Веб защита браузеров web and browser protection

Обновлено: 05.07.2024

В широком смысле слова веб защита – это защита от всех сетевых угроз. Разработчики антивируса НАНО выделяют функции файловой защиты, то есть проверки имеющихся на компьютере файлов с блокированием доступа к инфицированным и подозрительным, и веб защиты, то есть проверки загружаемых из интернета файлов с блокированием загрузки зараженных.

Часто веб защитой компьютера называют блокирование доступа на подозрительные веб страницы, анализ ссылок, предостережение пользователя при попытке зайти на сайт, представляющий угрозу для компьютера. Модуль, препятствующий попытке зайти на потенциально опасный сайт, обычно носит название Web Protection, то есть веб защита. Пользователи многих антивирусных программ предпочитают отключать этот модуль, поскольку он слишком часто поднимает ложную тревогу.

Разновидностями веб-угроз являются фишинговые сайты – сайты-подделки, с которых в момент ввода считывается конфиденциальная информация. Важными условиями обеспечения веб защиты можно считать регулярное обновление антивирусного ПО, в идеале – автоматическое, постоянное использование включенного брандмауэра, защищающего от сетевых атак.

В широком смысле слова веб защита – это защита от всех сетевых угроз. Разработчики антивируса НАНО выделяют функции файловой защиты, то есть проверки имеющихся на компьютере файлов с блокированием доступа к инфицированным и подозрительным, и веб защиты, то есть проверки загружаемых из интернета файлов с блокированием загрузки зараженных.

Часто веб защитой компьютера называют блокирование доступа на подозрительные веб страницы, анализ ссылок, предостережение пользователя при попытке зайти на сайт, представляющий угрозу для компьютера. Модуль, препятствующий попытке зайти на потенциально опасный сайт, обычно носит название Web Protection, то есть веб защита. Пользователи многих антивирусных программ предпочитают отключать этот модуль, поскольку он слишком часто поднимает ложную тревогу.

Разновидностями веб-угроз являются фишинговые сайты – сайты-подделки, с которых в момент ввода считывается конфиденциальная информация. Важными условиями обеспечения веб защиты можно считать регулярное обновление антивирусного ПО, в идеале – автоматическое, постоянное использование включенного брандмауэра, защищающего от сетевых атак.

Функции, упоминаемые в этой статье обычно не входят в основной состав антивирусных продуктов. Очень редко вы можете встретить антивирусное решение, которое содержит все вышеперечисленные функции. Инструментарий отдельных антивирусов очень сильно отличается. Вот почему мы затрагиваем только основные принципы и аспекты дополнительной функциональности.

Содержание

Веб-защита браузеров (Web and Browser protection)

Также называют: Веб-контроль (Web Control), веб-безопасность (Web Security), веб-защита (Web Protection), защита браузера (Browser Protection), защита просмотра веб-страниц (Web Browsing Protection)

Веб-безопасность

Веб-браузеры являются самыми основными целями атак со стороны вредоносного ПО. Они могут быть использованы для заражения ПК через интернет, для передачи украденной информации с зараженного компьютера на сервера злоумышленников.

Браузеры часто становятся объектом атаки из-за данных платежных систем, которые могут храниться в базе автозаполнения форм браузеров. Вот почему вендоры антивирусного ПО выполняют огромные усилия по обеспечению безопасности именно веб-браузеров, как никакого другого объекта пользовательского компьютера.

Контроль плагинов (Plugin Control)

Также называют: защита плагинов (Plugin Prevention)

Цепочки браузерных процессов, файлы и другие ресурсы могут быть защищены с помощью функциональности стандартного поведенческого контроля, но в общем случае эти меры недостаточны. Большинство основных браузеров имеют плагины, дополнения, панели управления, дополнительные помощники, которые могут также угрожать их безопасности. Контроль компонентов в этом случае может прийти на помощь. Антивирус должен убедиться, что все компоненты браузерного приложения являются достоверными и безопасными для пользователя.

