Študija varnosti brskalnikov: prvi Chrome, drugi IE, Firefox daleč zadaj

Matej Huš

11. dec 2011 ob 14:34:39

Podjetje Accuvant je konec tedna objavilo rezultate obsežne študije, v kateri so raziskovali varnost treh najpriljubljenejših spletnih brskalnikov: Firefoxa, Internet Explorerja in Chroma. Rezultat je 140 strani dolgo poročilo, v katerem je podrobno predstavljena metodologija testiranja in izsledki. Ugotovili so, da je najvarnejši Chrome, tik za petami pa mu sledi Internet Explorer. Firefox je daleč zadaj.

Najprej povejmo, da je raziskavo financiral Google. Accuvant in Gogole poudarjata, da je bila izvedena neodvisno in brez pritiskov, ne glede na ta vir denarja. Kljub temu je rezultat zelo prikladen, zato je Google javno izpostavil rezultate. Toda ko se med seboj pomerita IE in Firefox, je rezultat brez vsakršnega dvoma objektiven. In IE je s Firefoxom pometel.

Accuvant je pojasnil, da so študijo izvedli nekoliko drugače, kot so bile prejšnje. Niso se osredotočili na primerjanje števila odkritih ranljivosti, saj ima vsak brskalnik kakšno, nato pa je le od proizvajalca odvisno, kako hitro jo bodo zakrpali. Namesto tega so privzeli, da so napadalci tako ali drugače izkoristili neko luknjo. Nato so primerjali, kakšno škodo lahko naredijo, ko enkrat pridobijo dostop do brskalnika. Analizirali so peskovnik (sandbox, omejitev dostopa do sistema), JIT-okrepitve (Just in Time hardening, preprečevanje izvajanja zlonamernega JavaScripta na računalniku) in zaščito pred vtičniki (plug-in security, preprečevanje škode, ki jo povzročijo vtičniki in namestitve nepodpisanih dodatkov). Primerjali so še nekatere druge parametre, ko je delež kritičnih ranljivosti ipd.

Chrome je v vseh kategorijah prejel najvišje ocene, Internet Explorer pa ni bil daleč zadaj. Firefox se je odrezal bistveno slabše. Študija je s celotnim poročilo in vmesi podpornimi podatki dostopna na spletu.

Firefox se je na rezultate že odzval. Njihov vodja inženirjev Johnathan Nightingale je povedal, da Firefox uporablja veliko različnih tehnologij za zaščito pred napadalci. Peskovnik ni čudežna rešitev za vse probleme (mimogrede, Firefox ga ne uporablja), ampak Firefox za varnost skrbi v celotnem postopku razvoja kode s temeljitimi nadzorom, testiranjem in analizo, je še dejal. Accuvant je namreč prav peskovnik izpostavil kot najpomembnejše orodje in kritiziral Firefox zaradi njegove neuporabe.

Spomnimo, da je Microsoft oktobra na svoji strani razvrstil iste tri brskalnike po varnosti. Tudi tam je bil Firefox prepričljivo zadnji.