Prohlížeče v testu: bezpečnost (2/2)

Moderátor: Mods_senior

Uživatelský avatar
Jiří Macich ml.
Externí přispěvovatel
Level 1.5
Level 1.5
Příspěvky: 138
Registrován: září 12
Bydliště: Proboštov u Teplic
Pohlaví: Muž

Prohlížeče v testu: bezpečnost (2/2)

Příspěvekod Jiří Macich ml. » 17 dub 2014 18:13

Prohlížeče v testu: bezpečnost (2/2)

Prohližeče1.jpg


Google Chrome, Internet Explorer a Mozilla Firefox v současnosti společně ovládají přes 90 % trhu webových prohlížečů. Který z těchto tří oblíbených browserů je ale nejlepší možnou volbou? Tentokrát se zaměříme speciálně na správu plug-inů a omezování rizik s nimi spojenými.

Vývoj webových technologií směřuje pozvolna k tomu, abychom se jednoho krásného dne zcela obešli bez plug-inů jako je třeba Flash Player. Zatím ale ještě webové technologie do takového stavu nedospěly. Je tak velmi důležité, aby se prohlížeče dokázaly popasovat s používáním plug-inů. Ty mají obecně řadu nedostatků, ale tím nejkritičtějším je bezpečnost.

Plug-iny představují velké bezpečností riziko
Zpráva AV-Test.org z konce roku 2013 opět potvrdila, že častá cesta malwarové infekce do systému vede skrze plug-iny ve webovém prohlížeči. Nejčastěji jsou zneužívány logicky nejvíce rozšířené plug-iny jako jsou ty pro podporu technologií Flash a Java. V neposlední řadě pak plug-in PDF prohlížeče Adobe Reader sloužící k zobrazení PDF souborů rovnou v okně webového prohlížeče.

Úspěšný útok často nepotřebuje jakoukoliv součinnost s uživatelem. Stačí otevřít špatný web či dokument. Jde o tzv. drive-by útok. Pokud si myslíte, že jste v bezpečí, když navštěvujete pouze důvěryhodné weby, tak jste bohužel na omylu. Útočníci se dnes zaměřují na napadení takových webů, aby do nich v co nejvyšší tichosti vložily škodlivý prvek.

Jaká je obrana?
  1. Používat plug-iny skutečně jen v nutných případech. Sníží se tím riziko jejich zneužití.
  2. Nahradit některé rizikové plug-iny bezpečnějšími alternativami.
  3. Plug-iny pravidelně aktualizovat, aby byly opravovány bezpečnostní nedostatky.

Pojďme si projít, jak nám s těmito třemi kroky obrany pomáhají či nepomáhají jednotlivé prohlížeče.

Google Chrome nabízí uspokojivou ochranu
Prohlížeč Google Chrome ve výchozím nastavení ponechává neaktivní pouze plug-iny související s technologií Java, ve kterých se velmi často vyskytují bezpečnostní chyby. V nastavení prohlížeče lze však přepnout do režimu, kdy se jednotlivé plug-iny budou spouštět až na vyžádání uživatele, tedy v situaci, kdy jsou skutečně potřeba.

01.png

Pokud se po změně nastavení na webové stránce vyskytuje například video, které lze přehrát jen díky plug-inu Flash Player či Silverlight, zobrazí se místo něj zástupný objekt. Ten naznačuje přítomnost videa, pro jehož přehrání je třeba aktivovat některý z plug-inů, což lze provést prostým kliknutím na zástupný objekt (click-to-play).

02.png

Podobné je to i s další prvky na webové stránce, které vyžadují některý z plug-inů. Samozřejmě, že někdy prvky nejsou přímo viditelné, takže místo nich není možné zobrazit zástupný objekt. Z tohoto důvodu Google Chrome symbolem v adresním řádku upozorňuje na skutečnost, že si webová stránka vyžaduje některý z plug-inů. Kliknutím na tento symbol lze plug-iny aktivovat.

