку или достаточно большое число компьютеров попадет под удар.

*
Увеличить рисунок

Уязвимости 0-day в браузерах и других программах (данные Symantec, 2010 год)

По данным Symantec, в 2010 году во всех программных продуктах было выявлено 14 таких уязвимостей, причем на долю браузеров пришлось четыре. Три из них нашлись в Internet Explorer (в том числе, Hydraq/Aurora), хотя одна из них не затрагивала IE8.  На их закрытие у Microsoft уходило 7, 21 и 41 день (долго!). Четвертая уязвимость 0-day была обнаружена в Firefox (Belmoo backdoor), и ее устранили уже через день после обнаружения.

Применяйте комплексную защиту!

Исправить уязвимость браузера могут только его разработчики. Пока нет заплатки, остается полагаться на другие уровни защиты. Уязвимость – это щель, в которую может проникать вредоносный код. Нейтрализовать его призваны антивирусные и антишпионские программы, а наиболее успешно противостоят уязвимостям 0-day системы класса HIPS (например, DefenseWall).

Если они не справятся, еще остается шанс минимизировать ущерб за счет технологий безопасности Windows. Так, Internet Explorer при включенном контроле учетных записей работает в защищенном режиме. Это означает, что браузер и запущенные из него процессы не могут изменять существующие параметры реестра и файлы. Другими словами, повышается устойчивость операционной системы к заражениям.

Статистика посетителей OSZone.net

Я предлагаю вам взглянуть на расклад по браузерам у посетителей OSZone.net за неделю с 11 по 17 апреля. Даты были выбраны так, чтобы захватить новые версии популярных браузеров – с момента выхода Chrome 10 прошло пять недель, IE9 был доступен уже месяц, а Firefox 4 — три недели. Данные вполне репрезентативны, поскольку они основаны на 700 тысячах посетителей (я исключил неизвестные версии браузеров и слегка сгруппировал данные).

*

Распределение по браузерам аудитории компьютерного портала OSZone.net
для каждой версии указана доля в группе (данные mail.ru за апрель 2011 г.)

На основе этих данных трудно сделать вывод о наличии уязвимостей в браузерах посетителей, но кое-какая информация наводит на размышления.

Opera

16% пользователей браузера не удосужились обновить его до версии 11, на что у них было почти четыре месяца. Как результат, они выходят в Интернет с несколькими уязвимостями, как минимум одна из которых имеет высокую степень опасности.

Firefox

Многие приверженцы Firefox не спешат обновлять любимый браузер. На диаграмме картина через три недели после выхода Firefox 4, а еще через недели его доля была уже 50% против 42% у 3.6.

При этом 3% пользователей точно работают с известными уязвимостями, а про версии 3.5.х и 3.6.х ничего нельзя сказать с уверенностью. На них можно установить исправления безопасности, не обновляя браузер, но почему-то меня терзают смутные сомнения в поголовной актуальности этих версий.

Chrome

Браузер Google наплодил столько версий, что разобраться в них непросто. Во-первых, версии 11 и 12 на диаграмме – это предварительные выпуски (финальная версия 11 появилась позже). Во-вторых, после выхода первой стабильной версии 10 было еще два обновления, которые закрыли 7 уязвимостей высокой степени опасности. Статистика mail.ru не дает достаточной степени детализации по версиям. Но даже и без учета этих данных 12.5% пользователей Chrome работают в старых версиях с огромным количеством уязвимостей.

Любопытно, что Chrome – единственный браузер, увеличивший свою долю на OSZone за год, если сравнить с прошлогодним раскладом. В основном, он завоевал сердца пользователей IE и Firefox.

Internet Explorer

Несмотря на явные улучшения в IE8, 21% пользователей браузера Microsoft до сих пор доверяются версиям 6 и 7. Остается только гадать, установлены ли для них многочисленные заплатки. Заметьте, что на IE6 до сих пор сидит каждый десятый пользователь браузера Microsoft. Не случайно, в Microsoft главным соперником IE9 считают IE6!

Доля IE9 пока невелика, но на Windows XP до сих пор сидит больше половины посетителей сайта, которым IE9 не светит. Опять же, статистика mail.ru не дает возможности посмотреть процент пользователей IE9 на Windows 7, но в моем блоге их уже почти в 1.5 раза больше, чем оставшихся на IE8!

Общая картина

За последний год аудитория OSZone не слишком изменила своим привычкам. Если считать устаревшими версии ниже IE8, Chrome 9, Firefox 3.6 и Opera 10, то на день написания статьи ими пользуется 11% человек. Для старых версий IE и Firefox теоретически могут быть установлены все заплатки, но даже если это так, концептуально они уже сильно отстали с точки зрения безопасности.

Спустя не меньше полутора месяцев после выхода новой версии любого из браузеров, таковой еще не имеют 38% человек. С последней версией браузера на компьютерный портал приходит лишь 62% процента аудитории.

