Browsersicherheit

Browsersicherheit ist die Anwendung von Internet sicherheit zu Internetbrowser um zu schützen vernetzt Daten und Computersysteme aus Verletzungen der Privatsphäre oder Malware. Sicherheitsausbeutung von Browser oft genutzt JavaScript, manchmal mit Cross-Site-Scripting (Xss)[1] mit einer sekundären Nutzlast verwendet Adobe Flash.[2] Sicherheitsdoxchen können auch nutzen Schwachstellen (Sicherheitslöcher), die in allen üblicherweise ausgenutzt werden Browser (einschließlich Mozilla Firefox,[3] Google Chrome,[4] Oper,[5] Microsoft Internet Explorer,[6] und Safari[7]).

Sicherheit

Webbrowser können auf eine oder mehrere der folgenden Arten verletzt werden:

  • Betriebssystem wird verletzt und Malware liest/modifiziert den Browserspeicherraum im Privileg -Modus[8]
  • Das Betriebssystem verfügt über eine Malware, die als Hintergrundprozess ausgeführt wird, bei dem der Browserspeicherraum im privilegierten Modus gelesen/geändert wird
  • Die ausführbare Hauptbrowser -Datei kann gehackt werden
  • Browserkomponenten können gehackt werden
  • Browser -Plugins können gehackt werden
  • Browser -Netzwerkkommunikation könnte außerhalb der Maschine abgefangen werden[9]

Der Browser ist sich möglicherweise nicht der obigen Verstöße bewusst und kann dem Benutzer eine sichere Verbindung herstellen.

Immer wenn ein Browser mit einer Website kommuniziert, sammelt die Website im Rahmen dieser Kommunikation einige Informationen über den Browser (um die Formatierung der zu lieferenden Seite zu verarbeiten, wenn nichts anderes).[10] Wenn böswilliger Code in den Inhalt der Website oder in einem Worst-Case-Szenario eingefügt wurde, wenn diese Website speziell für den hohen böswilligen Code ausgelegt wurde, können Schwachstellen, die für einen bestimmten Browser spezifisch sind Auf unbeabsichtigte Weise (und denken Sie daran, eine der Informationen, die eine Website von einer Browserkommunikation sammelt, ist die Identität des Browsers, die es ermöglichen, bestimmte Schwachstellen auszunutzen).[11] Sobald ein Angreifer in der Lage ist, Prozesse auf der Maschine des Besuchers auszuführen, kann es dem Angreifer ermöglichen, bekannte Sicherheitslücken zu erhalten Noch mehr böswillige Prozesse und Aktivitäten auf der Maschine oder sogar das gesamte Netzwerk des Opfers.[12]

Verstöße gegen die Sicherheit des Webbrowsers dienen normalerweise dazu, den Schutz zu umgehen, um sie anzuzeigen Popup-Werbung[13] Sammeln persönlich identifizierbare Informationen (PII) für beide Internet Marketing oder Identitätsdiebstahl, Website -Tracking oder Netz Analyse über einen Benutzer gegen seinen Willen mit Tools wie z. Webfehler, ClickJacking, Jacking (wo Facebook's gefällt mir Knopf ist gezielt),,[14][15][16][17] HTTP -Kekse, Zombie -Kekse oder Blitzkekse (Lokale gemeinsame Objekte oder LSOs);[2] Installation Adware, Viren, Spyware wie zum Beispiel trojanische Pferde (Um Zugriff auf Benutzer zu erhalten ' persönliche Computer über knacken) oder andere Malware einschließlich Online-Banking Diebstahl verwendet Mann-in-the-Browser Anschläge.

Tiefe Untersuchung von Schwachstellen im Chrom-Webbrowser zeigt, dass eine unsachgemäße Eingabevalidierung (CWE-20) und eine unsachgemäße Zugriffskontrolle (CWE-284) die auftretendsten Grundursachen für Sicherheitsanfälligkeiten sind.[18] Darüber hinaus traten unter den zum Zeitpunkt dieser Studie untersuchten Schwachstellen 106 Schwachstellen in Chrom auf, weil es schutzbedürftige Versionen von Bibliotheken Dritter wiederverwendet oder importiert hatte.

