-
LOGOUT
"Sokan hiányolták, hogy a CIS topiknak nincs első hsz-e, ráadásul tényleg hasznos lenne egy összefoglaló a programhoz, ezért most megszületett, használjátok egészséggel, remélem, néhányotoknak könnyít az életén és a "Sárkány" használatán!
Új hozzászólás Aktív témák
-
#1213
Lóri papagáj
csendes tag
blattida
#1212
Lóri papagáj
csendes tag
válasz
blattida
#1212
üzenetére
Oké!
Melih Abdulhayoglu:
Nem a böngésző a hibás
(Don’t Blame the Browser)
2009-02-06Forrás:
http://www.securityfocus.com/columnists/492“A PC-k biztonságának a megelőzésen kell alapulni. Az őrző mechanizmusoknak kell garantálniuk a várható behatolók folyamatos távol tartását, a böngészőtől függetlenül.”
*
Volt idő, amikor a legtöbb betegség halálos volt az emberre. A kórokozók beható tanulmányozása és kutatása hozzásegítette az orvosokat, hogy hatékonyabban tudják kezelni a betegségeket és később már szinte teljesen meg is tudták előzni a bajokat.
Manapság a védőoltások általánosan elfogadott és tartós megoldást jelentenek a betegségek megelőzésére azáltal, hogy megerősítik a szervezet természetes ellenállóképességét a kórokozókkal szemben. Az igazi megoldást a fenyegető veszélyek kiküszöbölése jelenti, vagyis nem pusztán a tüneteket kell kezelni, hanem az immunrendszert kell megerősíteni és védőbástyát kell emelni a kártevők ellen.
Ugyanez a törvényszerűség érvényes az internetes böngészőkre is. Igaz ugyan, hogy saját beépített biztonsági rendszerrel bírnak, de tulajdonképpen nem az ő feladatuk lenne szüntelenül őrködni. Ezeknek a programoknak mindössze egyvalamit kell tudniuk: böngészni az interneten. A böngészőknek az erőfeszítések helyett, hogy ők is beszállnak a felhasználó védelmét szolgáló csatákba, inkább együtt kellene működniük azokkal a biztonsági programokkal, amelyeknek valóban az a dolguk, hogy a számítógéphálózatot és az adatokat megvédjék a behatolók ellen és megelőzzék a támadásokat.
Az internet használói jól emlékezhetnek a tavalyi Internet Explorer 7-tel kapcsolatos incidensre. Az IE7 XML heap-jének sebezhetősége (puffertúlcsordulásos támadást lehetett intézni ellene) lehetővé tette, hogy a kártevők a célba vett program memóriapufferét egy titokban letöltődő programkóddal túlterheljék és ezzel veszélyeztessék a számítógéprendszert. Főleg a böngészők, az e-mail kliensek és az IM programok védtelenek az ilyen jellegű, adatlopást vagy rendszerösszeomlást okozó támadások ellen.
Úgy tűnik, az Internet Explorer felhasználói pánikba estek, amikor értesültek az IE sebezhetőségéről. A sajtóban némelyik biztonsági szakértő azt javasolta, hogy átmenetileg használjanak másik böngészőt, amíg a biztonsági lyukat befoltozó programjavítás letölthető nem lesz.
Mindamellett ez a probléma nem csak a Microsoft böngészőjét érinti, hanem általánosságban minden konkurensnek elégtelen a védelme a hasonló visszaélésekkel szemben. Az Internet Explorer ugyanannyi biztonsági rést tartalmaz, mint bármely másik böngésző, csak a többiekhez viszonyítva az IE sokmillió felhasználó alapértelmezett böngészője szerte a világon. Az ilyen problémánál az érintettek száma csak súlyosbítja az amúgy is kellemetlen helyzetet és ez az IE 2008-as malőrjénél sem történt másként.
De nézzük meg, mennyivel kockázatmentesebbek a riválisok? Tény, hogy a Firefox, a Safari vagy az Opera rajongói nagyobb eséllyel használják szoftverüknek mindig a legfrissebb verzióját, ami általában a legbiztonságosabb változat is egyben. Talán megbízhatóbbak, de azért sosem teljesen biztonságos egyikük sem, mivel minden kiadott szoftver csak egy állomása a folyamatos fejlesztéseknek.
Az esetnek elsősorban az utóhatása volt eltérő. Miközben decemberben az IE puffertúlcsordulásos problémáján csámcsogott a világ, addig nagyjából ugyanebben az időben lélekszakadva adták ki a biztonsági lyukakat befoltozó vészjavításokat a Firefoxhoz és az Operához. A Google Chrome gazdái is hangúlyozták: sem a modernebb technikájuk, sem az, hogy utolsóként szálltak a piaci ringbe, nem garantálja termékük tökéletes biztonságát.
A böngészőket böngészésre találták ki, nem arra, hogy megvédjék számítógépünket. Nem arra, hogy megóvják fáljainkat a világhálón ólálkodó bűnözőktől. Nem arra, hogy visszaverjék ezerféle vírus és trójai program támadásait. Noha minden mai böngésző rendelkezik valamilyen szintű beépített védelemmel, senki nem számíthat arra, hogy kizárólag ezek a tulajdonságaik megóvhatnak a támadásoktól.
A gyorsabb, jobb processzorok nagyobb számítási teljesítményt nyújtanak, de ahogy egyre fejlettebbek lesznek a szoftverek, egyre bonyolultabbak a kódok, egyre több új funkciót tudnak a programok, azzal együtt jelent egyre nagyobb erőpróbát a tesztelés és a biztonsági rések felfedezése. Ezen túlmenően lehet bármilyen fejlett a (védelmi) technika, ez sem tudja eltántorítani a hackereket és az adathalászokat attól, hogy mindig újabb és újabb módszereket eszeljenek ki a böngészők sebezhetőségének kizsákmányolására.
A biztonsági hibajavítások csak akkor érnek valamit, ha nagyon gyorsan elérhetővé teszik őket. A böngészők bizonyos képességeinek, mint például a java scriptek vagy az ActiveX vezérlők használatának letiltása legfeljebb a böngészési lehetőségeket korlátozza. A felhasználói magatartás kordában tartása, azaz bizonyos webhelyek blokkolása és a letöltések ellenőrzése is csak az égető probléma megkerülése. Az operációs rendszer és az antivírus programok rendszeres frissítése, a böngészők legfrissebb változatának használata vagy a kémprogramok ellen védő szoftverek telepítése, mindezeknek a műveleteknek általánosan bevett gyakorlattá kellene válniuk, de még ez is csak reagálás a fenyegetésre.
A böngészőcsere csökkentheti ugyan a sebezhetőség mértékét, de nem képes teljesen kiküszöbölni a kockázatokat, legfeljebb átmeneti megoldás lehet. Az Internet Explorer a világ legnépszerűbb böngészője, ezért a hackereknek természetesen mindig ez az elsődleges célpontja, mégsem igazi megoldás átállni egy másik böngészőre. Az igazi megoldás a veszélyek megelőzése.
A böngészők felhasználói nem a villámgyors biztonsági sebtapaszokat várnák, hanem olyan tartós megoldást, ami elébe vág a rendkívül széles skálájú fenyegetéseknek és kiküszöböli őket. A memóriatűzfalak például folyamatosan ellenőrzik minden telepített program elhelyezkedését a memóriában és a behatolók kirekesztésével képesek megelőzni a puffertúlcsordulást célzó támadásokat.
A PC-k biztonságának a megelőzésen kell alapulni. Az őrző mechanizmusoknak kell garantálniuk a várható behatolók folyamatos távol tartását, a böngészőtől függetlenül. Következésképpen a hagyományos, észlelésen alapuló technikát fel kell fejleszteni egy magasabb szintű, megelőzéscentrikus biztonsági filozófiára.
A fenyegetések talán veszélyeztethetik az átlagos böngészőprogramokat, de a hálózati biztonságot nem, ha bölcs előrelátással felkészülünk a veszélyekre.
Melih Abdulhayoglu annak a Comodo cégnek a vezérigazgatója és adatbiztonsági vezetője, amely a világban a nagybiztonságú SSL-tanúsítványok második legnagyobb kiadója. Melih 1991-ben a Bradford egyetemen szerzett elektromérnöki BS (bachelor of science) fokozatot, blogja a http://www.melih.com/ webhelyen olvasható.
Új hozzászólás Aktív témák
Hirdetés
● olvasd el a topic összefoglalót!
- Xiaomi 14T - nem baj, hogy nem Pro
- Apple iPhone 16 Pro - rutinvizsga
- Épített vízhűtés (nem kompakt) topic
- sh4d0w: Árnyékos sarok
- TV antenna és jelerősítés
- Milyen videókártyát?
- One otthoni szolgáltatások (TV, internet, telefon)
- sziku69: Fűzzük össze a szavakat :)
- Linux kezdőknek
- PlayStation 5
- További aktív témák...
- ROBUX ÁRON ALUL - VÁSÁROLJ ROBLOX ROBUXOT MÉG MA, ELKÉPESZTŐ KEDVEZMÉNNYEL (Bármilyen platformra)
- Windows, Office licencek kedvező áron, egyenesen a Microsoft-tól - Automata kézbesítés utalással is!
- Windows 10 11 Pro Office 19 21 Pro Plus Retail kulcs 1 PC Mac AKCIÓ! Automatikus 0-24
- Gyermek PC játékok
- Számlás!Steam,EA,Epic és egyébb játékok Pc-re vagy XBox!
Állásajánlatok
Cég: Promenade Publishing House Kft.
Város: Budapest
Cég: PCMENTOR SZERVIZ KFT.
Város: Budapest