Понятно, что именно члены последней группы вызывают беспокойство представителей мира бизнеса и профессионалов в сфере ИТ. Их действия побуждают специалистов вплотную заняться совершенствованием средств безопасности браузеров.
Расширение возможностей браузеровВ прошлом компании обновляли браузеры приблизительно раз в год. Сейчас они делают это еженедельно, а то и чаще, ведь разработчики должны принимать в расчет изменения, которые постоянно вносятся в средства обеспечения безопасности и в другие функции всех версий операционных систем Windows, Mac и Linux, в семейства процессоров, а также в настольные и мобильные системы. Каждая из этих платформ при взаимодействии с каждой новой версией браузера должна функционировать единообразно.
Поддерживать в актуальном состоянии браузеры, предназначенные для работы в столь разных средах, далеко не просто, особенно с учетом того, что и сами браузеры вышли за пределы той «поляны», на которой некогда располагались две платформы: Internet Explorer и Safari.
«Песочницы» и проксиРеализованные в браузерах средства обеспечения безопасности эволюционировали в нескольких направлениях.
Идея недопущения прямого контакта между текущим пользовательским статусом браузера и ресурсами пользовательской системы и операционной системой нашла свое воплощение в концепции «песочницы». В самом общем плане «песочница» — это запрет на доступ к ресурсам пользователя, к которым может обратиться страница браузера, таким как файловая система, память, запрет на вызов приложений либо обращение за разрешением на модификацию объекта. Прокси — это приложение-посредник, размещаемое в коммуникационном потоке между хостом, на котором выполняется браузер, и веб-страницей-приложением, к которому он обращается.
Режим «песочницы» для браузера может сводиться к выполнению такой простой процедуры, как обращение к пользователю за разрешением выполнить ту или иную операцию в интересах приложения. Он может включать в себя обращенное к пользователю предложение ввести пользовательский или системный пароль (это зависит от версии и уровня изоляции, поддерживаемого операционной системой). «Песочницы» браузеров стали весьма продуманными. Работа в этом режиме исключает отслеживание злоумышленниками компонентов операционной системы, в том числе таких устройств, как веб-камеры.
С ресурсами пользовательской памяти дело обстоит сложнее. Вообще «маяки-куки», файлы, оставшиеся после посещения веб-страниц, используются для формирования истории, подготовки сведений для регистрации и совершенствования пользовательского интерфейса. Однако этот кэш данных, поступивших к вам в ходе просмотра общедоступной сети, представляет интерес и для тех специалистов, которые подбирают для вас рекламные объявления, а также тех, кто отслеживает поступающую к вам информацию. Ценность файлов-«маяков» для потребителей весьма сомнительна, но с точки зрения специалистов по маркетингу эти сведения — чистое золото.
На начальных этапах «песочница» использовалась как главный инструмент защиты активов пользователей (их паролей, банковских счетов, веб-камер, нажатий клавиш и т. д.) от несанкционированных посягательств со стороны приложений браузера. Но в процессе эволюции браузеры подвергались изменениям, и действие средств защиты распространилось и на другие активы.
Один из первых шагов на этом пути был сделан корпорацией Apple, решившей не поддерживать подключаемый модуль Adobe Flash. Данное решение вызвало многочисленные споры, но способствовало повышению уровня безопасности разработанного специалистами Apple браузера Safari. В результате специалисты целой отрасли взялись за переоценку технологии Flash и за разработку альтернативных платформ (примером может служить Silverlight корпорации Microsoft) с целью создания аналогичных приложений для браузеров.
Позднее поставщики браузеров (и в первую очередь крупный разработчик Google Chrome) начали предупреждать пользователей, что их разговоры не шифруются и что определенные части страниц могут передаваться открытым текстом. Это побудило пользователей отказаться от передачи по общедоступным каналам легко считываемых имен пользователей, паролей и другой засекреченной информации. Наконец, переход к использованию протокола HTTPS, последовавший после десятилетий работы с незащищенной информацией, вынудил владельцев веб-страниц начать шифрование контента с применением действительных сертификатов безопасности, что привело к общему повышению уровня базового шифрования.
Полезными могут быть и программы-посредники. При использовании протокола HTTPS (а он сегодня применяется почти повсеместно) обмен информацией шифруется с помощью сертификатов, помещаемых в браузер и в используемую веб-страницу. После установки особого сертификата посредник превращается в брокер информационных обменов по протоколу HTTPS и далее может использовать приемы отслеживания потоков данных с целью предотвращения передачи вредоносов. Эта методика шифрования с применением брокера лежит в основе многих подходов к организации безопасного «облачного» доступа с использованием посредника.