Schwachstellen in der Webbrowser -Software selbst können minimiert werden, indem die Browser -Software aktualisiert wird.[19] ist jedoch nicht ausreichend, wenn das zugrunde liegende Betriebssystem beispielsweise durch einen Rootkit beeinträchtigt wird.[20] Einige Unterkomponenten von Browsern wie Skripten, Add-Ons und Cookies[21][22][23] sind besonders anfällig ("die verwirrtes stellvertretendes Problem") und müssen auch angesprochen werden.

Nach dem Prinzip von Verteidigung ausführlichEin vollständig gepatchter und korrekt konfigurierter Browser reicht möglicherweise nicht aus, um sicherzustellen, dass Browser-Sicherheitsprobleme nicht auftreten können. Zum Beispiel a rootkit kann Tastenanschläge erfassen Während sich jemand auf einer Bankwebsite anmeldet oder eine ausführt der Mann in der Mitte Angriff durch Änderung des Netzwerkverkehrs an und von einem Webbrowser. DNS -Hijacking oder DNS -Spoofing Kann verwendet werden, um falsch -positive Ergebnisse für neblige Website -Namen zurückzugeben oder Suchergebnisse für beliebte Suchmaschinen zu untergraben. Malware wie RSPlug Verändert einfach die Konfiguration eines Systems, um auf Rogue DNS -Server zu zeigen.

Browser können sicherere Methoden von verwenden Netzwerk-Kommunikation Um einige dieser Angriffe zu verhindern:

Umfangsverteidigung, typischerweise durch Firewalls und die Verwendung von Filterung Proxy -Server Diese böswilligen Websites blockieren und Antiviren -Scans aller Datei -Downloads durchführen, werden häufig als bewährte Verfahren in großen Organisationen implementiert, um böswilligen Netzwerkverkehr zu blockieren, bevor er einen Browser erreicht.

Das Thema Browsersicherheit ist so weit gewachsen, dass sie die Schaffung ganzer Organisationen wie dem Browser Exploitation Framework Project herausgebracht hat.[24] Erstellen von Plattformen zum Sammeln von Tools zum Verstoß gegen die Browsersicherheit, angeblich, um Browser und Netzwerksysteme für Schwachstellen zu testen.

Plugins und Erweiterungen

Obwohl nicht Teil des Browsers per se, Browser Plugins und Erweiterungen Erweitere AngriffsflächeSchwachstellen aufdecken in Adobe Flash Player, Adobe Acrobat Reader, Java -Plugin, und ActiveX das werden allgemein ausgenutzt. Forscher[25] haben die Sicherheitsarchitektur verschiedener Webbrowser ausführlich untersucht, die sich auf Plug-and-Play-Designs verlassen. Diese Studie hat 16 gemeinsame Schwachstellentypen und 19 potenzielle Minderungen identifiziert. Malware kann auch als Browsererweiterung implementiert werden, wie z. Browser -Helferobjekt Im Fall von Internet Explorer.[26] Browser mögen Google Chrome und Mozilla Feuerfuchs kann tecure plugins blockieren oder warnen.

Adobe Flash

Hauptartikel: Lokale gemeinsame Objekt § Datenschutzbedenken

Eine Studie im August 2009 von der Social Science Research Network stellten fest, dass 50% der Websites, die Flash mit Flash haben, auch Flash -Cookies verwendeten, aber Datenschutzrichtlinien haben sie selten offengelegt, und Benutzerkontrollen für Datenschutzpräferenzen fehlten.[27] Die meisten Browser ' Zwischenspeicher und History -Löschfunktionen wirken sich nicht auf das Schreiben von Flash Player aus, die lokale gemeinsame Objekte in ihren eigenen Cache schreiben, und die Benutzergemeinschaft ist sich der Existenz und Funktion von Flash -Cookies viel weniger bewusst als HTTP -Cookies.[28] Daher sind Benutzer, die HTTP -Cookies gelöscht und Browserverlaufsdateien und Caches gelöscht haben, möglicherweise der Ansicht, dass sie alle Tracking -Daten von ihren Computern gespeichert haben, während tatsächlich die Durchblättern von Flash -Browser verbleibt. Neben manuellem Entfernen kann das Arefox-Add-On für Firefox Flash Cookies entfernen.[2] Adblock Plus Kann verwendet werden, um bestimmte Bedrohungen herauszufiltern[13] und Blitzblock Kann verwendet werden, um eine Option zu geben, bevor Inhalte auf ansonsten vertrauenswürdigen Websites zuzulassen.[29]

