Уязвим ли ваш браузер?
 

Если я спрошу, какой браузер самый дырявый, что вам первое придет в голову? Проверить свою догадку вы можете, прочитав рассказ об уязвимостях в популярных браузерах. Из него вы также узнаете расклад по браузерам у посетителей одного очень популярного компьютерного портала.

Читать дальше в блоге...

Это сообщение создано автоматически.

Смысл статьи в том чтобы чаще обновлять браузер.У меня опера 11.10 и Касперский включен постоянно и все равно пролазиют зверьки.

pankraty, защита системы - это дом из многих кирпичиков, а фундаментом является мозг и знания в нём содержащиеся. Если фундамент хлипкий, то остальные кирпичики благополучно могут рассыпаться и дом рухнет.
См. Безопасность и частности статьи серии Безопасность в Windows 7, не прилагая усилий.

Да где же его взять мозг этот?Если у меня XP эти статьи будут полезны?

pankraty, полезны, конечно, будут, но в XP даже нет контроля учётных записей - в доме не будет хватать очень важных кирпичиков, соответственно могут пролазить грызуны.

Там все конечно правильно написано но:во-первых работать с правами обычного пользователя
в моем случае невозможно,объясню почему:программа дозвона,в данном случае Коннект Менеджер работает только под администатором,она так задумана,провайдер взял за основу такой софт,о безопасности он не думал.

pankraty, запуск от имени. Основа безопасности это ОС с последними обновлениями. (Если у вас говносборка с обновлениями по май 2008 года, вы хоть Каспеского, хоть Доктор веба ставьте-не ствьте- не поможет)

Да хоть от чьего имени.Только администратор может и все.Скачать отдельно нельзя нигде эти обновления?

pankraty, через Windows Update (если у вас лицензионная ОС) как вариант эти

Там объем капитальный,по моему тарифному плану и скорости дня два надо будет только этому посвятить,и еще неизвестно может у меня такие уже есть.Если сильно припечет может и попробую.

Главный компонент системы безопасности любого браузера находится на плечах. А так: Firefox\Chrome с NoScript, AdBlock, FlashBlock, RefControl, CookieMonster, RequestPolicy и прочими вполне могут уберечь от кучи зараз )
P.S. Указал названия дополнений Firefox, т.к. являюсь пользователем сего браузера. Однако и у Chrome есть их аналоги (только вот названия не помню).

Почитал... Защита такая, что обойти её можно тоже "не прилагая усилий" ))

Из того что тут перечислено http://forum.oszone.net/thread-142904.html у меня некоторые вещи
есть,может как вариант скачать то чего нету,трафик то не резиновый.

http://my-chrome.ru/2011/05/google-c...v-adobe-flash/

Вот и гугл не идеален)

Это верно, но тем ценнее компоненты защиты браузера для тех, кому на плечи не давит особо :)

Можно, но если вы читали внимательно, а не на ускоренной прокрутке мыши (как скорее всего и было), то должны были придти к выводу, что для обхода такой защиты у более-менее соображающего человека понадобится сочетание социальной инженерии с 0-day уязвимостью. Но никто не будет напрягаться, потому что лично вы не представляете ценности для злоумышленников, а более легких жертв кругом полно.

От части кучи. Другая часть кучи уже сегодня в блоге :)

Зачем напрягаться, если всё можно поставить на автомат? К тому же 0-day далеко не единственный тип угрозы.
Дочитал до части, где рекомендовали антивирь, который преспокойно убивается через диспетчер задач ))

Статьи полезные, но... Я понимаю, конечно, что вы поклонник Microsoft и всё такое, но хотелось бы видеть больше нейтральности, чтоли. Всётаки продукты мелкомягких, как правило, далеко не самые качественные и удобны.

В список рекомендаций для защиты рекомендую добавить пару простых пунктов: отключение ВСЕХ плагинов, кроме ДЕЙСТВИТЕЛЬНО нужных + FlashBlock для Firefox и Chrome (если нужен флеш). Ну и (если возможно) отключение ActiveX для IE - всётаки действительно крайне вредная штука, которая наврятли нужна в повседневности.