А ведь у нас все увешано новостями и статьями о новых версиях браузеров!

На других сайтах картина еще хуже – это показывает даже беглый осмотр статистики, например, Мой Мир @Mail.Ru. А это значит, что у злоумышленников еще достаточно возможностей попортить кровь неопытным интернетчикам.

И какой же браузер безопаснее?

Если говорить исключительно об уязвимостях браузеров, то очевидно одно – чтобы у вас был самый безопасный браузер, его надо обновлять автоматически и страховать защитной программой. Вероятность попасть под уязвимость 0-day намного ниже, чем поймать что-то в устаревшем браузере.

Количество же уязвимостей не играет особой роли, тем более, что бреши в защите браузеров закрываются более-менее оперативно. Так, в Chrome больше всего уязвимостей, но Google и устраняет их быстрее всех.

Однако оценивать безопасность браузеров лишь по собственным уязвимостям было бы неправильно. Атаки направлены не только на них, но и на дополнения, без которых веб-серфинг как еда без соли. А еще огромную роль играет человеческий фактор. И через несколько дней мы продолжим разговор о безопасности в Интернете.

Вас ожидает вторая часть материала, в которой речь пойдет об уязвимостях дополнений и средствах противодействия фишингу в современных браузерах.

А вы читаете эту статью в самой последней версии браузера? Устанавливаете ли вы обновления автоматически или принимаете решение при появлении уведомлений? Как быстро вы устанавливаете обновления и новые версии после их выхода?

Метки: Chrome, Firefox, IE, Opera, безопасность

Об авторе

Вадим - владелец этого блога, и почти все записи здесь вышли из-под его пера. Подробности о блоге и авторе здесь.

Вас также может заинтересовать:

  • Можно ли работать в Windows без антивируса
  • Интересные факты из отчета Microsoft по безопасности (октябрь 2011)
  • Как изменить значок прикрепленного сайта
  • Как открывать ярлыки прикрепленных сайтов в любимом браузере
  • Влияние плагинов и дополнений браузера на производительность
  • У вас не найдется лишнего плагинчика?
  • Сравнительный тест браузеров: блокирование загрузки вредоносных программ
  • Закройте форточку своего браузера, do it!
  • 7 причин использовать отдельные учетные записи для каждого члена семьи
  • Сравнительный тест стабильных версий браузеров (апрель 2011)
  • Как настроить Windows, чтобы переустанавливать ее как можно реже
  • Опрос. Включен ли у вас контроль учетных записей?
  • Почему важно обновлять Windows и установленные в ней программы
← Закройте форточку своего браузера, do it!
Что скрывается за короткими ссылками? →
Telegram logo

Я в Telegram

Подпишитесь на канал и читайте интересные записи чаще! Есть вопросы? Задайте их в чате.

комментариев 49

↓
  1. Андрей

    10.05.2011 в 09:11

    На ноуте с Windows 7 юзаю Internet Explorer 9 и Google Chrome Canary (который обновляется каждый день).

    На рабочем — Firefox 3.6, потому что на моём старом Celeron D 430 с 512 Мб мозгов работать что в Firefox 4, что в любой версии Chrome, просто нереально: когда вкладок больше десяти — переключение между ними длится целую вечность :(.

    Ваша оценка: Thumb up Thumb down 0
  2. ProFFeSSoR

    10.05.2011 в 10:04

    Работаю всегда в последней версии браузеров. Обычно все обновления настроены в автоматическом режиме, чтобы не следить когда выходит тот или иной апдейт. Обновления расширений Лисы устанавливаются по запросу, в связи с особенностями самого браузера.

    Использую на данный момент Firefox 4.0.1 и IE 9.0, как основные средства работы в интернете. Немного осваиваю Оперу 11, но пока всё сложно у меня с ней.

    P.S. У Хрома, кстати, самая ужасная обновлялка (ИМХО). Мало того что без спросу прописывается в автозагрузку и не сообщает когда версия браузера обновилась (остальные браузеры после обновления выводят окно с приветствием, где и можно почитать что было обновлено), так ещё и обновить браузер вручную без запущенного Google Update не даёт.

    Ваша оценка: Thumb up Thumb down 0
  3. Dmitry Bulanov

    10.05.2011 в 10:04

    Спасибо, Вадим, очень интересный пост. Но по поводу 21% пользователей я немного не согласен в том, что они доверяются 6-й или 7-й версией браузера. Вероятнее всего, что тут есть два возможных варианта:
    1-й — у пользователя был установлен 6-й IE сразу с ХР или 7-й сразу с Vista и этот браузер используется лишь изредка, система не обновляется (или может не регулярно обновляется), а основным браузером не является IE;
    2-й — может быть у этих пользователей установлена пиратская версия ОС (или сами инсталлировали или какой-то эникейшик) и теперь или боятся качать обновления (т.к. авось Майкрософт на них обидится и оштрафуют/засудят) или просто не знают как это сделать, а эникейшик отключил авто обновления :)

    Ваша оценка: Thumb up Thumb down 0
  4. Vadim Sterkin

    10.05.2011 в 11:26

    Андрей, жаль, что у вас на работе такой маломощный компьютер. На нем, должно быть, любые задачи тормозят.