Charlie Miller Empfohlen "Um Flash nicht zu installieren"[30] Bei der Computersicherheitskonferenz CANSECWEST. Mehrere andere Sicherheitsexperten empfehlen auch, Adobe Flash Player nicht zu installieren oder zu blockieren.[31]

Passwort Sicherheitsmodell

Der Inhalt einer Webseite ist willkürlich und wird von der Entität gesteuert, die die in der Adressleiste angezeigte Domäne besitzt. Wenn Https Wird verwendet, dann wird die Verschlüsselung verwendet, um sich gegen Angreifer mit Zugriff auf das Netzwerk zu sichern, indem sie den Seiteninhalt unterwegs ändern. Wenn ein Benutzer mit einem Kennwortfeld auf einer Webseite angezeigt wird, soll er die Adressleiste prüfen, um festzustellen, ob der Domain -Name in der Adressleiste die richtige Stelle für das Senden des Passworts ist.[32] Zum Beispiel sollte der Benutzer für das Single-Sign-On-System von Google (verwendet auf youtube.com) immer überprüfen, ob in der Adressleiste "https://accounts.google.com" vor dem Eingeben ihres Kennworts angezeigt wird.

Ein unvergleichlicher Browser garantiert, dass die Adressleiste korrekt ist. Diese Garantie ist ein Grund, warum Browser im Allgemeinen eine Warnung beim Eingeben von Vollbildmodus anzeigen, da sich die Adressleiste normalerweise befinden würde, sodass sich eine Vollbild -Website mit einer gefälschten Adressleiste nicht mit einer gefälschten Browser -Benutzeroberfläche einstellen kann.[33]

Hardware -Browser

Es gab Versuche, Hardware-basierte Browser aus nicht geschriebenen Dateisystemen schreibgeschützt zu vermarkten. Daten können nicht auf dem Gerät gespeichert werden und die Medien können nicht überschrieben werden, wodurch jedes Mal eine saubere ausführbare Datei dargestellt wird, wenn es geladen wird. Das erste solcher Gerät war der Ende 2013 veröffentlichte Zeusgard Secure Hardware -Browser. Zeusgard -Website ist seit Mitte 2016 nicht funktionsfähig. Ein anderes Gerät, der iCloak® stik von Die ICloak -Website Bietet eine vollständige Live OS Dies ersetzt das gesamte Betriebssystem des Computers vollständig und bietet zwei Webbrowser aus dem schreibgeschützten System. Mit iCloak bieten sie den Torbrowser für ein anonyme Browser sowie einen regulären Firefox-Browser für nicht anonyme Browser. Nicht sicherer Webverkehr (z.

Livecd

Livecds, die ein Betriebssystem von einer nicht geschriebenen Quelle ausführen, wird normalerweise als Teil ihres Standardbildes mit Webbrowsern geliefert. Wenn das ursprüngliche LiveCD -Image frei von Malware ist, lädt die gesamte verwendete Software, einschließlich des Webbrowsers, jedes Mal, wenn das LiveCD -Image bootet wird, frei von Malware.

Browserhärtung

Durchsuchen des Internets als am wenigsten privilegieren Das Benutzerkonto (d. H. Ohne Administratorrechte) beschränkt die Fähigkeit eines Sicherheitsnutzungsausbeutes in einem Webbrowser, das gesamte Betriebssystem zu beeinträchtigen.[34]

Internet Explorer 4 und erlaubt später die schwarze Liste[35][36][37] und Whitelisting[38][39] von ActiveX Steuerelemente, Add-Ons und Browser-Erweiterungen auf verschiedene Weise.