Фильтры URL-адресов, блокировка рекламы (Domain and URL Filters, Blocking Ads

Внесение в черный список вредоносных доменов и ссылок является основной функцией. Пользователям, в общем случае, позволяется добавлять собственные адреса в список фильтров. Когда браузер пытается соединиться с заблокированным адресом, фильтр обнаруживает эту попытку и запрещает действие до того, как началась передача данных. Данная функциональность может вступать в действие либо на сетевом уровне с низкоуровневым драйвером ядра, либо на уровне расширения браузера.

Блокирование рекламы может быть частью веб-контроля. Некоторые антивирусы предлагают пользователю заблокировать рекламу, несмотря на то, что рекламное содержание является важным составляющим бизнес моделей интернета. Если антивирусное ПО содержит фильтры ресурсов, оно может легко определить рекламных провайдеров и с высокой эффективностью заблокировать большинство рекламных объявлений.

Другие формы блокирования рекламы включают блокирование изображений по их размеру, блокирование специальных ключевых слов и применяются против назойливого и ненадлежащего контента. Большинство легитимных рекламных объявлений, отображаются, как правило, корректно.

Динамическое содержание (Dynamic Content)

Динамическое веб-содержание, такое как Flash ролики, Java приложения, объекты ActiveX представляют новые способы обхода современных защит. Антивирусы могут контролировать и блокировать динамические объекты, которые загружаются с недостоверных сайтов. Некоторые продукты содержат блокировку скрытых фреймов и всплывающих окон, которые могут раздражать пользователей.

Наиболее жесткий метод – блокировка всего динамического контента, включая скрипты Java. Как бы то ни было, побочным эффектом этих мер может послужить некорректная работа многих сайтов.

Куки (Cookies)

Файлы куки - небольшие файлы, которые могут храниться на пользовательском компьютере при соответствующем запросе браузера. Веб-сайт может затем обращаться к файлам cookie чтобы расширить свою функциональность и уровень взаимодействия с пользователем. Как бы то ни было, механизм использования куки может быть применен для отслеживания пользовательской активности в сети.

Это может быть расценено как недопустимое нарушение пользовательской конфиденциальности. Современные антивирусные программы позволяют пользователю управлять cookie-файлами: удалять их или полностью запрещать их создание. Несмотря на то, что эта функциональность является неотъемлемой составляющей современных веб-браузеров, пользователю может быть удобней управлять безопасностью компьютера с одного приложения – антивирусной программы.

Также как и блокирование динамического содержимого, блокирование файлов cookie может вызвать нарушения в работе многих веб-сайтов.

Виртуализация браузера (Browser Virtualization)

Виртуализация браузера является реакцией разработчиков антивирусного ПО на предельную уязвимость интернет браузеров в настольных системах и повышенную привлекательность для кибер-атак. Браузер используются для серфинга по сети и в случае взаимодействия с сайтом с вредоносным содержанием, может появиться уязвимость в браузере, которая будет способствовать заражению всего ПК.

Виртуализация браузера заключается в создании виртуальной среды для работы интернет браузера. Все действия браузера контролируются, если они считаются потенциально опасными, они перенаправляются в песочницу. Например, браузер заражен вредоносным кодом, он пытается сохранить зловредные файлы на компьютере и изменить ключи реестра для последующего автозапуска вируса при перезагрузке системы. Если файловые операции и любые действия с реестром будут происходить в виртуальной среде, запуск вируса произойдет в песочнице и реального заражения системы не произойдет. При закрытии браузера виртуальная среда уничтожается, и заражение ликвидируется навсегда. В то же время пользователю разрешено загружать требуемые файлы в реальную систему, вне песочницы. Достоверные действия браузера не перенаправляются в виртуальную среду, пользовательская функциональность браузера, таким образом, сохраняется.

Виртуализация браузера очень напоминает функцию песочницы, которую мы обсуждали ранее. Отличие заключается в том, что на этот раз в песочнице исполняются не подозрительные приложения, а хорошо известный и достоверный веб-браузер.