    То, что Chrome обновляется сам, понятно. А как у вас устанавливаются обновления безопасности для IE?

    ProFFeSSoR, а чем вам не нравится бесшумное обновление Chrome? По-моему, обновление браузера довольно рутинная вещь, и если спрашивать пользователя, то повышается вероятность задержки с обновлением.

    Что же касается информации об обновлении, видимо, там особо хвастать нечем — уязвимости закрывают :)

    Dmitry Bulanov, я рад, что тебе понравился материал :) Твои предопложения по поводу «случайности» 6 и 7 версии IE понятны, но я не разделяю их. По пунктам:

    1. Наш ресурс нормально отображается во всех браузерах. Так почему люди должны приходить на него не в своем стандартном браузере? Кроме того, множество посетителей приходят из поисковиков. Ты много знаешь людей, которые специально запускают IE (не являющийся браузером по умолчанию), только чтобы поискать в нем с помощью гугла или яндекса? :)

    2. Не имеет значения ввиду п. 1.

    Ваша оценка: Thumb up Thumb down 0
  5. Андрей

    10.05.2011 в 11:36

    Vadim Sterkin Что касается IE, на семёрке включён автоапдейт, а на рабочую XP я ставлю UpdatePack Live от simplix’а, которую регулярно выкачиваю для обслуживания разных машин.

    Ваша оценка: Thumb up Thumb down 0
  6. Hector

    10.05.2011 в 11:46

    Пользуюсь Google Chrome, он обновляется автоматически.
    p.s. а что за интересная штука с Яндексянином?

    Ваша оценка: Thumb up Thumb down 0
  7. Vadim Sterkin

    10.05.2011 в 11:52

    Андрей, вообще, для обновления разных машин на работе существует WSUS. Он вас чем-то не устраивает?

    Hector, да, мне тоже нравится эта идея с тихим обновлением :)
    По поводу Яндексянина — экспериментирую с плагином, варьирующим привет в зависимости от реферера и направляющим новичков к интересным материалам блога. Если вы не из яндекса пришли, то это баг :)

    Ваша оценка: Thumb up Thumb down 0
  8. Андрей

    10.05.2011 в 12:00

    Vadim Sterkin UpdatePack я качаю не для рабочих машин, а, скорее, для домашних машин друзей, т. к. за пиво я занимаюсь их обслуживанием :). А на работе хотели поднять WSUS, но потом как-то замяли тему. Спасибо что напомнили, подумаем на досуге ;)

    Ваша оценка: Thumb up Thumb down 0
  9. Hector

    10.05.2011 в 12:13

    Vadim Sterkin, перешел из ссылки в избранном, поиском от яндекса не пользуюсь, но у меня там почта

    Ваша оценка: Thumb up Thumb down 0
  10. Morpheus

    10.05.2011 в 12:35

    Vadim Sterkin: Vadim Sterkin  »

    Спасибо за исследование, познавательно!
    Всегда пользую свежую версию, и чтение материала происходит именно в ней, обновляю сразу.
    Можно ли говорить о том, что в свежей версии любого браузера нет незакрытых уязвимостей? Судя по табличке, нет.

    Дополню про Chrome: немногие знают, что автоматически он обновляется только в одном случае — когда установлен через web-установщик. Если скачивали автономный установщик по прямой ссылке с серверов гугла или просто с какого-нибудь каталога программ, браузер автоматически обновляться не будет.
    Это легко проверить, зайдя в «О браузере». Если крутится бублик и пишет «Проверка обновлений», а затем «Вы используете самую последнюю версию…», значит всё в порядке, а если вместо этого «ошибка #», значит, браузер автоматически не обновляется.
    Исправить положение можно обновившись с этой страницы. Браузер обновляется в рамках своего канала, т.е. стабильная версия может обновиться только до стабильной версии, dev до dev и т.д.

    Ваша оценка: Thumb up Thumb down 0
  11. ProFFeSSoR

    10.05.2011 в 12:57

    Vadim Sterkin: а чем вам не нравится бесшумное обновление Chrome? По-моему, обновление браузера довольно рутинная вещь, и если спрашивать пользователя, то повышается вероятность задержки с обновлением.

    Что же касается информации об обновлении, видимо, там особо хвастать нечем – уязвимости закрывают :)

    Я же написал — не нравится тем что лишний процесс постоянно висит в системе, в то время как другие браузеры обновляются при запуске. О вопросах пользователю речи не было.

    Информация об обновлении отсутствует по сути т.к. Google любую мало мальски значимую вещь превращают в новый мажорный релиз, тогда как Опера или Лиса делают версию Х.1. Маркетинг, рассчитанный на глупых пользователей, как показывает практика, успешный.