Internet Explorer 7 "Protected Mode" hinzugefügt, eine Technologie, die den Browser durch die Anwendung einer Sicherheits -Sandbox -Funktion von härtert Windows Vista genannt Obligatorische Integritätskontrolle.[40] Google Chrome bietet a Sandkasten Um den Webseitenzugriff auf das Betriebssystem zu begrenzen.[41]

Verdächtige Malware -Websites, die Google gemeldet hat,[42] und von Google bestätigt, werden in bestimmten Browsern als Hosting Malware gekennzeichnet.[43]

Es gibt Erweiterungen und Plugins von Drittanbietern härten Sogar die neuesten Browser,[44] und einige für ältere Browser und Betriebssysteme. Whitelist-basierte Software wie z. NoScript kann blockieren JavaScript und Adobe Flash, der für die meisten Angriffe auf die Privatsphäre verwendet wird, sodass Benutzer nur Websites auswählen können, die sie kennen, sind sicher - Adblock Plus Verwendet auch Whitelist Anzeigenfilterung Regeln-Abonnements, obwohl sowohl die Software selbst als auch die Filterlisten-Betreuer die Kontroversen für By-Default geraten haben, sodass einige Websites die voreingestellten Filter übergeben können.[45] Das US-Cert Empfiehlt zu blockieren Blinken Verwendung NoScript.[46]

Fuzzing

Moderne Webbrowser unterziehen sich umfangreich Fuzzing Schwachstellen aufdecken. Das Chrom Code von Google Chrome wird vom Chrome -Sicherheitsteam mit 15.000 Kernen kontinuierlich verblüfft.[47] Zum Microsoft Edge und Internet Explorer, Microsoft führten Fuzzed-Tests mit 670 Maschinenjahren während der Produktentwicklung durch und generierten mehr als 400 Milliarden DOM-Manipulationen aus 1 Milliarde HTML-Dateien.[48][47]

Beste Übung

  • Laden Sie die saubere Software: Starten Sie von einem bekannten sauberen Betriebssystem mit einem bekannten sauberen Webbrowser
  • Angemessene Gegenmaßnahmen gegen die anwenden CORS-Anfälligkeit (Cross-Origin-Ressourcenfreigabe) (Beispiel-Patches sind für Webkit-basierte Browser bereitgestellt)
  • Verhindern Sie Angriffe über Software von Drittanbietern: Verwenden Sie einen gehärteten Webbrowser oder einen Add-On-Free-Browsing-Modus
  • Verhindern Sie DNS -Manipulation: Verwenden Sie vertrauenswürdige und sichere DNS[49]
  • Vermeiden Sie Website-basierte Exploits: Verwenden Sie Link-Checking-Browser-Plug-Ins, die häufig in Internet-Sicherheitssoftware zu finden sind
  • Vermeiden Sie böswillige Inhalte: Verwenden Sie Perimeter-Abwehrkräfte und Anti-Malware-Software