Предлагаю вам аргументировать. Рассказывайте, как на автомате исполнить произвольный код, скажем, в IE8 со всеми обновлениями и актуальными плагинами, работающим в Windows 7 со включенным UAC и установленным MSE.

Самозащита MSE - действительно, самое слабое место антивируса Майкрософт. Но на момент написания той статьи тесты самозащиты не были опубликованы, так что сравнить было трудно.

Т.е. если я бы рекомендовал KAV, это было бы нейтрально? :) Видите, как интересно получается - если человек пишет о продукте Microsoft, он не нейтрален и рекламирует мелкомягких. А если пишет о чем-то другом, он честный и объективный :)

Вы сами, видимо, хорошо разбираетесь в безопасности в Интернете. Не хотите ли написать нейтральную и объективную статью на эту тему? Мы опубликуем ее на OSZone. Или вы предпочитаете критику в форуме?

На самом деле, вы смотрите только на внешнюю сторону. А вы разве не заметили, что в статье описаны общие критерии выбора антивируса и объяснения, как интерпретировать различные тесты? MSE - лишь пример моего выбора, и в заключении я предлагаю вам выбирать наиболее подходящий антивирус для себя, а вовсе не MSE.

Судя по вашей конфигурации, вы не обходитесь без использования этих продуктов. Надеюсь, вас не тошнит на клавиатуру каждый раз, когда вы видите логотип Windows при загрузке системы :)

Я не даю советов, которым никто не будет следовать. Потому что при таком совете все плагины и оставят включенными, ибо если человек установил плагин, он считает его нужным. Да и потом, само по себе наличие плагина не означает присутствия уязвимости в нем. Что же касается FlashBlock, то к безопасности он имеет весьма отдаленное отношение. А флэш нужен, если вы смотрите видео в сети.

Абсолютная безопасность нужна только специалистам. Но они и так знают, как ее обеспечить. Как показывают всевозможные цифры, которые я не перестаю приводить, защита от распространенных угроз нужна огромному количеству людей. Именно для них пишу, поскольку грамотность в этом вопросе близка к нулю, если смотреть на основную массу пользователей.

Ctrl-Alt-Delete - этого теста мне было вполне достаточно :)
Я не предлагаю рекламировать продукты других компаний. Но даже один банальный совет не отключать антивирь для открытия файла на который он ругается куда ценнее сотни таких "рекомедаций", где рассказывается о том, что продукт N такой хороший, но при этом не указываются его минусы.
Да и если хотите порекомендовать какой-то конкретный продукт, то, ИМХО лучше написать нормальную подробную статью чем затевать что нибудь с громким названием, где показываются критерии к которым прибит всё тот же совет с конкретным ПП.
Люди как правило ставят нужные программы, которые тянут за собой вовсе не нужные им плагины (Например JRE, или даже драйвера Nvidia).
FlashBlock позволяет ВЫБОРОЧНО включать нужные flash-объекты =\ Да и невозможность (без помощи пользователя) запуска вредоносного флеш-контента на мой взгляд более надёжно, чем его запуск и попытки защититься =\
Не продуктов, а продукта. И поверьте, если бы те приложения, которыми я пользуюсь, были кросплатформенными, то я бы давно уже снёс винду, которая мне нужна исключительно как плеер для программ (ну разве что калькулятором ихним ещё пользуюсь).
До абсолютной защиты в нашей беседе как на тракторе до луны :)
Если напишу, смогу и сам опубликовать :)

Оффтоп про Microsoft Security Essentials

Вот отсюда подробнее, если можно и желательно с примерами. Что такое вредоносный флэш-контент? И как выборочное включение флэш-объектов защищает от его запуска?

что-то много флейма в тематических разделах

ferget, а вы наш новый модератор? Очень приятно :) Где вы флейм увидели? Да, тут есть оффтоп по MSE, но я пытаюсь вернуть дискуссию в более узкое русло безопасности браузеров.

Пожалуйста, выскажитесь по теме - ответьте на вопросы, которые я задаю в конце статьи (ссылка в шапке).