03.png

Pro zjednodušení Google Chrome podporuje výjimky, kdy lze navzdory obecnému nastavení pro konkrétní plug-in nastavit, že má být vždy aktivní. Případně je možné vybraný plug-in povolit jen pro vybrané weby, aby nebylo třeba stále dokola na dlouhodobě důvěryhodných webech plug-in manuálně aktivovat. Stejně tak lze naopak plug-in pro konkrétní stránky zakázat.

Tolik k aktivaci plug-inů jen v případě nutnosti. Dále stojí za zmínku, že Google Chrome má předinstalovaný vlastní plug-in PDF Viewer pro zobrazování PDF souborů uvnitř okna prohlížeče. Je založen na technologii společnosti Foxit Software (autorů programu Foxit Reader), která je všeobecně hodnocena jako bezpečnější než Adobe Reader a jeho plug-in.

04.png

Google Chrome se sám stará o pravidelnou aktualizaci tohoto předinstalovaného plug-inu. Předinstalován je též Flash Player, který si prohlížeč rovněž aktualizuje podle potřeby. Google Chrome má efektivnější distribuci aktualizací než samotný Flash Player. Je tedy jednoznačně plusem, že v tomto případě je aktualizace v režii prohlížeče.

Internet Explorer propadá na celé čáře
Prohlížeč Internet Explorer se zaměřuje spíše na výkonnostní než bezpečnostní problémy s plug-iny. Indikuje jejich vliv na výkon prohlížeče a průběžně nabízí deaktivaci těch, které mohou za nižší výkon. V tomto ohledu by se od něj ostatní prohlížeče mohly učit, ale po bezpečnostní stránce jsou možnosti správy plug-inů naprosto nevyhovující.

Internet Explorer sice podporuje aktivaci plug-inů až na vyžádání díky funkci Filtrace ActiveX, ale problém je v tom, že aktivuje vždy veškeré povolené plug-iny. Nikoliv jen ten plug-in, který je třeba pro konkrétní prvek na webové stránce (jako je například video). Navíc při této hromadné aktivaci plug-inů dojde k znovunačtení stránky, což není vůbec dobré.

05.png

Při obnovení stránky totiž může být načten právě ten záškodnický prvek, kvůli kterému byl prohlížeč přenastaven na aktivaci plug-inů až na vyžádání. Internet Explorer sice umožňuje správu podpory plug-inů pro konkrétní weby ve stylu výjimek prohlížeče Google Chrome, avšak je natolik krkolomná, že pro řadu koncových uživatelů je prakticky nepoužitelná.

06.png

Žádné vlastní alternativy za kritické plug-iny Internet Explorer nenabízí. Ve Windows 8 a vyšších je však součástí instalace Flash Player, tedy obecně nejčastěji potřebný plug-in. O jeho aktualizaci se stará služba Windows Update, která aktualizuje i samotný prohlížeč. Opět je efektivnější než vlastní aktualizační mechanismus Flash Playeru.

Jenže ve Windows 7 či starších jsou uživatelé odkázáni právě na tento neefektivní mechanismus. To Google Chrome si přináší Flash Player jako součást instalace, o jejíž aktualizaci se velmi precizně stará svépomocí, na všechny podporované platformy ve všech podporovaných verzí. Od Windows XP až Windows 8.1 přes OS X po Linux.

Mozilla Firefox si vede zřejmě nejlépe
Prohlížeč Mozilla Firefox ve výchozím nastavení stejně jako Google Chrome ponechává neaktivní veškeré plug-iny související s technologií Java. Pokud uživatel nenastaví jinak, tak tyto plug-iny se vždy spouští až na vyžádání prostřednictvím symbolu v adresním řádku nebo zástupného prvku. Ostatní nainstalované plug-iny jsou ve výchozím nastavení vždy aktivní.