    Ваша оценка: Thumb up Thumb down 0
  12. Vadim Sterkin

    10.05.2011 в 13:06

    Morpheus, я рад, что тебе было интересно прочесть материал :)

    Morpheus: Можно ли говорить о том, что в свежей версии любого браузера нет незакрытых уязвимостей? Судя по табличке, нет. »

    Абсолютно верно. Не всегда эти уязвимости опасны для данных пользователя и работы системы, но в любом случае мы не в силах это изменить.

    Спасибо за важные примечания об автоматическом обновлении Chrome и каналах. Развесистая версионность Chrome и недостаточная детализация mail.ru затрудняет анализ, поэтому небезопасными я счел лишь версии ниже 10. Но в моем блоге используется Google Analytics, где можно увидеть версии сборок.

    Так вот если посмотреть только на версию 10, то за прошедшую неделю (2-8 мая) сборку ниже 10.0.648.205 имели почти 7%. А это как минимум 3 критических уязвимости, закрытые 14 апреля в 10.0.648.205. Надо полагать, что автоматическое обновление браузера у этих людей не работает. Впрочем, пользователей версии 9.х и ниже у меня намного меньше, чем на OSZone.

    Андрей, расклад понятен, хотя неочевидно, как вы обновляетесь на работе :)

    Hector, это странно, т.к. в закладках нет реферера… Приветствие все равно показывается, но «общее». А вот если из почты яндекса придти, то должно быть таргетированное.

    Ваша оценка: Thumb up Thumb down 0
  13. RuGo!

    10.05.2011 в 13:16

    Вот , как-то сразу графики статистики …….
    одним словом — далеко это от реала !
    Решил поискать инфу ещё и вот для примера: http://www.anti-malware.ru/node/2509
    И кщё кучи и кучи всяких разных обзоров и ничего близкого к этому графику не нашёл -( -) как быть ? кому верить ?
    Потом, относительно статистики по посещению сайта
    Это не совсем верная статистика ! Я и ещё куча моих знакомых сидят под Opera и чаще OperaAC, которая может притвориться для ваших скриптов — любым браузером !!! Что мы и делаем часто !
    Ну и вообще о статистике безопасности -) Это статистика найденых и залатаных дыр, а не реальных заражений ! Я кучу народу обслуживаю и попадаются новые клиенты и вот моя статистика : как только пересаживаю очередного ламмера с IE на Opera, так всё !
    Количество вызовов к этому типу уменьшается на 90% я уже молчу, что 100% WinLock , после которых приходится лечить комп и проводить ликбкез ламмеру — это поймано IE !!! С Opera — (из моих клиентов) ни кто этого не ловил !

    Ваша оценка: Thumb up Thumb down +1
  14. Hector

    10.05.2011 в 13:56

    RuGo!, вашей ссылке уже год, дата 11 мая 210

    Ваша оценка: Thumb up Thumb down 0
  15. Vadim Sterkin

    10.05.2011 в 14:06

    ProFFeSSoR, одним процессом больше, одним меньше. По-моему, регулярное обновление браузера наличием дополнительного процесса вполне оправдывается.

    RuGo!, первая часть вашего комментария и вопросы не очень понятны. Особенно с учетом заявления о том, что нигде ничего подобного нет вкупе со ссылкой на anti-malware, где приводится прошлогодняя статистика того же Symantec :)

    RuGo!: Это не совсем верная статистика ! Я и ещё куча моих знакомых сидят под Opera и чаще OperaAC, которая может притвориться для ваших скриптов – любым браузером !!! »

    Статистика посещения сайта — какая есть. Она основана на сотнях тысяч пользователей, и я уверен, что подавляющее большинство из них не меняет User Agent браузера.

    RuGo!: то статистика найденых и залатаных дыр, а не реальных заражений ! »

    Да, это статистика уязвимостей браузеров, но они зачастую являются основанием для заражений системы. Заражения при веб-серфинге происходят двумя путями:
    1. Выполнение вредоносного кода без ведома пользователя при посещении сайтов за счет уязвимости в браузере или дополнении (drive-by)
    2. Самостоятельная установка и запуск вредоносного кода обманутым пользователем (фишинг)

    Winlock может попадать на компьютер и тем, и другим путем. Поскольку сегодняшний разговор лишь об уязвимостях браузеров, я бы не стал утверждать, что Opera больше защищена чем IE. Да, она менее таргетирована, но обновленный IE не менее безопасен (а при включенном UAC — более безопасен).

    Возможно, ваш опыт основан на том, что у пользователей был необновленный IE или пользователи Opera просто не такие наивные, меньше ведутся на фишинг.

    Рассказ о дополнениях и фишинге еще впереди.