"Флешки", которые так или иначе вредят пользователю (Взять хотя бы банальную флеш рекламу, которая может понаоткрывать кучу левых окон с порносайтами), http://www.inattack.ru/article/270.html и т.д.
Неужели я так плохо объясняю? (((
Выборочное ВКЛЮЧЕНИЕ позволяет не ЗАЩИТИТЬСЯ, а запускать только заведомо безопасные объекты (например ролики на ютубе), а защищает БЛОКИРОВКА всего остального.

А вы читаете эту статью в самой последней версии браузера? - Да
Как быстро вы устанавливаете обновления и новые версии после их выхода?- сразу же как увижу

а ваш сарказм неуместен

Невозможно обсуждать вопросы безопасности браузера, не упоминая антивирусную защиту и другие аспекты Лично себе я редко обновляю браузер, в котором работаю, т к без надомности, а юзерам все самые последния обновления ставлю (не зря же их выпускают ;) )
или плагин установился "на автомате" с непонятным софтомесли бы вы рекомендовали бесплатный продукт, то было бы нейтрально; не имею такого огромного опыта как вы, но надоело оправдываться перед юзерами (конечно у них руки кривые, но для многих антивирус это панацея) за мелкомягких за их антивирь, который как решето дырявый

БелыйКлык, ну так и без XSS можно повесить баннер, который при любом щелчке на него (даже на [x]) откроет другой стайт. Да и сам XSS возможен и без флэша. А есть более актуальные статьи такой же степени детализации, а то материалу по ссылке уже 6 лет?
Видите, как трудно писать простым и понятным языком о безопасности :) Теперь ваша мысль понятна, спасибо.

ferget, спасибо за ответы. А насчет сарказма... за порядком следят модераторы и администраторы, это в правилах написано.

Stabilo1838, кстати, хорошее замечание про плагины, устанавливаемые с другим софтом! Но тут проблема в том, что если человек устанавливает плагин на автомате, то как он потом узнает, нужен он ему или нет? Да, я неоднократно видел людей с двумя-тремя тулбарами, они ими не пользуются, но если отправить их в список надстроек, они не разберутся. Т.е. вопрос в том, как сформулировать рекомендацию. "Отключите ненужные плагины" - это слабая формулировка.

Что касается второй части вашего поста, то MSE бесплатен. В остальном, когда вы рекомендуете антивирус человеку, вы должны учитывать уровень его компьютерной грамотности и общую защищенность системы. Если ваши подопечные не умеют думать, им нужно закручивать гайки по всем направлениям, т.е. ставить комплексную защиту.

И еще, вам нужно прочесть пункт 3.1. правил нашей конференции. Когда я увижу исправление в вашем посте, это будет для меня сигналом, что вы прочли пункт правил, и с вами стоит продолжать разговор.

И это делает такие баннеры менее опасными?
А я и не называл FlashBlock панацеей =\ Но согласитесь, что даже защита хотя бы от части XSS атак уже плюс?
Вы вроде бы как просили пояснить что я подразумеваю под "вредоносным флеш-контентом", а не искать текущие уязвимости Flash.

Объяснить какой плагин для чего нужен, и что для просмотра флеш-роликов достаточно одного только FlashPlayer'a. Впрочем в 95% процентах случаев достаточно только второго пояснения.

сори, шефф =)
склонен думать, что потребитель, покупая лицензионную ОС Windows, платит и за бесплатный антивирус MSE.
не уверен я в том, что тулбары несут ключевую роль в заражении компьютеров юзеров, точнее думаю что угроза от них минимальна, только глаза мозолят и производительность немного снижают. Отсюда и рекомендации туманны, врятли юзер будет гуглить каждую надстройку браузера и ломать голову о ее необходимости
опять довольно спорный, на мой взгляд, момент... Меня допустим не устраивает отвечать на неумные вопросы о том, как юзер может установить игру для любимого сыночка из под пользовательской учетной записи, хотя я не один раз объяснял как это сделать....
Что касается Никто не спорит, что в плане безопасности отключение флэш сказывается благоприятно, но не для среднестатистического юзера, который даже после нескольких показов не может воспроизвести видео на любимом youtube
Я немного сгустил краски, но уверен, что каждый с этим сталкивался, поэтому об однозначной пользе "жестких тисков" я бы не стал говорить

Дело ж не в этом. Ну открылся у вас другой сайт - это плохо с точки зрения опыта веб-серфинга, но не с точки зрения безопасности. Поэтому и нужно обновлять браузер и плагины, чтобы XSS не использовался для эксплуатации их уязвимостей.

