Test browserů
Surfujete PO INTERNETU BEZPEČNĚ? Chip vám ukáže, jak hackeři a zloději dat zneužívají bezpečnostní problémy browserů a také jak se v tomto případě bránit…
CLAUDIO MÜLLER
Používáte starý prohlížeč bez záplat? Pak to u vás mají hackeři snadné: k vašim soukromým datům se mohou dostat stejně snadno jako do domu s otevřenými okny a dveřmi. Je překvapivé, že většina uživatelů stále používá Internet Explorer 7, a nezanedbatelné procento uživatelů dokonce i jeho předchůdce s číslem 6. Tyto prohlížeče jsou totiž ve srovnání s konkurencí pomalejší, méně vybavené a především zranitelnější. Přitom alternativ je k dispozici více než dost: Firefox, Opera, stále více příznivců nachází v poslední době i Safari od Applu, a dokonce i novinka od Googlu - Chrome - vypadá nadějně.
V současné době, kdy hackeři pracují jako profesionálové a honbu za daty provádějí skutečně ve velkém, už není volba prohlížeče jen otázkou toho, zda „se mi líbí“. Především pokud je počítač vaším „pracovním nástrojem“, nebo z něj dokonce ovládáte svůj bankovní účet, měla by být volba prohlížeče důležitým rozhodnutím. My vám ukážeme, jak jednotlivé browsery obstojí v přímém srovnání nejen z hlediska funkcí, ale především z hlediska bezpečnosti.
Riziko při surfování
V našich článcích na téma bezpečnosti doporučujeme těm nejnáročnějším uživatelům použití bezpečnostního balíku, který dokáže počítač komplexně zabezpečit - od portů až po e-mailovou schránku. Pravda ale je, že ani nejlepší bezpečnostní software nedokáže zabránit zneužití zranitelností v prohlížeči. Nejnebezpečnější hrozba se skrývá pod zkratkou XSS (cross-site scripting). Ten totiž zahrnuje celou řadu možností, jak v prohlížeči spustit nebezpečný kód. Obrázek vpravo ukazuje, jak mohou hackeři využít tento typ útoků k získání vašich soukromých dat.
První typ útoku infiltruje škodlivý skript do dynamicky generovaných odkazů, které jsou podobné výsledkům z vyhledávačů. Pokud uživatel na takto „upravený“ link klikne, kód se spustí a z počítače uživatele ukradne vybranou „session“ cookie. Její pomocí může hacker zísplný přístup k vybranému účtu, dokud je uživatel přihlášen. Nejhorší je to, že celá stránka (do které byl infiltrován link) je originální - pochopitelně kromě infikované URL. I z tohoto důvodu patří tento typ útoků mezi nečastěji se opakující. Druhý typ útoků je charakteristický uložením škodlivého kódu přímo na serveru, a to také na delší dobu. V praxi jde o případ, kdy hacker umístí škodlivý kód například do diskuse nebo do návštěvní knihy serveru. Každý uživatel, který si tuto položku přečte, spustí kód v prohlížeči. Stejně jako v prvním případě i tento typ útoku je možný jen u serverů s bezpečnostními mezerami.
Nicméně zločinci se nyní zaměřují také na hledání zranitelností v doplňcích prohlížečů -například ActiveX, Flash nebo QuickTime, které jsou nutné pro zobrazení dynamických prvků nebo přehrání multimediálních formátů. A právě pomocí mezer v těchto doplňcích se hackeři pokouší získat přístup do systému. Největší procento útoků je zaměřeno na ActiveX komponenty, které jsou podporovány pouze v IE. Tyto komponenty jsou oblíbeným cílem i proto, že mají velmi často přidělenu celou řadu přístupových práv, které hackerovi průnik do systému usnadňují. Jiné komponenty (jako například Java applety) často běží odděleně v tzv. sandboxu, spolupracují s prohlížečem a k samotnému systému obvykle přístup nemají. Všechny prohlížeče umožňují kompletní vypnutí všech zmiňovaných komponent, dokonce ani instalace QuickTime rozšíření nebo Flashe není nutností. Tak proč riskovat?
Aktivní obsah: Bez něj je to těžké
Pokud se rozhodnete vypnout zobrazování „aktivního obsahu“, brzy zjistíte, že se vám správně zobrazí jen zlomek webů. Statické HTML stránky obsahující jen text a obrázky jsou už dávno minulostí. Všechny dynamické prvky - například animace, otevírající se nabídky, prezentace - se v prohlížeči zobrazují jen pomocí „aktivního obsahu“. Tyto prvky jsou naprogramovány v různých (i skriptovacích) jazycích. Nejčastější bývá použití Javy nebo Javascriptu, a proto nikat koho nepřekvapí, že všechny prohlížeče v testu podporují oba zmiňované jazyky. Důležité: Zatímco Javascriptu prohlížeč „rozumí“ bez problémů, Java musí být spuštěna ve specifickém prostředí a výsledky pro prohlížeč „přeloženy“. Toto prostředí bývá do prohlížeče obvykle integrováno jako plug-in.