    Ваша оценка: Thumb up Thumb down 0
  16. Morpheus

    10.05.2011 в 14:27

    ProFFeSSoR: не нравится тем что лишний процесс постоянно висит в системе, в то время как другие браузеры обновляются при запуске. »

    Процесс нигде не висит. Обновление реализовано с помощью планировщика заданий и происходит оно с заданным интервалом. Так же можно обновиться, зайдя в «О браузере». Не нравится — отключите задание. Хотите при старте браузера — простенький батник в 2 строчки.
    Ваши необоснованные нападки на хром уже наводят на мысли… Мы так и не дождались от вас обещанного тестирования по отправке сведений, только шум создаёте. Это

    ProFFeSSoR: Маркетинг, рассчитанный на глупых пользователей, как показывает практика, успешный. »

    ???

    Vadim Sterkin: Так вот если посмотреть только на версию 10, то за прошедшую неделю (2-8 мая) сборку ниже 10.0.648.205 имели почти 7%. А это как минимум 3 критических уязвимости, закрытые 14 апреля в 10.0.648.205. Надо полагать, что автоматическое обновление браузера у этих людей не работает. Впрочем, пользователей версии 9.х и ниже у меня намного меньше, чем на OSZone. »

    Да, если бы автоматическое обновление было включено, уже не было бы ни дырявых десяток, ни девяток вообще.

    Ваша оценка: Thumb up Thumb down 0
  17. ProFFeSSoR

    10.05.2011 в 15:00

    Morpheus: ??? »

    Mozilla нынче пошла по тому же пути. Они провели исследования, что слабо разбирающиеся в браузерах люди довряют большей цифре версии, поэтому клепают мажорные релизы с такой частотой, так же собирается делать и Лиса чтобы «догнать» конкурентов, ничего кроме маркетинга это не меняет, по сути 4.1 версия будет называться 5.0 и т.д. как в Хроме. Хотя если дать «потрогать» Хром 1.0 и 11.0 обыкновенному пользователю, дай Бог чтоб он там хоть пять отличи нашёл, не говоря уже о хоть каком-то изменении интерфейса.

    Ваша оценка: Thumb up Thumb down 0
  18. nitrousoxidesis

    10.05.2011 в 19:21

    RuGo!:как только пересаживаю очередного ламмера с IE на Opera, так всё !
    Количество вызовов к этому типу уменьшается на 90% я уже молчу, что 100% WinLock , после которых приходится лечить комп и проводить ликбкез ламмеру – это поймано IE !!! С Opera – (из моих клиентов) ни кто этого не ловил !
    »

    Ты сам ламер, потому что в ИТ не разбираешься совершенно. Как же мне далко твоих клиентов.

    Ваша оценка: Thumb up Thumb down 0
  19. Metiss

    10.05.2011 в 20:58

    Вадим, спасибо вам за работу, наблюдения и обзоры. я, собственно. два слова о другом. Компания Symantec, покоряя российский рынок, впервые явно нарисовалась в институте сердечно-сосудистой хирургии им А.Н.Бакулева году так в 1986-87. Была у нас там такая «интересная»лаборатория. Приезжали они, компы нам поставляли , ай-тишки, что по тем временам было как НЛО. Программное обеспечение тоже. У меня до сих пор хранятся наклейки Семантика… И их первых программных продуктов. Мы в процессе работы во времена приездов кормили их бородинским хлебом с вологодским маслом, а взамен они притаскивали сумки с консервированными сосисками…. И работала я на Q&A. автоматизирую процесс нахождения пациентов в отделениях и в оперблоке, реанимации и тд…Н о это уже не интересно. простите, если заняла Ваше время….

    Ваша оценка: Thumb up Thumb down 0
  20. Vadim Sterkin

    10.05.2011 в 22:48

    ProFFeSSoR: Хотя если дать «потрогать» Хром 1.0 и 11.0 обыкновенному пользователю, дай Бог чтоб он там хоть пять отличи нашёл, не говоря уже о хоть каком-то изменении интерфейса. »

    То же самое можно сказать про все браузеры :) Лично мне изменения в интерфейсе уже давно не нужны, хотя IE9 порадовал минимализмом. А Opera при каждом обновлении сохраняет удобный мне набор и расположение панелей, так что я и не замечаю там ничего нового :)

    Если же говорить об укреплении безопасности, то не всегда эти изменения можно потрогать руками. Те же заплатки или внутренние улучшения движка.

    Metiss, спасибо за лирическое отступление — очень интересно :)

    nitrousoxidesis, впредь прошу вас обходиться без перехода на личности и оскорблений в моем блоге. Хотя в целом мысль выражена в правильном направлении :)

    Ваша оценка: Thumb up Thumb down 0
  21. Андрей

    10.05.2011 в 23:13

    Вадим, спасибо за статью. Обновления — автоматом.
    С выходом IE9, как то другие отошли на задний план.
    Не знаю как дальше, но пока устраивает по всем (для обыкновенного пользователя) параметрам.

