23.07.2013, 09:45
Nie od dziś wiadomo, że przeglądarki internetowe to w tej chwili jeden z ważniejszych...a może i nawet najważniejszy...wektor ataków na użytkowników komputerów. To właśnie przeglądanie zasobów sieci, aktywne z niej korzystanie (mniej lub bardziej rozsądne i legalne) powoduje, że ogromna ilość użytkowników daje się skusić "cudownym" promocjom, "super wszystkomającym i wszystkorobiącym" programom, ulega złudnym obietnicom lub po prostu zostaje zainfekowana zupełnie bez ich świadomego udziału. Powodów są setki i zależą one tylko od inwencji atakujących oraz łatwowierności, wiedzy i doświadczenia użytkownika...a może bardziej ich braku... a jakie są tego konsekwencje każdy chyba wie...wystarczy spojrzeć na ilość tematów "Jak usunąć fałszywy...", "Nie mogę uruchomić systemu", "Nie działa mi...", itp.
Przeglądarki oczywiście wprowadzają technologie obronne, które poza zainstalowanymi w systemie zabezpieczeniami, mają za zadanie ostrzec użytkownika lub nawet uniemożliwić atak/infekcję i jak można się spodziewać mają one swoją skuteczność, o czym na przykład mówią
Wyniki badań są nieco zaskakujące, bo wnioskować z nich można np. że:
-użytkownicy Linuxa czują się zdecydowanie bezpieczniej
- użytkownicy Firefoxa są zdecydowanie bardziej ostrożni
- użytkownicy Chrome dużo częściej ignorują ostrzeżenia i robią to szczególnie często podczas połączeń SSL
Pewne wnioski można wysnuć na podstawie tych 3 tabelek z raportu
przy czym zastanawiające jest zaufanie (a może ignorancja) użytkowników Chrome podczas połączeń SSL, co widać poniżej
Czemu tak się dzieje - autorzy nie podejmują się udzielić odpowiedzi i skłaniają się raczej do podsumowania w stylu "trzeba to zbadać". Nie zaryzykuję stwierdzenia, że nie chcieli tego zrobić z powodów osobistych i ewentualnego konfliktu interesów
Raport jest dostępny tu
Przeglądarki oczywiście wprowadzają technologie obronne, które poza zainstalowanymi w systemie zabezpieczeniami, mają za zadanie ostrzec użytkownika lub nawet uniemożliwić atak/infekcję i jak można się spodziewać mają one swoją skuteczność, o czym na przykład mówią
[Aby zobaczyć linki, zarejestruj się tutaj]
...jedną z nich są wbudowane mechanizmy pozwalające ostrzegać użytkowników o próbie otwarcia niebezpiecznej/niezaufanej strony. Na ile skuteczne są takie ostrzeżenia i czy da się na ich podstawie wysnuć jakieś wnioski starało się odpowiedzieć dwoje młodych ludzi: Devdatta Akhawe z University of California, Berkeley i jego koleżanka Adrienne Porter Felt reprezentująca Google, Inc. W maju i czerwcu 2013 przeprowadzili bardzo obszerne badanie, analizując wyniki ponad 25,4 miliona ostrzeżeń generowanych przez Firefoxa i Google Chrome . W badaniu, którego omówiono w artykule pt. "Alice in Warningland: A Large-Scale Field Study of Browser Security Warning Effectiveness"brano pod uwagę różne platformy systemowe i różne wydanie przeglądarek.Wyniki badań są nieco zaskakujące, bo wnioskować z nich można np. że:
-użytkownicy Linuxa czują się zdecydowanie bezpieczniej
- użytkownicy Firefoxa są zdecydowanie bardziej ostrożni
- użytkownicy Chrome dużo częściej ignorują ostrzeżenia i robią to szczególnie często podczas połączeń SSL
Pewne wnioski można wysnuć na podstawie tych 3 tabelek z raportu
[Aby zobaczyć linki, zarejestruj się tutaj]
przy czym zastanawiające jest zaufanie (a może ignorancja) użytkowników Chrome podczas połączeń SSL, co widać poniżej
[Aby zobaczyć linki, zarejestruj się tutaj]
[Aby zobaczyć linki, zarejestruj się tutaj]
Czemu tak się dzieje - autorzy nie podejmują się udzielić odpowiedzi i skłaniają się raczej do podsumowania w stylu "trzeba to zbadać". Nie zaryzykuję stwierdzenia, że nie chcieli tego zrobić z powodów osobistych i ewentualnego konfliktu interesów
Raport jest dostępny tu
[Aby zobaczyć linki, zarejestruj się tutaj]
"Bezpieczeństwo jest podróżą, a nie celem samym w sobie - to nie jest problem, który można rozwiązać raz na zawsze"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"
"Zaufanie nie stanowi kontroli, a nadzieja nie jest strategią"