web-dev-qa-db-ja.com

ブラウザーのセキュリティを優先する必要があるのはなぜですか?

から ブラウザのセキュリティに関するこの回答

あなたが本当にセキュリティを気にかけているならアップデートする時間

したがって、必要な他のすべてのソフトウェアと機能が32ビットOSで動作できる場合、アップグレードの唯一の理由はブラウザのセキュリティだと思いますか?次の場合に、ブラウザのセキュリティを最優先する理由を説明できますか?

  • 私がアクセスするほとんどのWebサイトにはSSL証明書があり、
  • それらのほとんどは、ハッキングできないと私が信頼できるほど十分に大きいか、ハッカーに利益をもたらすとは思わないほど小さい
  • WindowsとWindows Defenderは最新のものであり、
  • 魚のようなウェブサイトの香りがしますか?

これが 自信過剰効果 ではないことを願っています。そして、自信過剰にならないように自信を持ってほしいと思います。

いつものように、統計やケーススタディは答えの説得力を高めるかもしれません。

36
Ooker

ブラウザのセキュリティを最優先する理由を説明していただけますか...

ブラウザがインターネットからの多くの信頼できないコンテンツを処理しているためです。

もちろん、これを行う他のプログラム(メールクライアント、おそらくOfficeプログラム、PDFリーダーなど)を使用している場合は、これらのプログラムの脆弱性も通常の攻撃経路であるため、これらも更新しておく必要があります。

..私がアクセスするほとんどのWebサイトにはSSL証明書があり、

SSL証明書は、サイトで得られる信頼については何も述べていません。 HTTPSは、転送中のトラフィックの変更を傍受することからのみ保護します。 HTTPSサイトは、プレーンなHTTPサイトと同じようにマルウェアを処理できます。

それ以外は、「ウェブサイトのほとんど」は「ウェブサイトのすべて」と同じではありません。

魚のようなウェブサイトの香りがしますか?

URLが怪しいように見えるWebサイトをスニッフィングする能力に自信がある場合でも(実際には自信過剰かもしれません)、定期的にアクセスするサイトがハッキングされ、マルウェアにサービスを提供している場合は、事前に知らないことは確かです(すなわち ウォーターホール攻撃 または他の種類の 評判の高いサイトをハッキングして犠牲者の数を増やす )、またはWebサイト自体の制御外にある悪意のある広告を提供している場合(つまり Malvertising )。

編集:
回答を書き込んだ後、OPは質問に以下を追加しました:

それらのほとんどは、ハッキングされないことを私が信頼できるほど十分に大きいです...

ハッキングするには大きすぎますか?大規模なWebサイトは通常、小規模なWebサイトよりも優れたセキュリティを採用していますが、ハッキングされないという意味ではありません。また、多数の顧客を抱えるサイトは、潜在的な被害者も多数いるため、攻撃者にとって特に有利なターゲットになります。いくつかの例: ...フォーブスの悪質な広告... または ...「ランサムウェア」マルバタイジングによってヒットしたニューヨークタイムズとBBC または 研究:One -上位のWebサイトの3分の1が脆弱またはハッキングされている

...またはハッカーにとって利益になるとは思えないほど小さい、...

ハッキングするには小さすぎますか?攻撃者 自動化ツールを使用 WordPressまたはDjangoのような安全でないCMSインストールを一括でハックする、つまり脆弱なものを乗っ取るのは非常に安価です。この方法でサイト。

136
Steffen Ullrich

アクセスするすべてのWebサイトに証明書があるわけではありません。魚のようなウェブサイトのにおいはしません。証明書は、サイトがハッキングを試みていないことを意味するものではありません。

ブラウザーは、コンピューターに対する最大の攻撃ベクトルです。少なくとも未検証のJavaScriptコードを実行する傾向があり、神は他に何を知っているでしょう。信頼できないソースからのデータを常に処理します。