Ve srovnání se statickými weby mají ty dynamické výhodu v nabídce více funkcí a lepšího pohodlí. Nevýhoda: Nezávisle na zmiňovaném bezpečnostním riziku mají dynamické weby většinou ještě jednu nevýhodu, a to mnohem větší velikost. Pokud jsou navíc přidány komplikované kaskádové styly (CSS), které nabízejí další možnosti vizuální „konfigurace“ stránky, může být nahrávání stránky opravdu dlouhé…
Pravda je, že poměrně často bývají nejslabším článkem řetězu „renderovací“ jádra v prohlížečích. Ta se starají o správné zobrazování jednotlivých standardů (HTML, XML a také zmiňovaných CSS) a hrají hlavní roli v závodu v rychlosti zobrazení webu. My jsme otestovali, který z prohlížečů je nejen bezpečný a pohodlný, ale také rychlý.
Šest prohlížečů pod mikroskopem: Bezpečnost především
K nejdůležitějším kritériím z hlediska bezpečnosti patří i ochrana soukromí. Browsery si obvykle do cache ukládají přihlašovací údaje, položky formulářů a historii surfování, kde mohou být tyto informace snadnou kořistí hackerů a zlodějů dat. Tomu se lze bránit používáním speciálního surfovacího modu. V něm se do cache browseru neukládají žádná data a surfování lze považovat za částečně anonymní (úplné anonymity lze dosáhnout „skrytím“ IP adresy například pomocí proxy serveru). Tento „anonymní mod“ nabízí už dlouhou dobu browser Safari od Applu, teprve nedávno se pak k němu připojily i browsery Internet Explorer 8 a Chrome (v beta verzích). V Opeře tato funkce schází a ve Firefoxu se s anonymním surfovacím modem počítá až ve verzi 3.1 - pro verzi 3 je k dispozici „jen“ rozšíření. Pro pořádek je ale nutné podotknout, že jak Opera, tak Firefox nabízejí velmi dobrý „management“ cookies a celou řadu možností, jak při surfování kontrolovat soukromá data.
V současné době patří antiphishingový filtr k základní výbavě prohlížeče, v jeho kvalitě jsou ale stále velké rozdíly. Například Firefox, Opera a Safari rozpoznají přibližně 80 procent phishingových webů uvedených na webu www.phishtank.com. Ve srovnání s nimi je na tom se svými 40 procenty Internet Explorer 8 velmi špatně a překvapivé je, že si vede dokonce i hůře než jeho předchůdce s číslem 7. Na druhou stranu, Internet Explorer 8 je jediným prohlížečem v testu, který nabízí integrovanou XSS ochranu. Ta by měla uživatele chránit před škodlivým kódem na webových stránkách a zabránit jiným typům špehování. Ve Firefoxu sice tato funkce integrována není, k dispozici je ale rozšíření, které vám tuto ochranu nabídne (rozšíření najdete i na našem DVD).
Smutným faktem tedy je, že jeden z nejpoužívanějších prohlížečů, Internet Explorer 7, nenabízí ani XSS ochranu, ani anonymní mod a výkon jeho antiphishingového filtru je podprůměrný. Navíc podle bezpečnostních expertů ze serveru Secunia také obsahuje nejvíce bezpečnostních mezer, z nichž nemalá část stále ještě není opravena. To je další důvod, proč se IE7 zdaleka vyhnout. Navíc ve výkonnostních testech za zbytkem „závodního pelotonu“ žalostně zaostával - a to jak v „SunSpider“ testu, tak i při testování CSS.
Rychlost: Rychlé počítače a staré stroje
Pomocí „SunSpider“ testu jsme zkoumali výkon javascriptového enginu - což by mělo leccos naznačit o rychlosti prohlížeče při zpracování komplikovanějších webových stránek. Tento „benchmark“, který se skládá z 26 samostatných „minitestů“, můžete vyzkoušet i sami ve svém prohlížeči (najdete ho na adrese www2. webkit.org/perf/sunspider-0.9/sunspider.html). Stačí jen v dolní části stránky kliknout na »Start Now!«, a za pár minut poznáte, jak si ve srovnání stojí váš prohlížeč. Další test, test CSS, zjišťuje rychlost, jakou dokáže prohlížeč pracovat s kaskádovými styly - ukazuje rychlost zpracování stránky s graficky náročnými styly. I výsledek tohoto testu byl pro nás překvapením, protože i zde Internet Explorer 8 výrazně zaostal za ostatními. Na opačném konci výsledkové listiny příjemně překvapil prohlížeč Chrome, který se po boku Safari dostal na absolutní vrchol výkonnostních testů. Oba zmiňované prohlížeče totiž porazily ostatní „závodníky“ rozdílem několika tříd.