Siehe auch

Verweise

  1. ^ Maone, Giorgio. "NoScript :: Add-Ons für Firefox". Mozilla-Add-Ons. Mozilla Foundation.
  2. ^ a b c "BetterPrivacy :: Add-Ons für Firefox". Mozilla Foundation.[Permanent Dead Link]
  3. ^ Keiser, Greg. Firefox 3.5 Vulnerabilität bestätigt Archiviert 28. Oktober 2010 bei der Wayback -Maschine. Abgerufen am 19. November 2010.
  4. ^ Messmer, Ellen und Networkworld. "Google Chrome Tops 'schmutziges Dutzend' verletzliche Apps -Liste". Abgerufen am 19. November 2010.
  5. ^ Skinner, Carrie-Ann. Opera -Stecker "schwerer" Browserloch Archiviert 20. Mai 2009 bei der Wayback -Maschine. Abgerufen am 19. November 2010.
  6. ^ Bradly, Tony. "Es ist Zeit, den Internet Explorer 6 endlich fallen zu lassen." Archiviert 15. Oktober 2012 bei der Wayback -Maschine. Abgerufen am 19. November 2010.
  7. ^ "Browser". Massig. Archiviert Aus dem Original am 2. September 2011. Abgerufen 2. September 2011.
  8. ^ Smith, Dave (21. März 2013). "Der Yontoo Trojan: New Mac OS X Malware infiziert Google Chrome, Firefox und Safari Browser über Adware". IBT Media Inc. Archiviert Aus dem Original am 24. März 2013. Abgerufen 21. März 2013.
  9. ^ Goodin, Dan. "MySQL.com Breach lässt Besucher Malware ausgesetzt". Das Register. Archiviert Aus dem Original am 28. September 2011. Abgerufen 26. September 2011.
  10. ^ Clinton Wong. "HTTP -Transaktionen". O'Reilly. Archiviert von das Original am 13. Juni 2013.
  11. ^ "9 Möglichkeiten, um zu wissen, dass Ihr PC mit Malware infiziert ist". Archiviert von das Original am 11. November 2013.
  12. ^ "Symantec Security Response Whitepapers". Archiviert Aus dem Original am 9. Juni 2013.
  13. ^ a b Palant, Wladimir. "Adblock plus :: Add-Ons für Firefox". Mozilla-Add-Ons. Mozilla Foundation.
  14. ^ "Facebook -Privatsphäre wurde über 'Like' Einladungen" untersucht.. CBC News. 23. September 2010. Archiviert Aus dem Original am 26. Juni 2012. Abgerufen 24. August 2011.
  15. ^ Albanesius, Chloe (19. August 2011). "Deutsche Agenturen haben von Facebook verboten, wie" Button "wie" Button ". PC Magazine. Archiviert vom Original am 29. März 2012. Abgerufen 24. August 2011.
  16. ^ McCullagh, Declan (2. Juni 2010). "Facebook 'Like' Button zeichnet die Privatsphäre prüfend". CNET News. Archiviert Aus dem Original am 5. Dezember 2011. Abgerufen 19. Dezember 2011.
  17. ^ Roosendaal, Arnold (30. November 2010). "Facebook Tracks und verfolgt alle: so!". SSRN 1717563.
  18. ^ Santos, J. C. S.; Peruma, a.; Mirakhorli, M.; Galetery, M.; Vidal, J. V.; Sejfia, A. (April 2017). "Verständnis von Software -Schwachstellen im Zusammenhang mit Architektursicherheitstaktiken: Eine empirische Untersuchung von Chrom, PHP und Thunderbird". 2017 IEEE International Conference on Software Architecture (ICSA): 69–78. doi:10.1109/icsa.2017.39. ISBN 978-1-5090-5729-0. S2CID 29186731.
  19. ^ Zustand von Vermont. "Webbrowserangriffe". Archiviert von das Original am 13. Februar 2012. Abgerufen 11. April 2012.
  20. ^ "Windows RootKit -Übersicht" (PDF). Symantec. Archiviert von das Original (PDF) am 16. Mai 2013. Abgerufen 20. April 2013.
  21. ^ "Cross Site Scripting Attack". Archiviert vom Original am 15. Mai 2013. Abgerufen 20. Mai 2013.
  22. ^ Lenny Zeltser. "Angriffe auf den Webbrowser und Add-Ons mildern". Archiviert vom Original am 7. Mai 2013. Abgerufen 20. Mai 2013.
  23. ^ Dan Goodin (14. März 2013). "Zwei neue Angriffe auf SSL entschlüsseln Authentifizierung Cookies". Archiviert vom Original am 15. Mai 2013. Abgerufen 20. Mai 2013.
  24. ^ "BeefProject.com". Archiviert Aus dem Original am 11. August 2011.
  25. ^ Santos, Joanna C. S.; Sejfia, Adriana; Corrello, Taylor; Gadenkanahalli, Smruthi; Mirakhorli, Mehdi (2019). "Achilles 'Ferse von Plug-and-Play-Software-Architekturen: Ein geerdeter theoretischer Ansatz". Proceedings des 27. ACM -gemeinsamen Treffens der Europäischen Software -Engineering -Konferenz und Symposium für die Grundlagen der Software -Engineering. ESEC/FSE 2019. New York, NY, USA: ACM: 671–682. doi:10.1145/3338906.3338969. ISBN 978-1-4503-5572-8. S2CID 199501995.