Браузерный и поисковый помощник, анти-фишинг (Browser and Search Advisor, Anti-phishing)

Также называют: безопасный Интернет (Safe Web)

Безопасный Интернет

Назначение браузерного и поискового помощника – предоставление информации о репутации посещаемого веб-сайта. Если браузерный помощник определяет потенциально опасный веб-сайт, который пользователь намеревается посетить, выводится соответствующее предупреждение. Поисковый советчик сосредоточен именно на результатах выдачи поисковых машин. При запросе страница поисковой системы модифицируются таким образом, чтобы потенциально опасные ссылки или вовсе были невидимыми, или по крайней мере помечены дополнительной информацией о их опасности для пользователя.

Вендоры антивирусного ПО составляют собственные рейтинги интернет сайтов, используя различные критерии. Веб-сайты сканируются на наличие ссылок, ведущих на вредоносные ресурсы. Контент сайтов анализируется и классифицируется согласно фильтрам ключевых слов. Применяется также добавление в белые и черные списки. Одним из наиболее важных параметров ранжирования сайта антивирусом является рейтинг сообществ. Сообщество пользователей определенного антивирусного продукта является мощной защитной единицей, которая позволяет пользователям избегать зловредные веб-сайты. Если внушительное количество пользователей антивируса посещают вредоносный сайт, существует большая вероятность, что многие пользователи пометят этот сайт как опасный с помощью антивирусного ПО. Эта отрицательная репутация впоследствии будет использована для предупреждения других пользователей сообщества.

Опция анти-фишинга используются для предотвращения кражи платежных данных. Существует множество способов распознать сайт, использующий фишинг. Эти методы включают анализ содержания, обнаружение недействительных или неподлинных сертификатов, детектирование подозрительных ссылок и т.д. Если обнаружена попытка фишинга со стороны вредоносного сайта, он блокируется антивирусом, либо критическое предупреждение выводится пользователю.

Сканирование веб-содержания (Web Content Scanning)

Защита конфиденциальной информации (Privacy Protection)

Также называют: защита персональной информации (ID Protection), безопасность личных данных (Identity Safe), защита личных данных (Identity Protection)

Защита конфиденциальной информации

Номера кредитных карт, банковских аккаунтов, электронных платежных систем и другие пароли, персональная информация, адреса электронной почты, номера документов, телефонов являются строго конфиденциальной информацией, которая должна быть защищена от действий вредоносного ПО.

Функция защиты персональных данных позволяет пользователю решить, какие данные являются наиболее конфиденциальными и не должны передаваться без его согласия. Исходящий трафик сканируется на предмет защищаемых данных, и в случае совпадения, передача данных блокируется.

Родительский контроль (Parental Control)

Также называют: контроль доступа (Access control)

Родительский контроль

Родительский контроль позволяет приоритетным пользователям (родителям) контролировать использование компьютера менее приоритетной аудиторией (дети). Функция может использоваться для ограничения доступа к учетной записи компьютера. Родительский контроль может эффективно ограничить детям доступ к компьютеру в течение определенного времени в день, либо на определенное количество часов в день. Также может быть ограничено назначение использования ПК, путем контролирования запуска сторонних приложений. Ограничения по времени могут сопоставляться с ограничением запуска определенных приложений. Таким образом, создаются специфические условия работы на компьютере, в которых некоторое приложение может быть использовано 2 часа в день к примеру.

Родители могут намереваться контролировать веб-сайты, посещаемые детьми. Ограничения создаются с помощью специальных черных списков, однако, большинство антивирусов с функцией родительского контроля позволяют контролировать доступ в сеть по конкретным категориям содержимого сайтов. Контент большинства самых популярных сайтов оценивается либо непосредственно разработчиками антивирусного ПО, либо анализируется на основе ключевых слов выдачи поисковых систем. Затем каждый веб-сайт может быть причислен к одной или нескольким категориям, таким как контент 18+, насилие, экстремизм, оружие, азартные игры, наркотические вещества, ненормативная лексика, чаты, терроризм, электронная почта, социальные сети, платежные системы онлайн, виртуальные знакомства, порнография, взлом, мошенничество и т.д. Родители могут ограничить доступ к сайтам, состоящим в отдельной категории или содержащие ключевые слова, относящиеся к категории.