07.png

Správce doplňků však umožňuje přepnout všechny nebo jen vybrané plug-iny do režimu, kdy se aktivují až na vyžádání. Princip je stejný jako v konkurenčním prohlížeči Google Chrome. Rovněž lze jednoduše nastavit výjimky určující, kdy se který plug-in (ne)má spouštět oproti obecnému nastavení ve správě doplňků.

08.png

Tento prohlížeč s sebou nenese žádné plug-iny, takže se nestará ani o jejich automatickou aktualizaci. Správce doplňků však odkazuje na internetovou službu Mozilla Plug-in Check, kde si uživatelé mohou zkontrolovat aktuálnost nainstalovaných plug-inů. Pokud je některý z plug-inů zastaralý, služba nasměruje uživatele na web, kde najde jeho nejnovější verzi.

09.png

Mozilla Plug-in Check funguje i v konkurenčních prohlížečích, což se hodí. Ještě užitečnější by ovšem bylo, kdyby Firefox zobrazoval aktuálnost plug-inu rovnou v okně jejich správy. Tam se zobrazuje varování na jen v obzvláště závažných případech podobně jako v prohlížeči Google Chrome. Varování je v rukou tvůrců prohlížeče. Nejedná se o automatický proces.

Pokud jde o náhradu kritických plug-inů, tak Mozilla sází na webové technologie namísto nativního kódu, tedy výměny plug-inu za jiný plug-in. Firefox obsahuje integrovaný prohlížeč PDF souborů využívající výhradně HTML 5, JavaScript a CSS. Teoreticky by to mělo být bezpečnější řešení, ale v praxi si někteří uživatelé stěžují na problémy s kompatibilitou a výkonem.

10.png

Mozilla to ovšem nevzdává a integrovaný prohlížeč PDF souborů dál zdokonaluje. Navíc pracuje na něčem ještě ambicióznějším – podobné náhradě plug-inu Flash Player. Rozhodla se do Firefoxu zařadit projekt Shumway, na kterém spolupracovala již dříve. Shumway umožňuje alespoň v omezené míře používat na webu technologii Flash bez nutnosti plug-inu Flash Player.

Používá čistě webové technologie (HTML 5, JavaScript a CSS), které uvádí do pohybu Gecko, tedy vykreslovací jádro Firefoxu. V ostré verzi Firefoxu se však Shumway jen tak neobjeví. Do té si lze prozatím nainstalovat Shumway alespoň jako rozšíření, ale mějte na paměti, že projekt je stále v experimentální stádiu, takže čekat bezproblémovou funkčnost obecně nelze.

Ambiciózní Google: soumrak plug-inů?
Google chce do konce roku ze svého prohlížeče odstranit podporu Plug-in Netscape API (NPAPI), což bude znamenat faktický konec kompatibility s většinou současných plug-inů. Zmíněné API má kořeny hluboko v 90. letech minulého století v tehdejším prohlížeči Netscape Navigator. Stalo se první standardizovanou možností uživatelského rozšíření prohlížeče o další funkce.

Google však tvrdí, že NPAPI je dnes zastaralé, takže je na čase s ním skoncovat. Neznamená to ale, že by Google Chrome přestal podporovat veškeré plug-iny. Například předinstalovaný Flash Player a PDF Viewer toto stařičké API nepoužívají. Nic to ale nemění na tom, že Google chce technologie vyžadující plug-in co nejdříve nahradit.

Proto kromě ohromných investic do nových webových standardů a technologií pracuje i na projektu Native Client, který již nyní webovým vývojářům umožňuje používat nativní kód napsaný v C/C++ jazyce. Ze začátku Native Client paradoxně vyžadoval plug-in, ale to bylo rané experimentální stádium. Nyní projekt postoupil dále.

Současný Portable Native Client umožňuje webovým vývojářům používat C/C++ napříč prohlížeči nezávisle na jakémkoliv plug-inu. Vše potřebné si konkrétní webová stránka či webová aplikace „přinese“ sama. V prohlížeči tak nebude třeba žádný speciální plug-in. Starost o bezpečnost se mnohem více přenese na webové vývojáře.