Отчасти, см. выше. Конечно, я не могу не согласиться с тем, что работа браузера без надстройки теоретически безопаснее, чем с ней :) Но, скорее, FlashBlock доставляет преимущества в плане user experience, но также и недостатки, на что справедливо указывает Stabilo1838.

Да, я просил пояснить про флеш-контент, но раз вы уж защищаетесь от XSS с помощью FlashBlock, я хотел расширить свой кругозор в этом вопросе на актуальных материалах.

Изначально-то вы предложили дать рекомендацию в статье, и я рассматриваю это с такой точки зрения, а не в контексте индивидуального общения с пользователем. Тем более, что даже такие объяснения могут вызвать затруднения у человека - проще уж самому отключить.

Так что вопрос о формулировке остается открытым. Кстати, не проще ли в этом случае сконцентрироваться на обеспечении актуальности браузера и плагинов? :)

Stabilo1838, да, пользователь платит, и за компьютер с предустановленной ОС тоже платит. Но он уже заплатил, следовательно MSE становится бесплатным. Да и потом, вы предлагаете мне рекламировать другой бесплатный продукт - я ничего не хочу рекламировать, тем более то, чем я не пользуюсь.

Я и не говорю, что тулбары несут деструктивные функции, и на предыдущей странице уже сказал, что наличие плагина не означает автоматической опасности. Просто привел пример ненужного плагина.

Что же касается комплексной защиты, в любом случае, она не должна мешать установке программ. А вот их установка из-под обычного пользователя затруднительна. Это уже довольно экстремальный пример закручивания гаек. Я предпочитаю админский аккаунт с UAC.

А теперь к вам у меня вопрос. Почему?

Далек я от этого всего, не понимаю о чем речь идет.Попробую браузер с пониженными привилегиями запускать через DropMyRights, проползают как-то в System Volume Information вредители,может это и поможет.

pankraty, если у вас с Opera 11 и KIS случаются заражения, надо думать, что вы сами устанавливаете вредоносный софт. Потому что вас обманывают - это фишинг. Вам бы хорошо помог IE9, там хороший антифишинговый фильтр, но для этого надо обновить ОС до Windows 7. А IE8 вы вряд ли захотите после Opera, по скорости не устроит :)

И в opera есть антифишингофвый фильтр, и в firefox, и в google chrome и в остальных нормальны браузерах, причём не только под единственную ОС и уже довольно давно он там есть =\
Зачем заострять внимание на то, что давно стало обыденностью? Вы бы ещё похвастались появившемся в IE9 менеджере загрузок :)
А ещё проще и антивирь отключить, чтобы не потреблял ресурсы и не мешал открывать скаченные файлы =\
Обновление, конечно, важно, да только сколько Flash-Player не обновляется в сети постоянно появляются статьи "найдена очередная уязвимость Adobe Flash Player", так что может быть ПРОСТО обновлений недостаточно?

пользуюсь firefox или chrome, не вижу смысла; конечно понимаю, что заплатки в дырах этих браузеров, обновление flash playera, но я давно работаю и под UAC и под пользовательской учеткой, т к в основном ноутбук и комп использую для серфинга и никакой софт не ставлю, а если и ставлю то перезайти под админом МНЕ труда не составляет (привычка еще с ХР осталась, где не было контроля учетных записей, который, кстати, тоже панацеей не является) В firefox давно стоит NoScript и Adblock Plus, настроенные под меня. Ну а дальше срабатывает принцип от добра добра не ищут, Все это дело работает под присмотром KJS 2011 (прожорливый в плане ресурсов компьютера, ну а что поделать) и Avast на ноутбуке
и как же это под ХР реализовать?

БелыйКлык,

Вы напрасно во всем видите руку Майкрософт и проецируете недовольство продуктами этой компании на меня. У вас прямо аллергия на любые советы, связанные с их использованием. Я свои высказывания стараюсь аргументировать. Если вы видите недостаток аргументации, так и говорите. И свои высказывания тоже подтверждайте, я все еще жду ответ на первый вопрос в 16.