Родительский контроль может иметь возможность ограничивать доступ к аппаратным средствам: переносным накопителям, флоппи дискам, CD/DVD дискам и т.д. Помимо настройки ограничений, родительский контроль может иметь опцию просмотра компьютерной активности детей. Родительский контроль ведет собственный журнал регистрации активности, включающий интернет историю, к которому имеет доступ приоритетный пользователь для анализа правильного использования ПК.

Анти-спам (Anti-spam)

Защита от уязвимостей (Vulnerability Protection)

Также называют: монитор уязвимостей (Vulnerability Monitor)
Эта опция позволяет пользователю сделать компьютер недоступным для известных видов уязвимостей, которые могут быть использованы вредоносным ПО для заражения ПК. Монитор уязвимостей следит, чтобы были установлены все последние обновления ОС и основных установленных приложений. Кроме того, он сканирует пользовательские учетные записи на предмет слабозащищенных паролей, контролирует возможные проблемы с системными настройками (конфигурация автозапуска переносных устройств например). Расширенные виды систем защит от уязвимостей могут осуществлять связь с разработчиками неофициальных систем и программных патчей (также называемых вакцинами - vaccines) для устранения уязвимостей до выхода официального обновления.

Обновления (Updates)

Большинство антивирусов содержат компоненты, которые в своей работе требуют регулярных обновлений. Другие компоненты могут обновляться время от времени с выходом новых версии ПО для добавления новой функциональности и устранения дефектов. Таким образом, постоянные обновления жизненно необходимы для компьютерной безопасности. Существует несколько видов обновлений.

Обновления

Первый вид обновлений называется обновления антивирусной базы (Database updates), базы данных или базы наборов правил. Эти обновления используются модулями антивируса для распознавания последних видов угроз. Когда новый вирус обнаружен и проанализирован разработчиком антивирусного ПО, делается образец вируса, который распространяется на все антивирусные программы вендора посредством обновлений. До выполнения обновлений антивирусной базы конкретное вредоносное ПО может быть не распознано антивирусом по результатам эвристического анализа или поведенческого контроля. Обновление программных файлов (Program updates) является очень важным. Любое программное обеспечение, включая антивирусы, содержит ошибки. Ошибки устраняются во время пользования антивирусом, а программные патчи распространяются на клиентские системы с помощью обновлений. Кроме того, обновление программных файлов может добавить дополнительную функциональность антивирусному продукту. Иногда даже глобальные обновления программы устанавливаются с помощью обновлений, что зависит от лицензионного соглашения соответствующего вендора антивирусного ПО. Существует немного пользовательских настроек обновлений. В общем случае параметры обновлений включают способ их получения – автоматическое скачивание и установка или частично ручной способ. В случае выбора автоматических обновлений, существует возможность настройки их периодичности. Обновления антивирусной базы должны выполняться регулярно, один раз в день, например, в то время как обновления программных файлов могут происходить один раз в неделю или реже. Для компьютеров, подключенных к интернету через прокси-сервера предоставляется возможность настройки параметров прокси для обновлений. Как бы то ни было, автоматическое определение настроек прокси-серверов прекрасно работает на большинстве систем и, следовательно, пользователь может не трогать эти настройки. Некоторые антивирусы позволяют включать режим экономии сети (bandwidth saving mode), при котором только критические обновления загружаются сразу, а другие обновления приостанавливаются до отключения этого режима.

Защита настроек (Settings Protection)

Онлайн резервное копирование (Online Backup)

Онлайн резервное копирование

Онлайн резервное копирование является неосновной функцией, многие антивирусы ее даже не предлагают. Основная идея функции – обеспечить пользователя независимым, хорошо защищенным резервным хранилищем для наиболее критичных данных. Пользователь может потерять данные на ПК из-за проблемы с аппаратными средствами, заражения вирусом или неумышленного действия. Резервная копия в сети может быть использована для получения относительно недавней версии самых важных данных. Конечный выбор файлов и папок, которые подлежат резервному копированию остается за пользователем. Однако, система резервного копирования может предложить основные папки, содержащие важную информацию (например директория «Мои документы») для копирования. Кроме того, некоторые инструменты резервного копирования позволяют создавать копии ключей системного реестра. Резервные копии хранятся на серверах разработчиков антивирусного ПО. Стандартный размер резервных копии обычно устанавливается порядка нескольких гигабайт. Процесс резервирования должен быть регулярным для максимальной эффективности. С другой стороны, интенсивное использование жесткого диска и сети может принести неудобство пользователю, поэтому резервное копирование должно выполняться в режиме ожидания компьютера.