    Ваша оценка: Thumb up Thumb down 0
  22. Vadim Sterkin

    10.05.2011 в 23:25

    Андрей, спасибо за отклик. Я рад, что у вас включено автоматическое обновление :)

    All
    В тему: сегодня обнаружена уязвимость 0-day в Google Chrome http://xakep.ru/55629/. Посмотрим, посчитает ли ее Symantec в будущем отчете :)

    Ваша оценка: Thumb up Thumb down 0
  23. Vadim aka Arab-Emir

    11.05.2011 в 17:49

    Вадим, спасибо большое, просто отличный пост. Даже отправил в «Фаворит Пэйдж», почитываю-перечитываю в свободное время. Всегда думал что Ослик самый тормозной и небезопасный. А тут оказывается, что это не совсем так :) Ещё раз спасибо.

    Ваша оценка: Thumb up Thumb down 0
  24. Vadim Sterkin

    11.05.2011 в 22:40

    Vadim aka Arab-Emir, я рад, что ваше слегка предвзятое мнение постепенно меняется. В ближайшее время вас ожидают новые потрясения ;)

    Ваша оценка: Thumb up Thumb down 0
  25. YaNkEE

    12.05.2011 в 19:59

    Юзаю Кроум, никому не секрет, что он сам себе начальник, да и зачем просить у юзера апдейта? Сейчас мало у кого лимитный трафик, поэтому обновляйся сколько хочешь. Ни разу не крали пароли (точнее один раз брат запустил что-то скачанное и hosts заменился, но его вернуть — как два пальца *** :). Обновления, конечно, это отлично, но крадут пароль либо нацеленно, либо массово. Нацеленно у простого человека красть не будут за ненадобностью. Ежели массово — пока твой пароль с кучей других не продадут — ты не заметишь, даже если браузер обновят. Но массово воруют не через дыры, а посредством соц. инжиниринга. В основном посредством замены файла hosts, хотя уже больше народу, видя другую страницу, меняют пароль и hosts, так как знают. Так что простым плебеям (к каковым я себя и отношу) боятся нечего =)

    З.Ы. А когда 2nd part?

    Ваша оценка: Thumb up Thumb down 0
  26. Vadim Sterkin

    13.05.2011 в 02:53

    YaNkEE: Но массово воруют не через дыры, а посредством соц. инжиниринга. »

    Думаю, что вы ошибаетесь. В свежем отчете по безопасности Microsoft написано, что в 2010 году доля троянов, крадущих пароли и мониторящих активность пользователя, в России составила 10,3% (в мире — 11.7%). Это относительно всех вредоносных программ, обнаруженных телеметрией Microsoft (MSRT, MSE и т.д.).

    Вряд ли такой большой процент можно отнести только на социальную инженерию. Да и она лишь средство обмана пользователя. Эксплуатируются же уязвимости браузеров и дополнений к ним, о которых и пойдет речь в «2nd part» уже сегодня :)

    Что же касается файла hosts, то попробуйте изменить его в Windows 7 со включенным UAC — замучаетесь :)

    Ваша оценка: Thumb up Thumb down 0
  27. YaNkEE

    13.05.2011 в 19:46

    Vadim Sterkin : В свежем отчете по безопасности Microsoft написано, что в 2010 году доля троянов, крадущих пароли и мониторящих активность пользователя, в России составила 10,3% (в мире – 11.7%). »

    Да, 10% через трояны, но через подставную страницу также было украдено большое количество паролей. Тем более, я имел ввиду то, что именно не посредством дыр в браузере.

    А насчет hosts — большая часть народу все равно на ХРюшах =)

    Ваша оценка: Thumb up Thumb down 0
  28. Vadim Sterkin

    13.05.2011 в 21:29

    YaNkEE, через подставные страницы, как правило, крадут доступ к финансовой информации. А этом аспекте Россия далеко не самая привлекательная страна для злоумышленников ввиду отсутствия у населения счетов и кредитных карт.

    Да, большинство сидит на XP, потому что не понимает преимуществ новых ОС. Windows 7, и особенно 64-разрядные система, уже второй год подряд показывает наименьший уровень заражений среди всех ОС Майкрософт.

    См. также Почему важно обновлять Windows и установленные в ней программы

    Ваша оценка: Thumb up Thumb down 0
  29. YaNkEE

    13.05.2011 в 21:43

    Vadim Sterkin : Россия далеко не самая привлекательная страна для злоумышленников ввиду отсутствия у населения счетов и кредитных карт. »

    Естественно, в России на такую оплату перейдут не скоро… Но воруют также пароли от соц. сетей, которые потом успешно продают. И все же, массово через дыру в браузере не своровать…

    Vadim Sterkin : Да, большинство сидит на XP, потому что не понимает преимуществ новых ОС. Windows 7 »

    ИМХО, заблуждение. Просто некоторые нубы не хотят переустанавливать ОС из-за того, что вышла новая. Или не умеют.

