Wiadomości
Ikony przeglądarek internetowych
Czy podczas korzystania z przeglądarek internetowych myślimy o swoim bezpieczeństwie i bezpieczeństwie  swojego komputera? Czy zdajemy sobie sprawę, ile niebezpieczeństw czyha na użytkowników przeglądarek? Próbę odpowiedzi na te pytania  podjęli członkowie Zespołu Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego, przeprowadzając testy porównawcze przeglądarek internetowych pod kątem odporności na ataki na szyfrowane połączenia SSL/TLS. Szczególną uwagą objęty został sposób wykrywania potencjalnych zagrożeń przez przeglądarki oraz informowania o nich użytkownika (także nieposiadającego szerokiej wiedzy technicznej).

Testom poddanych zostało 5 najpopularniejszych przeglądarek internetowych (w kolejności alfabetycznej): Apple Safari, Google Chrome, Microsoft Internet Explorer, Mozilla Firefox i Opera. Zweryfikowano m.in. zestaw obsługiwanych algorytmów kryptograficznych oraz szybkość przesyłania danych w szyfrowanych połączeniach przy niestandardowych warunkach w sieci. Jednakże najważniejszą częścią prac było badanie sposobu interakcji z użytkownikiem w przypadku napotkania na różnego rodzaju błędy w zabezpieczeniach przeglądanych stron (np. nieaktualny certyfikat lub zaszyte na witrynie elementy nieszyfrowane). Badano sam fakt wykrycia zagrożenia, szczegółowość i czytelność zaprezentowanych użytkownikowi informacji, a także poziom ochrony zapewniany przez domyślne ustawienia przeglądarki.

Z drugiej strony należy zaznaczyć, że przedmiotem obecnej fazy testów nie była odporność kodu oprogramowania przeglądarek i na podstawie uzyskanych wyników nie należy wyciągać żadnych wniosków w tym zakresie.

Wyraźnie widoczne jest dążenie producentów aplikacji do stworzenia użytkownikom warunków, w których mogliby korzystać z Internetu w sposób bezpieczny. Jednak realizacja tego dążenia nie udaje się wszystkim tak samo dobrze, a niekiedy jest bardzo niejednorodna w ramach poszczególnych przeglądarek. Badane aplikacje charakteryzują się również odmienną ilością informacji o napotkanych błędach, prezentowanych użytkownikowi, co może mieć znaczenie w kwestii wyboru oprogramowania dla poszczególnych grup internautów.

 

Uzyskane rezultaty nie pozwalają na wyodrębnienie absolutnego lidera czy outsidera. W subiektywnej ocenie autorów raportu obie najbardziej popularne przeglądarki (Firefox i Internet Explorer) spełniają większość podstawowych wymagań w zakresie bezpiecznej obsługi tuneli SSL/TLS, przy czym w przypadku Firefoksa lepiej rozwiązano mechanizm interakcji z użytkownikiem oraz zastosowano nieco bezpieczniejsze ustawienia domyślne, a Internet Explorer uzyskiwał ogólnie lepsze wyniki testów wydajności szyfrowanych tuneli.

Spośród pozostałych przeglądarek, obejmujących swoim zasięgiem węższe segmenty rynku, autorzy raportu wyróżnili Operę za najlepiej rozbudowane mechanizmy informowania o zagrożeniach. Najwięcej do nadrobienia zdają się zaś mieć jeszcze autorzy oprogramowania Safari.

Wydaje się też, że wykorzystywanie tylko jednej przeglądarki (w ujęciu ogólnym, a nie tylko w kontekście tuneli SSL/TLS) jest rozwiązaniem bardzo ograniczającym możliwość postrzegania problemów, zwłaszcza w przypadku użytkowników zorientowanych technicznie.

Raport dostępny jest poniżej w pliku PDF.
Gerard Frankowski