Мониторинг производительности (Performance monitoring)

Настройка системы (Tune-up)

Также называют: очистка системы (PC Сlean-up) Настройка системы или очистка системы являются названием набора дополнительных утилит, которые разработчики антивирусов предлагают в качестве бонуса к основной функциональности. Утилиты настройки системы применяются для улучшения быстродействия компьютера с помощью различных приемов. Чем больше используется система, тем больше в ней накапливается файлов, ключей реестра и других объектов. В системе и приложениях создается множество списков, например списки открытых документов. Некоторые списки не ограничиваются по размеру и со временем становятся все больше и больше. Таким же образом увеличивается количество всевозможных временных файлов, файлов кэша. Случается также, что при удалении программы остаются некоторые файлы и ключи реестра, которые она использовала. Другой проблемой, снижающей быстродействие системы, является фрагментация жесткого диска. Инструментарий функции настройки системы справляется с нахождением и удалением ненужных объектов, дублей, дефрагментацией диска, очисткой интернет истории и кэша известных приложений. Таким образом, быстродействие компьютера увеличивается. Существенные улучшения в производительности проявляются, только если очистка системы ни разу не выполнялась. В других случаях, эффект от применения очистки может быть незаметен.

Отчеты и журналы регистрации событий (Reports and logs)

Антивирусные программы имеют настраиваемую функцию ведения журнала регистрации событий, который содержит детализированную информацию обо всех событиях в системе и действиях компонентов антивируса. Такие журналы полезны, когда происходит инцидент с безопасностью компьютера. Пользователь имеет возможность просмотреть, что именно случилось и какое действие последовало. Логи фаервола могут быть использованы для выявления зараженных машин в локальной сети или сети Интернет и последующего добавления новых правил для фаервола. Журналы компонента поведенческого контроля могут привлечь внимание пользователя к потенциально опасным приложениям в системе, о которых пользователь не догадывался. Как бы то ни было, для правильного трактования лога необходимо четкое понимание работы каждого компонента, ведущего лог. Отчеты являются более наглядными для пользователя, чем логи, и не требуют от пользователя дополнительных знаний для понимания. Отчеты накапливают все действия антивируса за определенный период без предоставления детальной информации. Ведение журнала крайне необходимо для фиксации ошибок ПО. Чем более детализованная информация представлена вендору антивируса, тем быстрее разработчики смогут обнаружить и устранить ошибки.

Веб-защита для каждого устройства и пользователя независимо от их местонахождения.

Защита всех путей доступа в Интернет

Гибкое развертывание

Развертывание решений для веб-защиты локально, в гибридной среде, в Amazon Web Services или в рамках модели «программное обеспечение как услуга» (SaaS) — и все это с помощью одной подписки.

Более эффективное устранение угроз

Обмен информацией об угрозах и обеспечение стабильной защиты пользователей независимо от их местонахождения и от используемого устройства.

Защита от угроз во входящем и исходящем трафике

Принудительное применение принятой в организации политики использования Интернета с помощью комплексной базы данных для фильтрации веб-содержимого.

Упреждающая веб-защита

Во всех вариантах развертывания решения (облачный, локальный и гибридный) используется одна и та же технология веб-защиты, что позволяет обеспечивать один и тот же уровень защиты независимо от способа получения доступа в Интернет.

Предотвращение изощренных угроз

Веб-защита включает в себя блокирование вредоносных программ «нулевого дня» и целенаправленных атак, способных обходить такие традиционные способы защиты, как фильтрация URL-адресов и антивирусные сигнатуры.