    А некоторые (к коим отношу себя я) не считают это возможным технически. Не все из-за новой ОС будут апгрэйдить железо… У меня Intel Celeron S, 192 Мб мозговой памяти и на винте 10 Гб (второй винт на 30 Гб сгорел…). Сумеете сюда поставить Windows 7, «и особенно 64-разрядную систему, уже второй год подряд показывающую наименьший уровень заражений среди всех ОС Майкрософт.»?

    Ваша оценка: Thumb up Thumb down 0
  30. YaNkEE

    13.05.2011 в 21:46

    И наименьшая зараженность 64х лишь доказывает ее меньшую популярность…
    Mac OS X тоже считается сложнозаразимой, однако аналитики говорят, что вирусов нет из-за непопулярности ОС, а если ее рост пойдет и дальше — вирусов станет больше =)

    Ваша оценка: Thumb up Thumb down 0
  31. Vadim Sterkin

    13.05.2011 в 22:06

    YaNkEE: Просто некоторые нубы не хотят переустанавливать ОС из-за того, что вышла новая. Или не умеют. »

    Ерунда, они ее переставляют раз в три месяца все равно, потому что убивают кривыми руками или теми же заражениями :)

    YaNkEE: Сумеете сюда поставить Windows 7, «и особенно 64-разрядную систему, уже второй год подряд показывающую наименьший уровень заражений среди всех ОС Майкрософт.»? »

    Так это ваша проблема, что у вас такое железо. Вы и на ХР не ощущаете всех преимуществ современных веб-сайтов в современных браузерах, потому что не тянет ваша машинка.

    И нечего жаловаться на свое слабенькое железо. Если вы за 15 лет не заработали ни на один апгрейд своей системы, то как вы вообще беретесь рассуждать о современных компьютерных технологиях? :) Только не нужно рассказывать, что вам не нужен апгрейд и вам и так замечательно и хорошо сидится на этом ручнике.

    YaNkEE: И наименьшая зараженность 64х лишь доказывает ее меньшую популярность… »

    Доказывает это только то, что вы не читали статью, хотя я не поленился дать вам ссылку. А написано там то, что подсчет заражений ведется относительно тысячи запусков MSRT. Поэтому популярность системы для этой статистики ключевого значения не имеет. А вот что имеет значение, там написано…

    Ваша оценка: Thumb up Thumb down 0
  32. YaNkEE

    13.05.2011 в 22:17

    И нечего жаловаться на свое слабенькое железо. Если вы за 15 лет не заработали ни на один апгрейд своей системы, то как вы вообще беретесь рассуждать о современных компьютерных технологиях? :)
    »

    Ну во-первых я не жаловался, а просто сказал, что не у всех мощный комп. Во-вторых у многих людей старые компьютеры. В-третьих, у студента четвертого курса на IT-факультете не было 15 лет, чтобы сделать апгрейд.

    Vadim Sterkin:
    Только не нужно рассказывать, что вам не нужен апгрейд и вам и так замечательно и хорошо сидится на этом ручнике.
    »

    Ну конечно, я не буду говорить, что я бы не хотел новый мощный компьютер. Этот компьютер у меня уже давно, и у меня нет лишних денег, чтобы купить мощный аппарат. Я лучше заплачу за универ и свожу девушку в кафе =) А так меня мой компьютер всем устраивает. Главное пробежаться в сети по закладкам, набрать реферат в 2007’ом ворде, покодить немного в visual studio — мне хватает =)

    З.Ы. и вообще, у многих моих знакомых (не только студентов) не хватает денег на новый комп, сидят на старых с полустертой клавиатурой и кодят на С++.

    Ваша оценка: Thumb up Thumb down 0
  33. Vadim Sterkin

    14.05.2011 в 01:07

    YaNkEE, все понятно, и с приоритетами тоже :) Что ж, желаю вам сразу после получения диплома (а то и раньше) найти достойную работу, чтобы с первой зарплаты можно было купить такой компьютер, на котором будет летать Visual Studio 2010 :)

    Ваша оценка: Thumb up Thumb down 0
  34. YaNkEE

    14.05.2011 в 08:48

    Vadim Sterkin, спасибо =)

    Ваша оценка: Thumb up Thumb down 0
  35. ruslan09

    18.05.2011 в 22:46

    Работаю с ChromePlus v1.6.1, основан на Google Chromium v10.0.648.204, который в свою очередь основан на обычном GoogleChrome. Использует самые стабильные версии исходника, уже установлены 99% всех нужных мне фич, очень удобен, быстр и безопасен. За год использования ни одного вируса не словил, антивирус кстати от мелкософта. Конечно при этом я не посещаю порно и варез сайты, если по ним лазить, то ни один браузер и антивирус вас не спасет. Ещё в этом мне помогает прекрасное дополнение WOT и AdBlock. Советую всем, очень доволен, за год падений браузера не наблюдал.

