Aktualności
2011-03-16
Przeglądarka pod lupą
Loga przeglądarek
Badania aplikacji służących do przeglądania zasobów WWW.
Każdy z nas używa przeglądarki internetowej. Są rzesze zwolenników jednych inie mniejsze grupy fanów innych – niejednokrotnie toczących pomiędzy sobą zażarte dyskusje. Jedni korzystają z browserów, by oglądać filmy online, inni – by dokonać przelewów, a jeszcze inni tylko by sprawdzić pocztę lub poczytać wiadomości.

Przy obecnym stopniu popularyzacji usług internetowych oraz różnej maści portali (szczególnie społecznościowych), wiele osób nie wyobraża sobie zaprzestania korzystania z ulubionych stron. Czy jednak programy, pozwalające na korzystanie z tych dobrodziejstw, są bezpieczne? Czy, mając nawet najnowszą wersję przeglądarki, możemy wchodzić na dowolną stronę, nie martwiąc się o kradzież poufnych danych lub zainstal- owanie na naszym komputerze jakiegoś złośliwego oprogramowania? Czy, nawet wchodząc tylko na strony udostępniające szyfrowane połączenie, możemy być pewni, że wszystkie dane, które wpiszemy wformularzu, będą rzeczywiście poufne?

Zespół Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego, zajmujący się na co dzień pracą operacyjną związaną z utrzymywaniem odpowiednio wysokiego poziomu bezpieczeństwa infrastruktury teleinformatycznej PCSS i sieci PIONIER, co jakiś czas wramach badań własnych podejmuje temat istotny dla wszystkich użytkowników globalnej sieci. Po poprzednich badaniach dotyczących polskich portali bankowości elektronicznej (2006) oraz sklepów internetowych działających w naszym kraju (2008), postanowił tym razem przyjrzeć się najpopularniejszym aplikacjom służącym do przeglądania zasobów WWW.

Pod lupę badaczy trafiło 5 najpopularniejszych wśród użytkowników programów: Mozilla Firefox, Internet Explorer, Google Chrome, Opera oraz Apple Safari. Ze względu na fakt, że standardem dla usług związanych z przesyłaniem danych osobowych czy środków pieniężnych jest korzystanie z szyfrowanego protokołu HTTPS, analizy były skoncentrowane na jakości obsługi zabezpieczonych kryptograficznie połączeń. Pod uwagę branych było kilka różnych aspektów – np. budowa i obsługa tuneli SSL/TLS, udostępniane domyślnie algorytmy kryptograficzne czy szybkość przesyłania danych przy pomocy szyfrowanego połączenia. Najbardziej chyba istotną częścią prac była ocena informowania użytkownika o potencjalnym niebezpieczeństwie. Wielu internautów trudni się zawodowo kwestiami zupełnie odmiennymi niż bezpieczeństwo IT, dlatego aplikacje powinny informować o zagrożeniach czytelnie i jasno, mieć odpowiednie ustawienia domyślne oraz w należyty sposób sugerować pożądane działania.

Oczywiście, żadna z przeglądarek nie była w jakikolwiek sposób faworyzowana czy też dyskryminowana – wszystkie zostały poddane dokładnie tym samym testom. „Biedne” browsery traktowane były między innymi wyciąganiem kabla sieciowego podczas przesyłania plików szyfrowanym tunelem, specjalnie spreparowanymi certyfikatami (np. przed lub po upływie terminu ważności, wygenerowany przy użyciu słabego klucza, niepodpisany przez zaufane centrum autoryzacji), czy wreszcie złośliwie skonstruowanymi „bezpiecznymi” stronami. Przeprowadziliśmy też krótkie badanie poziomu zabezpieczeń kryptograficznych oferowanych przez najpopularniejsze strony internetowe na świecie iw Polsce.

Przeprowadzone badania wykazały, że producenci przeglądarek starają się zapewnić ich użytkownikom coraz wyższy poziom bezpieczeństwa – a więc także spokój i komfort surfowania. Mimo to waplikacjach można (a wręcz należy) poprawić jeszcze wiele rzeczy. Co więcej, wniektórych przypadkach sam sposób komunikacji programu z użytkownikiem może być przyczyną błędnych wyborów użytkownika – co może skutkować niekiedy narażeniem się na atak. Jak łatwo się domyślić, przy wyraźnie zauważalnych tendencjach twórców oprogramowania do spełniania aktualnych standardów zabezpieczeń – nie udało się znaleźć jednoznacznej odpowiedzi na pytanie „która z przeglądarek jest najlepsza”. Można jednak pokusić się o opis sytuacji, w których lepiej użyć programu X, kiedy Y, a kiedy sięgnąć po Z.

Wynika stąd zatem, że korzystanie tylko z jednej przeglądarki nie jest rozwiązaniem idealnym. Podczas testów okazało się na przykład, że w zakresie bezpiecznego przesyłania danych prym wiodą Mozilla Firefox, Google Chrome oraz Opera. Najszybsze przesyłanie zabezpieczonych danych w stronę serwera oferuje Mozilla Firefox oraz Internet Explorer, za to Mozilla Firefox najsłabiej zaprezentował się podczas przesyłania danych w drugą stronę.

Na blisko 80 stronach raportu opublikowanego na stronie Zespołu Bezpieczeństwa PCSS (http://security.psnc.pl) znaleźć można dokładny opis testów jakim poddano przeglądarki. Zapraszamy do zapoznania się z wynikami, a osoby poruszone liczbą stron chcemy pocieszyć, że badania nad interakcją z użytkownikiem zaowocowały wieloma zrzutami ekranowymi. Ponadto dokument zawiera szereg sekcji, w przystępny sposób wprowadzających do zagadnień kryptograficznych, co ułatwia przyswojenie technicznej części raportu. Dostępne jest także krótkie podsumowanie, zestawiające plusy i minusy testowanych przeglądarek. Jak już wspomnieliśmy, duża część raportu poświęcona jest opisowi interakcji z użytkownikiem. Zwracaliśmy uwagę na niejednoznaczne lub niejasne komunikaty o problemach z wywoływaną stroną. Pokusiliśmy się też – na podstawie dialogu, jaki prowadzą z użytkownikiem podczas sytuacji nietypowych bądź podejrzanych – o klasyfikację przydatności przeglądarek w zależności od zaawansowania technicznego ich użytkowników. Zachęcamy także do samodzielnego testowania używanych programów!

Ogólny wydźwięk raportu może zaskakiwać po porównaniu wyników testów choćby z opiniami internautów o danej przeglądarce. Na pewno warto się zapoznać z rezultatami, aby dowiedzieć się, przed jakimi zagrożeniami nasz ulubiony browser nas nie uchroni, a w jakiej sytuacji szybciej prześle szyfrowane dane konkurencja.

Planujemy, aby wydany niedawno raport był jedynie pierwszym z serii. Koncentracja na obsłudze połączeń szyfrowanych jest oczywiście bardzo istotnym, ale jednak jednym z wielu aspektów bezpieczeństwa przeglądarek. Zaatakować ich użytkownika można także w inny sposób – na przykład znajdując i odpowiednio wykorzystując błędy w ich kodzie. Zresztą – być może nieustannie zmieniający się obraz bezpieczeństwa IT nasunie nam inny interesujący pomysł. Z pewnością jednak użytkownicy nie zaprzestaną korzystania z przeglądarek, agresorzy nie porzucą pomysłu przełamywania zabezpieczeń tych aplikacji, a my nadal będziemy sprawdzać, co w browserze piszczy.

Mateusz Drygas, PCSS
Jakub Tomaszewski, PCSS