Обмен информацией об угрозах

Возможности для более эффективного обнаружения угроз и реагирования на инциденты. Важнейшими точками интеграции являются McAfee Advanced Threat Defense и McAfee Threat Intelligence Exchange.

Функции продукта

Фильтрация на основе репутации и по категориям

Сочетание функций комплексной фильтрации веб-содержимого с механизмом анализа поведения и проверки SSL позволяет обнаруживать вредоносные программы «нулевого дня» и угрозы, скрытые внутри зашифрованного трафика.

Расширение веб-защиты

Использование одной политики для облачных и локальных вариантов развертывания позволяет поддерживать неизменно высокий уровень защиты пользователей независимо от их местонахождения.

Снижение затрат

Маршрутизация веб-трафика удаленных офисов и пользователей, находящихся за пределами сети, в облачную службу позволяет снизить расходы на передачу трафика на локально развернутый шлюз.

Давайте начнем серию статей по безопасности веб-приложений с объяснением того, что делают браузеры и как именно они это делают. Поскольку большинство ваших клиентов будут взаимодействовать с вашим веб-приложением через браузеры, необходимо понимать основы функционирования этих замечательных программ.

image


Chrome и lynx

Браузер — это движок рендеринга. Его работа заключается в том, чтобы загрузить веб-страницу и представить её в понятном для человека виде.

Хоть это и почти преступное упрощение, но пока это все, что нам нужно знать на данный момент.

  • Пользователь вводит адрес в строке ввода браузера.
  • Браузер загружает «документ» по этому URL и отображает его.

Например, lynx — это легкий текстовый браузер, работающий из командной строки. В основе lynx лежат те же самые принципы, которые вы найдете в любых других «мейнстримных» браузерах. Пользователь вводит веб-адрес (URL), браузер скачивает документ и отображает его — единственное отличие состоит в том, что lynx использует не движок графического рендеринга, а текстовый интерфейс, благодаря которому такие сайты, как Google, выглядят так:

image

Мы в целом имеем представление, что делает браузер, но давайте подробнее рассмотрим действия, которые эти гениальные приложения выполняют для нас.

Что делает браузер?

Короче говоря, работа браузера в основном состоит из

Разрешение DNS

Давайте разберем запрос построчно:


Воу, на этот раз довольно много информации, которую нужно переварить. Сервер сообщает нам, что запрос был выполнен успешно (200 OK) и добавляет к ответу несколько заголовков, из которых например, можно узнать, какой именно сервер обработал наш запрос (Server: gws), какова политика X-XSS-Protection этого ответа и так далее и тому подобное.

Рендеринг

Последним по счёту, но не последним по значению идет процесс рендеринга. Насколько хорош браузер, если единственное, что он покажет пользователю, это список забавных символов?


В теле ответа сервер включает представление запрашиваемого документа в соответствии с заголовком Content-Type. В нашем случае тип содержимого был установлен на text/html, поэтому мы ожидаем HTML-разметку в ответе — и именно ее мы и находим в теле документа.

Это как раз тот момент, где браузер действительно проявляет свои способности. Он считывает и анализирует HTML-код, загружает дополнительные ресурсы, включенные в разметку (например, там могут быть указаны для подгрузки JavaScript-файлы или CSS-документы) и представляет их пользователю как можно скорее.

Еще раз, конечным результатом должно стать то, что доступно для восприятия среднестатистического Васи.

image

Если вам нужно более детально объяснение того, что действительно происходит, когда мы нажимаем клавишу ввода в адресной строке браузера, я бы предложил прочитать статью «Что происходит, когда…», очень дотошную попытку объяснить механизмы, лежащие в основе этого процесса.

Вендоры

4 самых популярных браузера принадлежат разным вендорам:

  • Chrome от Google
  • Firefox от Mozilla
  • Сафари от Apple
  • Edge от Microsoft

W3C является краеугольным камнем разработки стандартов, но браузеры нередко разрабатывают свои собственные функции, которые в конечном итоге превращаются в веб-стандарты, и безопасность тут не является исключением.