1. Я не хвастаюсь фичами IE9, я о них рассказываю. Равно как и о фичах других программных продуктов.

2. И в Амкаре, и в Барселоне на поле выходят по 11 игроков, но побеждает только Барселона. Рассказ о работе антифишинговых фильтров и их эффективности будет в блоге на следующей неделе, поэтому я не буду распыляться на форум.

3. От разглашения уязвимости до ее эксплуатации злоумышленниками проходит время, за которое, как правило, разработчики устраняют проблему. Поэтому важно своевременно обновлять все уязвимые продукты - это такое же базовое правило безопасности, как 2х2=4. Я понял вашу рекомендацию по поводу использования FlashBlock. Если у вас есть еще какие-то, сформулируйте их для печати.

Размышления об отключении антивируса - это исключительно ваши слова, я ничего подобного не говорил.

Stabilo1838, понятно, вы предпочитаете работать в браузере с уязвимостями из принципа. И при этом работаете с ограниченными правами, нагрузив сверху KIS.

Во-первых, это несбалансированный подход к защите, которая должна состоять из нескольких линий. Во-вторых, ограниченные права спасают от нарушения работы системы или потери контроля над ней, но не от кражи персональных данных или скрытой работы троянов.

Да, вы надеетесь, что KIS отловит зловредов, но это все равно, что держать нараспашку дверь квартиры и дорого (в плане денежных и системных ресурсов) платить при этом вооруженному охраннику, сидящему внутри. Дверь нужно держать на замке, т.е. обновлять браузер. А уж сколько вы при этом потратите на охрану, дело ваше. Но одно другого не отменяет.

При этом другим-то вы советуете "все как надо". Но как можно советовать то, чего не делаешь сам?

Под ХР тоже есть средства комплексной защиты - тот же KIS. А вот полноценно работать с обычными правами в ХР намного труднее, чем в 7.

в чем-то вы правы... я не утверждаю, что браузер не надо обновлять, я говорю за себя, что у меня и без обновления все олично работает
за лицензионный ключ я плачу не из своего кармана
теоретически я это понимаю, знаю что уровень понимания как обеспечить безопасность компьютера разная, поэтому и рекомендую обновлять, можно провести аналогия с ОС... себе, допустим, я могу поставить оригинальный дистрибутив ХР, ввести левый ключ и ставить обновления на эту ОС с внешнего HDD, но пользователю я этого никогда не посоветую, т к он этого делать не будет.

Самый обычный Касперский,без наворотов.Вряд ли это получится, если была XP и станет 7,скорее всего это будет нарушением правил Касперского.Хотя я точно не знаю,читал что в течения действия лицензии можно до 100 раз антивирус переустанавливать,а вот можно ли при этом системы менять это вопрос.

так если у вас лицензия обратитесь в техподдержку

Нуууу скорее я просто нахожу эту беседу весьма занимательной, попутно узнавая что же такого находят пользователи в этих программах такого особого (всётаки ваши ответы отличаются от банального "не хочу ставить другого").
Я не хакер и не считаю себя им.
Ну что ж... а у меня интерфейс графический на линуксе )))
Ээээээ... к чему это и что это такое вообще?
Это был сарказм =\
Вы только что прекрасно описали мою идею с отключением ненужных плагинов, которая вам так не понравилась :)

Не к чему обращаться,моя версия не поддерживает Windows7.

БелыйКлык, с Барселоной - это была метафора. Команд много, играть не все умеют, т.е. не всякая антифишинговая защита одинаково полезна.

Я не говорил, что идея мне не понравилась. Я считал формулировку скудной, требующей развернутого объяснения. И вы передергиваете. Я это сказал в контексте работы с браузером, имеющим уязвимости.

Знаете, меня не слишком привлекает роль вашего персонального клоуна :) Поскольку дискуссия свелась к игре слов, я выхожу из нее до появления интересных вопросов или тем для разговора.

вроде читал на их форуме, что оплаченный ключ, можно использовать при смене версий

Все можно,только у меня так такого объема трафика чтобы выкачивать нужные дистрибутивы,а
потом и первичные обновления к ним. :sorry:.

Ключи от Касперского 2009 подходят к 2010 и 2011 версий, так что можно устанавливать.