Mozilla a Microsoft jsou rezervovanější
Mozilla se zatím drží více při zemi. Dlouhodobě chce přejít na model, kdy veškeré plug-iny budou ve výchozím nastavení spouštěné až na vyžádání. Jedinou výjimku by prozatím kvůli časté potřebě měl dostat Flash Player. Počítá se ovšem s tím, že by jej časem mohl nahradit výše zmíněný projekt čistě webový projekt Shumway. Mozilla však zatím svůj plán naplnila jen částečně.

Danou politiku uplatňuje pouze na plug-iny související s technologií Java, které jsou opravdu dlouhodobě nejproblematičtější. Mnohem více než Flash Player, přestože jeho pověst je mezi širokou veřejností dost možná horší. Jestli a kdy dojde na zpřísnění této politiky směrem k dalším plug-inům zatím není jasné. Každopádně by šlo „pouze“ o změnu výchozího nastavení.

Uživatelé by si toto nastavení mohli upravit dle libosti. Pro tuto chvíli je tu akademická otázka, co je větší zlo: buď mít ve výchozím nastavení skoro všechny plug-iny aktivní, nebo naopak ve výchozím nastavení nechat spouštět téměř všechny plug-iny až na přání uživatele. Pro první možnost hovoří komfort, pro druhou bezpečnost.

A co na to Microsoft? Ten chtěl s plug-iny zcela skoncovat již s příchodem původních Windows 8, kde Internet Explorer ve své dotykové verzi neměl plug-iny podporovat vůbec. Nakonec však podporuje alespoň Flash Player s tím, že existuje černá listina stránek, kde jsou s technologií Flash potíže. Pro tyto stránky není Flash Player k dispozici.

Nicméně dotykový Internet Explorer zatím na poli webových prohlížečů hraje zcela marginální roli. V jeho starším desktopovém souputníkovi se zatím nijak podpora plug-inů neomezuje a v dohledné době to ani není v plánu. Nicméně Microsoft spolupracuje s Googlem či Mozillou na přípravě nových webových standardů, díky nimž by jednou plug-iny mohly být minulostí.

Screenshoty: autor
Úvodní obrázek: Google, Microsoft, Mozilla
Nemáte oprávnění prohlížet přiložené soubory.


Autor je nezávislý novinář a publicista věnující se informatice, elektronice a telekomunikacím. V těchto oborech i podniká. Zaměřuje se na tržní segmenty SOHO a SMB.

Reklama
  • Mohlo by vás zajímat
    Odpovědi
    Zobrazení
    Poslední příspěvek
  • bezpečnost Telnet x HTTP
    od jsemzpet » 30 bře 2017 13:41 » v Administrace sítě
    3
    316
    od ITCrowd
    30 bře 2017 14:39
  • Memtest - rozporný výsledek testu
    od hillmik » 09 kvě 2017 21:00 » v Problémy s hardwarem
    4
    217
    od Zivan
    10 kvě 2017 10:31
  • Zasekávání prohlížeče
    od fantom004 » 26 črc 2017 17:43 » v Vše ostatní (sw)
    2
    212
    od fantom004
    27 črc 2017 06:38
  • Občasná nefunkčnost prohlížeče
    od Cowan » 07 bře 2017 17:29 » v Internet a internetové prohlížeče
    1
    270
    od CitroCZ
    07 bře 2017 17:40
  • Prohlížeče - problém se zobrazením
    od xmy » 09 srp 2017 09:06 » v Internet a internetové prohlížeče
    12
    451
    od xmy
    09 srp 2017 14:00

Zpět na “Internet a sítě (čl.)”

Kdo je online

Uživatelé prohlížející si toto fórum: CommonCrawl [Bot] a 0 hostů