Pohodlí: Příjemné surfování
Bývá obvyklé, že nejrychlejší sportovní vozy nejsou zrovna ideální pro delší pohodlné cestování. Podobně lze i testovací verzi prohlížeče Chrome označit spíše za rychlý a spolehlivý nástroj pro internetové puristy. Běžný uživatel zde bude postrádat pohodlnou správu záložek, náhledy webů nebo ukládání skupin odkazů. Nepříjemné také je, že v prohlížeči chybí funkce pro individuální nastavení (povolení) aktivních prvků. To lze provést pouze na úrovni jednotlivých webů. V Opeře a Firefoxu je tento „problém“ vyřešen mnohem lépe. I z celkového pohledu na komfort surfování jsou na tom oba zmiňované browsery mnohem lépe než Google Chrome. Září především Opera, která má již v základní verzi působivou nabídku funkcí. Jinou cestou jde Firefox, který toho sice „v základu“ tolik neumí, ale pomocí více než pěti tisíc rozšíření ho lze označit za nejpřizpůsobivější prohlížeč.
Příjemné zlepšení jsme zaznamenali u Internet Exploreru 8, který na rozdíl od svého předchůdce nabízí správce rozšíření, obnovu záložek nebo ochranu proti pádu - podobně jako v browseru Chrome zde tvoří každý panel separátní proces.
Ačkoliv byl Google Chrome v testu nejrychlejší, teprve až finální verze nabídne skutečně praktické a pohodlné surfování. Na Internet Exploreru 8 je vidět, že se snaží držet krok s konkurencí, ale ne vždy se mu to daří. Teprve dvojice našich vítězů přesně splňuje naše požadavky na ideální prohlížeč - bezpečné a rychlé surfování jako základ a rozsáhlou nabídku funkcí jako bonus…
AUTOR@CHIP.CZ
SHRNUTÍ
Vybírejte pečlivě Klasické útoky na počítač jsou dávno minulostí. Nyní jsou dvě třetiny útoků namířeny přímo proti webovým aplikacím. Jejich hlavním a nejdůležitějším cílem je pochopitelně brána k webu - internetový prohlížeč. A právě z tohoto důvodu je úroveň bezpečnosti browseru jedním z nejdůležitějších faktorů pro bezpečný počítač. Je neuvěřitelné, že i přes tristní výsledky ve většině testů je internet Explorer (verze 6, 7 i 8) stále dominantním prohlížečem. Argumenty ve stylu „Stejně si prohlížím jen stále stejné weby“ jsou ve světle nových triků hackerů jen naivní představou. Ano, tisíce uživatelů opravdu surfují s IE bez větších problémů - je však jen otázkou času, kdy se objeví první útok na jejich data… Upozornění: Ačkoliv jsou v testu zařazeny dvě beta verze, rozhodně nedoporučujeme jejich nasazení „v běžném provozu“.
Petr Kratochvíl, redaktor Chipu
ROZŠÍŘENÍ BROWSERŮ
Před šesti roky používalo více než 90 procent uživatelů Internet Explorer. Nyní má již více než třetina uživatelů nainstalován alternativní produkt. Z hlediska statistik je nutné ještě podotknout, že údaje o podílu jednotlivých prohlížečů jsou ovlivněny jak geograficky (např. v Evropě nebo i v ČR je podíl Firefoxu větší), tak i odborně (na IT serverech je podíl alternativních prohlížečů mnohem větší).
71 % INTERNET EXPLORER
20 % MOZILLA FIREFOX
6 % APPLE SAFARI
1 % OPERA
1 % GOOGLE CHROME
1 % JINÉ
ZDROJ: NET APPLICATIONS 11/08
Dva způsoby, jakými vám hackeři mohou ukrást vaše data
CROSS-SITE-SCRIPTING S JAVASCRIPTEM
Javascript je programovací jazyk pro interaktivní prvky na webové stránce (např. animace nebo formuláře).
MEZERY V BROWSERECH
Flash přehrávač: Kromě videoformátů může i „flash kontejner“ obsahovat kódy programovacího jazyka nazývaného ActionScript.
Dokumenty ke stažení- Testy a recenze - Test browserů (526.47 kB) - Staženo 984x