Содержание
С годами веб-браузеры стали намного более безопасными и защищенными от атак. Google даже предлагает денежные призы людям, которые сообщают о дырах в безопасности. Большая проблема безопасности браузера в наши дни — плагины браузера. Я не имею в виду расширения, которые вы устанавливаете в своем браузере — я имею в виду те плагины, которыми может воспользоваться любая веб-страница, например Adobe Flash, Adobe Reader и Oracle Oracle.
Некоторые читатели нашли мои комментарии, побуждающие людей удалять Java, если они не используют ее
спорно. Я поддерживаю их, и я скажу вам, почему. Я также расскажу вам, что вы можете сделать, чтобы защитить себя.
Поверхность атаки
Троян Flashback заразил более 600 000 компьютеров Mac. Как это заразить их? Он вызывал плагин Java с веб-страницы и загружал специальный апплет Java, который использовал ошибку Java, получая доступ к системе. Установка Java увеличивает вашу поверхность атаки. Теперь представьте себе браузер с несколькими плагинами — Java, Flash, PDF reader, QuickTime
, Silverlight
, Unity Web Player
RealPlayer (я уверен, что некоторые люди все еще его установили) и многое другое — и вы увидите, насколько плагины увеличивают поверхность вашей атаки. Каждый плагин должен обновляться отдельно, используя собственный менеджер обновлений. В то время как поставщики браузеров тщательно изучают возможность написания безопасного кода, разработчики плагинов, похоже, не испытывают такой же восторженности в своих брюхах, и многие из них имеют ужасные записи о безопасности.
Самое замечательное в компрометации плагина заключается в том, что вы можете компрометировать сразу несколько платформ. Найдите дыру в безопасности во Flash, и вы сможете скомпрометировать практически любой браузер на планете — Internet Explorer в Windows, Safari на Mac, Firefox в Linux — вы можете просто взбеситься.
Автоматические обновления?
Плагины сильно отстают от браузеров, когда речь заходит о мерах безопасности, особенно автоматических обновлениях. Google Chrome, Mozilla Firefox и даже Internet Explorer теперь автоматически обновляются по умолчанию. Для сравнения, Java-плагин Oracle проверяет наличие обновлений раз в месяц по умолчанию. И вместо автоматического обновления он показывает маленький значок в системном трее, который многие неопытные пользователи будут игнорировать. Конечно, вы можете увеличить частоту проверки обновлений, но это не поведение компании, которая заботится о безопасности. Неудивительно, что Chrome блокирует запуск Java по умолчанию и инструктирует пользователей запускать его только на тех сайтах, которым они доверяют.
Вместо этого браузеры должны были выбрать слабые и черные списки старых версий плагинов, чтобы предотвратить их запуск. Adobe Flash недавно вскочил на борт обновляющейся версии с автоматическим обновлением, но они должны были начаться много лет назад.
Статистика
Вам не нужно далеко ходить, чтобы найти исследования о том, насколько велики проблемные плагины для браузера. Мы уже установили, что плагины для браузера следует часто обновлять, но:
- Исследование, проведенное в мае 2011 года, показало, что 40% плагинов Java в дикой природе не были исправлены. (Источник)
- Исследование, проведенное в ноябре 2011 года, показало, что 94% установок Adobe Shockwave, 70% Java, 65% Adobe Reader и 42% установок QuickTime на предприятии устарели. (Источник)
Будущее без плагинов
Плагины браузера выходят. Когда-то были нужны плагины для браузера — вам нужны специальные плагины для воспроизведения видео, чтобы просто воспроизводить видео на веб-страницах. Adobe Flash добавил множество функций в Интернет, когда Microsoft прекратила разработку в Internet Explorer и оставила Internet Explorer 6 гнить и застаиваться. IE 6 до сих пор остается проблемой
,
Теперь HTML5
и ускорение разработки браузера находятся на грани полной отмены плагинов. Новые платформы, такие как iOS, Windows Phone и среда Metro в Windows 8, не поддерживают Flash. Android поддерживает Flash, но Adobe завершила разработку Flash для мобильных устройств
, Это лишь вопрос времени, когда они завершат разработку Flash для настольных компьютеров и сосредоточатся на разработке средств разработки, которые выводят на HTML5.
Что ты можешь сделать
Первым делом: удалите плагины, которые вы не используете, чтобы уменьшить поверхность атаки. Вы можете увидеть, какие плагины вы установили, в диспетчере плагинов вашего браузера. Введите about: плагины в адресную строку Chrome, откройте окно «Надстройки» и выберите «Плагины в Firefox» или выберите «Управление надстройками» в меню «Инструменты» Internet Explorer. Чтобы фактически удалить плагины, используйте панель управления
,
Если вы используете плагин и сохраняете его установленным, вам нужно будет его обновлять. Mozilla предлагает полезную страницу, которая сканирует ваши плагины и проверяет их актуальность — она работает со всеми браузерами, не только с Firefox.
Вы также можете включить поддержку «click-to-play» в Chrome или установить надстройку, например Flashblock для Firefox.
, Чтобы включить воспроизведение по клику в Chrome, откройте меню гаечного ключа, выберите «Настройки», нажмите «Показать дополнительные настройки», нажмите кнопку «Настройки содержимого» и включите функцию «Нажмите для воспроизведения» в разделе «Подключаемые модули». Это предотвратит запуск плагинов на веб-страницах, пока вы не разрешите их явно.
Что вы думаете о плагинах для браузера и проблемах безопасности, связанных с ними? Оставьте комментарий и дайте нам знать.
![Плагины для браузера — одна из самых больших проблем безопасности в Интернете сегодня [Мнение]](https://helpexe.ru/wp-content/cache/thumb/22/f583cc7cc49a722_320x200.png)
![Все, что вам нужно знать о кеше браузера [MakeUseOf Explains]](https://helpexe.ru/wp-content/cache/thumb/df/973fb531de557df_150x95.png)