    Ваша оценка: Thumb up Thumb down 0
  36. Vadim Sterkin

    18.05.2011 в 23:12

    ruslan09, спасибо за отклик. Рекомендация использовать WOT будет в последней части рассказа о безопасности в браузерах, т.к. это логически вытекает именно из анти-фишинга.

    Ваша оценка: Thumb up Thumb down 0
  37. AlexIz

    20.05.2011 в 19:22

    ну с предложением по переходу на новые версии браузеров для закрытия дыр очень трудно согласиться по ряду причин, из которых основными являются на мой взгляд:
    1. новые версии почти всегда несут в себе гораздо больше уязвимостей, чем предыдущая, со всеми установленными патчами
    2. аппетиты новых версий обычно отличаются от старых весьма существенно (специально проводил тесты). А ставить, например, в систему по 8 ГБ памяти (пусть я и утрирую, но несильно), просто ради новой версии браузера станут немногие.

    Ваша оценка: Thumb up Thumb down 0
  38. Vadim Sterkin

    20.05.2011 в 22:57

    AlexIz, спасибо за интересное обоснование. Я вижу рациональное зерно в первом пункте, но больше в новых версиях уязвимостей или меньше — это вопрос.

    Возьмем релизы Firefox 3.6 — последние 11 выпусков подряд устраняли проблемы с безопасностью. То же самое и в остальных браузерах.

    Но в новых движках некоторые проблемы могут устраняться на конструктивном уровне, или наоборот — добавляться новые фичи, снижающие ущерб от выполнения вредоносного кода (всякие песочницы, противодействие XSS).

    Что касается второго пункта, то к безопасности это отношения не имеет, хотя аргумент понятен. Но обратите внимание, что повышенные требования к ресурсам отталкиваются от необходимости быстрее обрабатывать сложные сайты. Например, существует масса библиотек на JS — JQuery, Mootools и т.д, которыми напичканы сайты (у меня в блоге используется JQuery). Новые движки быстрее обрабатывают JS. Так что выбор за вами:
    старый браузер, меньше потребляемых ресурсов, но медленная работа сайтов
    vs.
    новый браузер, больше потребляемых ресурсов, и более быстрая работа сайтов

    Ваша оценка: Thumb up Thumb down 0
  39. Oleg

    18.08.2011 в 15:37

    Проверять наличие обновлений, но не обновлять его, потому как обновление происходит внутри браузера с теми же настройками, но не его полная замена, что по мне весьма не выгодно, очень.
    Поэтому все новые версии моего браузера не прошли проверки на качество обслуживания, и остались не удел.

    Firefox 3.0.6 по качеству все равно занимает 1 место среди всех при маленькой скорости и нестабильным интернетом, все пользователи кто использовал браузер этот буду солидарны уже по причине его эффективности, за всех если отвечать!

    Ваша оценка: Thumb up Thumb down -3
  40. Vadim Sterkin

    18.08.2011 в 16:27

    Oleg: все пользователи кто использовал браузер этот буду солидарны уже по причине его эффективности, за всех если отвечать! »

    Не нужно говорить за всех. Вы пользуетесь устаревшим браузером, к которому уже и обновления безопасности-то не выходят, наверное? Пользуйтесь им дальше. Но писать такое после прочтения данной статьи просто нелепо.

    Ваша оценка: Thumb up Thumb down +1

Навигация по комментариям

1 2 Далее →

Обсуждение завершено.

Subscribers

Популярные записи

  • Как Microsoft доставляет обновления Windows (17)
  • Серия пенальти: Проводник vs. Total Commander (165)
  • WOW! Как грамотно уменьшить размер папки WinSxS в Windows 7 SP1 (290)
  • Нюансы отключения службы SysMain в Windows 10 (26)
  • Создание отчета о скорости загрузки Windows и устранение системных проблем (163)
  • Как в Windows 10 автоматически выполнять задачи на восходе и закате солнца (33)
  • Как перенести Windows с HDD на SSD (315)
  • Еще →

Свежие комментарии

  • Виктор Гораев к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Stanislav Vershinin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Diogen к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Alexander Kuzin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки
  • Vadim Sterkin к записи diskusage vs. dfp: анализ занятого места на диске из командной строки

Рекомендую ресурсы

  • Windows 10, etc — канал этого блога в Telegram
  • Инсайдеры Windows 10 — чат блога в Telegram
  • Community — новости предварительных сборок
  • Николай Павлов — тайны планеты Excel
  • Вадимс Поданс — PKI, PowerShell и Тера Патрик
  • Василий Гусев — PowerShell и другие скрипты
  • Kazun — PowerShell для взрослых

Реклама

Измененная тема eleven40 Pro на платформе Genesis · Архивы и метки · Правила (16+) · О рекламе · Обратная связь · Вход

Допускается копирование материалов без изменений, с указанием имени автора и гиперссылки на сайт.