Репутация сайтаВ число функциональных возможностей браузера ныне входят и средства поиска и просмотра репутации сайтов, хотя при использовании этих средств порой раскрываются конфиденциальные сведения (данные, касающиеся пользовательского запроса). Сегодня многие сайты включаются в «черные списки» с помощью службы, разработанной сотрудниками Google, но само наличие этой службы, возможно, указывает на то, что информация о целевых веб-сайтах изучается в процессе сбора данных. Браузер, использующий данную подборку (в некоторых браузерах предусмотрена возможность отказа от этой функции), может сохранять касающуюся репутации сайта информацию по указателю URL, который вводится пользователем.
Указатели URL, напечатанные с ошибкой, могут выявляться с помощью механизмов поиска и просмотра репутации сайтов, например механизма Google, но при том же дефиците данных по истории просмотра конкретным пользователем и по безопасности, а также проблеме соответствия требованиям европейского общего регламента по защите данных General Data Protection Regulation, GDPR).
Большинство браузеров позволяют кэшировать учетные данные для посещения веб-сайтов — даже широко используемые поля, такие как электронная почта и адрес, а также другие пригодные к использованию элементы. Применение баз данных браузеров вызывает возражения, хотя доступ к кэшированным в браузере учетным данным, полученным не из куки-файлов, осуществляется в «песочнице». Браузеры, сохраняющие пароли, уязвимы для атак методом локального просмотра браузера (sit-down attacks). Сядьте за компьютер с оставленным без присмотра браузером, и в течение нескольких секунд большинство браузеров отобразят пароли, если только в соответствующем браузере (или в операционной системе) не была использована настройка, требующая введения пароля для отображения других паролей.
Хотя зародившаяся в отрасли инициатива Do-Not-Track принесла мало пользы, некоторые браузеры дают пользователям возможность редактировать файлы-маяки и удалять «отслеживающие» файлы. Кроме того, действие этих файлов может быть несколько ограничено с помощью надстроек, известных как защитники секретов (privacy guards) или блокировщики файлов-маяков (cookie blockers), которые препятствуют отслеживанию данных либо отключая сценарии, либо путем блокировки ответов на теги, ответственные за взаимодействие с пользователями.
Один из таких блокировщиков — разработанная программистами EFF программа Privacy Badger, другой — приложение Ghostery. Ни одно из этих контролирующих передачу секретных данных или отслеживающих получаемую информацию приложений не дает стопроцентной гарантии успеха. К тому же некоторые веб-сайты не позволяют посетителям просматривать свои страницы в случаях, когда выясняется, что некий пользователь пытается загрузить страницу, пользуясь при этом средством, блокирующим передачу конфиденциальных сведений, отслеживание данных или демонстрацию рекламных объявлений.
«Браузерные войны» начались не вчера и пока продолжаются. По мере того как браузеры начинают вытеснять используемые операционные системы, модель браузера, применяемого в качестве операционной системы, будет и впредь держать в напряжении поставщиков браузеров и их пользователей. Скрытая от постороннего глаза броня будет становиться мощнее, а «песочницы» глубже.
Для обеспечения безопасности ИТ-систем предусмотрены методы управления доступом браузеров, когда имеется возможность управления сетями коммуникаций. Посредники и средства «облачного» доступа с использованием посредника обеспечивают внешний метод защиты пользователей, а поставщики располагают различными методами увеличения глубины и жесткости модели обеспечения безопасности, известной как «песочница». Специалисты Microsoft разработали управляемые гипервизорами спонтанные экземпляры браузеров, которые порождают средства защиты браузеров в стиле виртуальных машин. Появление систем защиты, реализованных в виде «браузеров в контейнерах», определенно не за горами.
Поделитесь материалом с коллегами и друзьями
Аналитика больших данных как инструмент бизнес-инноваций. Результаты свежего исследования Самое читаемое Windows обречена? Надежные средства киберзащиты промышленного уровня Добавляем новые возможности в контекстное меню Windows Шифрование для MongoDB Процесс управления RID в Active Directory Составляем произвольную буквенную последовательность Популярные теги Windows 10 SharePoint Microsoft Azure Active Directory Все темы White Papers Veeam 6 критически важных причин необходимости резервного копирования Office 365 19 апреля 2019 Veeam Снижение рисков атак программ-вымогателей с помощью платформы Veeam Hyper-Availability Platform 19 апреля 2019 Об издательстве Об издании Обратная связь Как нас найти Контакты О републикации Теги Архив изданий Политика обработки персональных данных
«Открытые системы» - ведущее российское издательство, выпускающее широкий спектр изданий для профессионалов и активных пользователей в сфере ИТ, цифровых устройств, телекоммуникаций, медицины и полиграфии, журналы для детей.
© «Открытые системы», 1992-2019.
Все права защищены.