  26. ^ "So erstellen Sie eine Regel, die Browser -Helferobjekte im Symantec -Endpunktschutz blockiert oder protokolliert.". Symantec.com. Archiviert vom Original am 14. Mai 2013. Abgerufen 12. April 2012.
  27. ^ Soltani, Ashkan; Canty, Shannon; Mayo, Quentin; Thomas, Lauren; Hoofnagle, Chris Jay (10. August 2009). "Soltani, Ashkan, Canty, Shannon, Mayo, Quentin, Thomas, Lauren und Hoofnagle, Chris Jay: Flash Cookies und Privatsphäre". SSRN 1446862.
  28. ^ "Lokale gemeinsame Objekte -" Flash Cookies "". Elektronisches Datenschutzinformationszentrum. 21. Juli 2005. Archiviert Aus dem Original am 16. April 2010. Abgerufen 8. März 2010.
  29. ^ Chee, Philip. "Flashblock :: Add-Ons für Firefox". Mozilla-Add-Ons. Mozilla Foundation. Archiviert von das Original am 15. April 2013.
  30. ^ "PWN2own 2010: Interview mit Charlie Miller". 1. März 2010. archiviert von das Original am 24. April 2011. Abgerufen 27. März 2010.
  31. ^ "Experte sagt, Adobe Flash -Richtlinie sei riskant". 12. November 2009. Archiviert Aus dem Original am 26. April 2011. Abgerufen 27. März 2010.
  32. ^ John C. Mitchell. "Browser -Sicherheitsmodell" (PDF). Archiviert (PDF) Aus dem Original am 20. Juni 2015.
  33. ^ "Verwenden der HTML5 -Vollbild -API für Phishing -Angriffe» feross.org ". feross.org. Archiviert vom Original am 25. Dezember 2017. Abgerufen 7. Mai 2018.
  34. ^ "Verwenden eines am wenigsten privilegierten Benutzerkontos". Microsoft. Archiviert Aus dem Original am 6. März 2013. Abgerufen 20. April 2013.
  35. ^ "So verhindern Sie, dass ein ActiveX -Steuerelement im Internet Explorer ausgeführt wird". Microsoft. Archiviert Aus dem Original am 2. Dezember 2014. Abgerufen 22. November 2014.
  36. ^ "Internet Explorer Security Zones Registry -Einträge für fortgeschrittene Benutzer". Microsoft. Archiviert Aus dem Original am 2. Dezember 2014. Abgerufen 22. November 2014.
  37. ^ "Outdate ActiveX Control Blocking". Microsoft. Archiviert vom Original am 29. November 2014. Abgerufen 22. November 2014.
  38. ^ "Internet Explorer-Add-On-Management und Crash-Erkennung". Microsoft. Archiviert vom Original am 29. November 2014. Abgerufen 22. November 2014.
  39. ^ "So verwalten Sie Internet Explorer Add-Ons in Windows XP Service Pack 2". Microsoft. Archiviert Aus dem Original am 2. Dezember 2014. Abgerufen 22. November 2014.
  40. ^ Matthew Conover. "Analyse des Windows Vista -Sicherheitsmodells" (PDF). Symantec Corporation. Archiviert von das Original (PDF) am 16. Mai 2008. Abgerufen 8. Oktober 2007.
  41. ^ "Browsersicherheit: Lektionen von Google Chrome". Archiviert Aus dem Original am 11. November 2013.
  42. ^ "Bösartige Software (URL) an Google melden". Archiviert Aus dem Original am 12. September 2014.
  43. ^ "Google Safe Browsing". Archiviert Aus dem Original am 14. September 2014.
  44. ^ "5 Möglichkeiten, um Ihren Webbrowser zu sichern". Zonealarm. Archiviert Aus dem Original am 7. September 2014.
  45. ^ "Adblock Plus wird bald weniger Anzeigen blockieren - Siliconfilter". Siliconfilter.com. Archiviert Aus dem Original am 30. Januar 2013. Abgerufen 20. April 2013.
  46. ^ "Sichern Sie Ihren Webbrowser". Archiviert Aus dem Original am 26. März 2010. Abgerufen 27. März 2010.
  47. ^ a b Sesterhenn, Eric; Wever, Berend-Jan; Orrù, Michele; Vervier, Markus (19. September 2017). "Browser Security Whitepaper" (PDF). X41d Sec GmbH.
  48. ^ "Sicherheitsverbesserungen für Microsoft Edge (Microsoft Edge für IT Pros)". Microsoft. 15. Oktober 2017. Abgerufen 31. August 2018.
  49. ^ Pearce, Paul; Jones, Ben; Li, Frank; Ensafi, Roya; Feamster, Nick; Weber, Nick; Paxson, Vern (2017). Globale Messung von {DNS} Manipulation. S. 307–323. ISBN 978-1-931971-40-9.

Weitere Lektüre