Например, в Chrome 51 были введены файлы cookie SameSite — функция, которая позволила веб-приложениям избавиться от определенного типа уязвимости, известной как CSRF (подробнее об этом позже). Другие производители решили, что это хорошая идея, и последовали ее примеру, что привело к тому, что подход SameSite стал веб-стандартом: на данный момент Safari является единственным крупным браузером без поддержки файлов cookie SameSite.

image

Это говорит нам о двух вещах:

  • Похоже, что Safari недостаточно заботится о безопасности своих пользователей (шучу: файлы cookie SameSite будут доступны в Safari 12, который, возможно, уже был выпущен к моменту прочтения этой статьи)
  • исправление уязвимости в одном браузере не означает, что все ваши пользователи в безопасности

Ваша стратегия обеспечения безопасности в сети должна варьироваться в зависимости от того, какие возможности нам предоставляет вендор-поставщик браузера. В настоящее время большинство браузеров поддерживают один и тот же набор функций и редко отклоняются от своего общей дорожной карты, но случаи, подобные приведенному выше, все еще случаются, и это то, что мы должны учитывать при определении нашей стратегии безопасности.

В нашем случае, если мы решим, что будем нейтрализовывать атаки CSRF только с помощью файлов cookie SameSite, мы должны знать, что мы подвергаем риску наших пользователей Safari. И наши пользователи тоже должны это знать.

И последнее, но не менее важное: вы должны помнить, что вы можете решить, поддерживать ли версию браузера или нет: поддержка каждой версии браузера будет непрактичной (вспомните хпро Internet Explorer 6). Несмотря на это, уверенная поддержка нескольких последних версий основных браузеров — как правило, хорошее решение. Однако, если вы не планируете предоставлять защиту на какой-то определенной платформе, очень желательно, чтобы ваши пользователи об этом знали.

Совет для профи: вы никогда не должны поощрять своих пользователей использовать устаревшие браузеры или активно поддерживать их. Даже если вы приняли все необходимые меры предосторожности, другие веб-разработчики этого не сделали. Поощряйте пользователей использовать последнюю поддерживаемую версию одного из основных браузеров.

Вендор или стандартный баг?

Тот факт, что обычный пользователь обращается к нашему приложению благодаря помощи стороннего клиентского программного обеспечения (браузера), добавляет еще один уровень, усложняющий путь к удобному и безопасному просмотру веб-страниц: сам браузер может быть источником уязвимости безопасности.

Вендоры, как правило, предоставляют вознаграждения (также известные как баг-баунти) исследователям безопасности, которые могут искать уязвимость в самом браузере. Эти ошибки связаны не с вашим веб-приложением, а с тем, как браузер самостоятельно управляет безопасностью.

Например, программа поощрений Chrome позволяет исследователям безопасности обращаться к команде безопасности Chrome, чтобы сообщить об обнаруженных ими уязвимостях. Если факт наличия уязвимости подтвердится, будет выпущено исправление и, как правило, опубликовано уведомление о безопасности, а исследователь получит (обычно финансовое) вознаграждение от программы.

Такие компании, как Google, инвестируют достаточно солидный капитал в свои программы Bug Bounty, поскольку это позволяет компаниям привлекать множество исследователей, обещая им финансовую выгоду в случае обнаружения ими каких-либо проблем с тестируемым программным обеспечением.

В программе Bug Bounty выигрывают все: поставщику удается повысить безопасность своего программного обеспечения, а исследователям платят за их находки. Мы обсудим эти программы позже, так как я считаю, что инициативы Bug Bounty заслуживают отдельного раздела в ландшафте аспектов безопасности.

Джейк Арчибальд (Jake Archibald) — разработчик-"адвокат" в Google, который обнаружил уязвимость, затрагивающую несколько браузеров. Он задокументировал свои усилия по ее обнаружению, процесс обращения к различным вендорам, затронутым уязвимостью, и реакцию представителей вендоров в интересном блог-посте, который я рекомендую вам прочитать.

Браузер для разработчиков


В приведенном выше примере мы запросили документ по адресу localhost:8080/, и локальный сервер успешно на него ответил.


Примерно та же информация доступна в популярных браузерах посредством их DevTools.

Читайте также: