Кто использует наиболее безопасный браузер?

Многие пользователи обновляют свои браузеры не так оперативно, как следовало бы. Но изучение лог-файлов Google не позволило выявить здесь какие-то закономерности.

Исследователи, опубликовавшие недавно результаты, посвященные безопасности веб-браузеров, ставили перед собой замечательную цель и имели возможность работать с прекрасными данными. Тем печальнее, что о выводах этого сказать нельзя. На основании этого труда можно сделать самые различные заключения, но только не те, к которым пришли авторы.

Специалисты из технического университета Цюриха, Google и IBM изучили предоставленные корпорацией Google данные о пользователях со всего мира, искавших с ее помощью какие-либо сведения и приложения в период с января 2007 г по июнь 2008 г. Данные были извлечены из строки, передаваемой веб-серверу вместе с запросом и содержащей сведения о браузере (browser user-agent string). Это стало одной из причин, по которой данные не столь выразительны, как утверждают авторы исследования.

К каким выводам они пришли? Во-первых, многие пользователи не применяют самые свежие и безопасные версии своих веб-браузеров. Во-вторых, это относится главным образом к пользователям Internet Explorer. Большинство тех, кто предпочитает Firefox, напротив, оперативно обновляет свои браузеры. Эти и другие результаты исследования навеяли авторам мысль, что браузеры должны иметь срок годности подобно молоку или лекарствам.

Справедливо будет предположить, что выборка была весьма репрезентативной. Ведь Google, с одной стороны, доминирует на рынке поиска, а с другой — используется во всем мире. Я мог бы возразить, что пользователи поисковой машины Microsoft будут с большей вероятностью применять Internet Explorer, чем пользователи Google. Но различие будет невелико, его можно игнорировать. Проблема не столько в пользователях, сколько в передаваемых браузерами сведениях о себе.

Агент пользователя представляет собой строку, которую браузер, он же “агент пользователя” (в более широком значении термина для обозначения веб-клиента), передает веб-серверу в качестве составной части запроса. Щелкните по этой ссылке, чтобы увидеть агент пользователя вашего браузера: www.useragentstring.com/. А здесь можно познакомиться с базой данных агентов пользователя для различных браузеров и прочих “агентов пользователя»: www.user-agents.org/. Серверы записывают эти данные и часто используют их для того, чтобы определить, какой контент направить клиенту.

Я всегда пользуюсь Firefox и IE7. В настоящее время мой Firefox имеет следующий агент пользователя — Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.9) Gecko/2008052906 Firefox/3.0, а мой IE7 — Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.0.04506; InfoPath.2; MS-RTC LM 8)

Вы легко можете увидеть, что в первом случае речь идет о Firefox 3.0, работающем под управлением Vista, которая использует английский язык (США). 1.9 — это версия движка Gecko, а 2008052906 — время его создания. В строке из IE7 мы тоже можем видеть указание на Vista. Что такое SLCC1, не совсем понятно, но скорее всего это относится к лицензионным компонентам безопасности. Приводятся версии .NET CLR и Media Center. Что означает MS-RTC LM 8, я не знаю.

Но заметьте, что в случае с Firefox сведения о времени создания и версии Gecko дают вам гораздо больше информации о версии Firefox, чем можно получить об Internet Explorer. Все, что вы можете узнать об IE, это основной номер версии, т. е. IE5, IE6, IE7, IE8. Это отметили и авторы исследования: “Поля заголовка агента пользователя для Firefox, Safari и Opera содержат подробную информацию о версии. Тогда как для Internet Explorer указывается только основная версия. Поэтому мы не имели возможности использовать данный метод для определения установленных обновлений Microsoft Internet Explorer и применяли его только для выявления основных версий”.

Авторы дополнили свое исследование данными, собранными с помощью Secunia Software Inspector — инструмента, который позволяет обнаружить установленные на ПК приложения и определить, являются ли их версии наиболее свежими.

Но вот в чем проблема. Поскольку авторы не имели детальных сведений о версии IE7, они предположили, будто у каждого, кто использует IE7, установлен полностью обновленный безопасный браузер, а у пользователей более ранних версий соответственно нет. Хотя IE6 и даже IE5 продолжают поддерживаться производителем, который выпускает для них исправления и обновления. Mozilla быстро прекращает поддержку старых версий. Недавно эта организация объявила, что поддержка Firefox 2, включая выпуск обеспечивающих безопасность обновлений, будет прекращена в середине декабря, всего через шесть месяцев после выхода Firefox 3. Microsoft, напротив, обязалась поддерживать IE5, который появился в 2000 г. вместе с Windows 2000, до окончания срока технической поддержки Windows 2000 ( т. е. до 13 июля 2010 г.). IE6 будет пользоваться поддержкой столь же долго, как Windows XP (до 8 апреля 2014 г.) и Windows Server 2003 (до 14 июля 2015 г.).

Что же касается Firefox, Safari and Opera, то здесь авторы могли определить, установили ли пользователи последние обновления. Таким образом, для Internet Explorer использовались иные критерии, не те, что для остальных браузеров. Это обычная ошибка, допускаемая при анализе защищенности, и авторы исследования не сумели ее избежать.

Те из вас, кто работает в области ИТ в корпоративном секторе, знают, что не следует торопиться с установкой новых версий каких бы то ни было программ, особенно столь важных, как веб-браузеры. Microsoft продолжает поддерживать IE5 на системах с Windows 2000 потому, что этого требуют клиенты, а не потому, что ей так хочется. В отличие от Mozilla и Apple она не может отдать распоряжение своим клиентам произвести апгрейд. Не удивительно, что продукты Mozilla и Apple не получили сколько-нибудь заметного распространения в корпоративном секторе. А если бы получили, их производителям пришлось бы быстро изменить свою политику.

Я понимаю, что не следует доверять стереотипам, но кто использует Firefox? Думаю, в основном технически грамотные пользователи, которые проявляют живой интерес к своим системам и являются их полными хозяевами. Такие пользователи устанавливают обновления сразу после их выпуска. Корпоративные пользователи не имеют возможности устанавливать обновления или новые версии продуктов, за них это делает служба ИТ.

Однако исследователи, основываясь на своих цифрах, приходят к выводу, что в Firefox механизм установки обновлений лучше, чем у конкурентов, потому люди им пользуются. Я обнаружил одну или две случайные ошибки в этом механизме, но в целом он очень хорош, во всяком случае для индивидуального пользователя. Для управляемой корпоративной сети он подходит меньше. (Заметьте, что есть разработанная одной фирмой версия Firefox с поддержкой Active Directory). Может быть, использование различных версий IE никак не связано с механизмом обновления, а целиком объясняется имеющимися у клиентов возможностями.

Так, если пользователь выбирает IE6 и с помощью обновлений системы безопасности поддерживает его на самом современном уровне, то он применяет наиболее защищенный браузер? Или нет? Конечно, нет. В исследовании справедливо отмечается, что IE7 защищен гораздо лучше. Но Microsoft поддерживает шестую версию и выпускает для нее обновления. Поэтому применять в течение года IE6 со всеми обновлениями это совсем не то же самое, что пользоваться апгрейдом этой программы. Кроме того, принятая авторами методология допускает вывод, будто все копии IE7, в том числе те, которые никогда не обновлялись с помощью “заплаток”, соответствуют современным требованиям.

Возникает вопрос, почему Microsoft не раскрывает подробную информацию о версии браузера? Сотрудник корпорации Дэвид Лебланк ответил на него в своем блоге. По его словам, в Microsoft считают, что разглашение такой информации создает уязвимость. Иными словами, предоставляя атакующему вас через Интернет точные сведения о версии, вы помогаете ему взломать браузер. Эйлун Джонс поместил в том же блоге комментарий, выразив сомнение, что подробную информацию о версии браузера можно использовать в подобных целях. Лебланк снабдил каждый пункт ответа своими примечаниями. Я рекомендую ознакомиться с этой перепиской целиком, если будет время. (Все это еще надо будет проверить).

Наконец, вернемся к данным, собранным с помощью инструмента Secunia. Полученные авторами на их основе результаты значительно отличались от итогов анализа данных Google: “Благодаря инструментам Secunia было установлено, что в мае 2008 г. 4,4% пользователей IE7, 8,1% Firefox, 14,3% Safari (только для Windows) и 15,2% пользователей Opera не использовали последние обновления, предоставленные им производителями ПО. Для сравнения: проанализировав записи веб-сервера, мы обнаружили, что 16,7% используемых браузеров Firefox, 34,7% Safari (для всех ОС) и 43,9% Opera работают без наиболее свежих обновления системы безопасности. Мы заметили, что для Firefox, Safari и Opera эти цифры больше полученных с помощью Secunia в 2,1 (Firefox), 2,4 (Safari) и 2,9 (Opera) раза. Мы отнесли эти различия на счет того, что сканером безопасности PSI компании Secunia, вероятно, пользуются люди, лучше знакомые с вопросами безопасности, чем средний пользователь”.

В соответствии с этими данными пользователи IE7 гораздо активнее обновляют свой браузер, чем другие. Авторы правы в том отношении, что те, кто применяет инструменты Secunia, вероятно, лучше знакомы с вопросами безопасности. Но даже когда они пытаются согласовать данные, умножая полученные для IE7 данные на 2,1, чтобы “ввести поправку в связи с тем, что данные Secunia относятся к более грамотным в области безопасности пользователям”, в итоге IE7 все равно выглядит лучше.

Я понимаю, что, конечно, предпочтительно было бы самому поработать с записями агентов пользователей Google. На их основе можно подготовить целый ряд прекрасных исследований. Но и то исследование, о котором здесь идет речь, могло бы быть значительно лучше, если бы авторы избегали натяжек. К сожалению, оно не позволяет делать широких обобщений.