21
gnasher729

各ステートメントは、ここで誤った仮定をしています。

私がアクセスするほとんどのWebサイトにはSSL証明書があります。

これはすばらしいことですが、SSL/TLSは特定の種類の攻撃からのみ保護します。

ほとんどの場合、(有効な)TLS証明書を持つサイトは、そのWebサイトの所有者が、サイトへのアクセスに使用されるドメイン名の所有権を何らかの方法で証明していることを意味します。またはおそらく何も使わない)。通常、これは、ドメインのなりすまし(サイトの3番目のポイントへの対応として説明します)を除いて、サイトが彼らの言うとおりの人物であると信頼できることを意味します。しかし、それがそうであるとは限りません(たとえば、シマンテックが発行したすべてのものを今年初めに取り消された/信頼されていなかった大失敗を参照してください)。そのため、TLS証明書は実際にサイトの所有権を検証するだけであり、サイトが正当なものであるか、彼らが言っていることを行っているかどうかを検証しません。

TLS証明書にはもう1つの保護上の利点があり、HTTPSを使用できます。 HTTPSは、正しく使用されている場合、2種類の保護を提供します

  • 受け取っているデータが、Webサーバーが送信したデータと同じであるというかなり高いレベルの信頼性を提供します。これは、サイトへの転送中に第三者によってサイトに何も追加または削除されていないことを確認するために重要です。
  • 転送中のデータが転送中にサードパーティに表示されないというかなり高いレベルの信頼性を提供します。これが、HTTPSを使用するためにパスワードまたは個人データを提供するすべてのサイトが確実に重要である理由です。

これでもまだかなりの数の攻撃にさらされています。最も明白なのは、Webサーバーがハッキングされている(または、CDNを使用している場合はCDNがハッキングされている)ことです。 XSS攻撃、悪意のある広告(使用する広告のために悪意のあるサイトへの自動リダイレクトが隠されている完全に正当なサイトをすべて考えてください)、およびTLS自体への攻撃(そのような攻撃はなぜ賢明ではないのか)のような他のものもあります。オペレーターは引き続きSSLv2またはSSLv3を使用します(どちらも壊れていることがわかっています)。そのため、HTTPS/TLS/SSL自体は厳密な保護ではありません。

また、あなたが言ったように、あなたがアクセスするウェブサイトのほとんどはすべてではなくTLSを使用しています。 非常に考えて本当にそれを使用していない他のサイトを信頼するべきかどうか、設定に5分もかからないのなら彼らのサーバーはLetsEncryptからの無料の証明書を使用していますが、セキュリティのその他の側面として、彼らは手を抜いていますか?

それらのほとんどは、ハッキングできないと私が信頼できるほど十分に大きいか、ハッカーに利益をもたらすとは思えないほど小さい。

過去10年間、ニュースを見ていませんか? publicの開示に関して言えば、100millionユーザー(1億人は世界の人口の1%を超え、おそらくインターネット上の総人数の3〜4%に近いため、ほとんどの人の定義では大きなサイトです)。私はPwnedされたHave-Beeenに関する公開違反のリスト =を参照することをお勧めしますvery機密データ(Experianなど)。したがって、いいえ、何かが「ハッキングするには大きすぎる」と期待することは現実的ではありません。実際、大きなサイトはlotsのユーザーを抱えているため、攻撃者にとって最も魅力的なターゲットの1つです。彼らはまた、セキュリティ侵害を公に開示することで悪名高い悪い実績を持っています(彼らは失う可能性のある顧客が多いため、そうしないほうがインセンティブがあります)。

反対に、魅力的でなくても、小さなサイトは簡単のターゲットになります。大きなサイトをハッカーにとってリスクの高い投資と考えるなら、小さなサイトはリスクの低い投資です。それらはリターンの点でそれほど多くを与えないかもしれませんが、彼らはしばしばはるかに一貫したリターンを与えるので、それらはまだ魅力的なターゲットです。

また、攻撃者が脆弱性のあるソフトウェアをターゲットにしていることがよくあり、必ずしも特定のサイトではありません。 WordPressは良い例です。これは、規模の大小を問わずサイトで使用されており、過去に攻撃ベクトルとして複数回使用されてきたためです。

魚のようなウェブサイトの匂いがする

まず、サイトが「怪しげ」ではないからといって、それが脅威ではないという意味ではありません。また、多くの人々の定義により「怪しげ」に見える正当なサイトもかなりあります。

第二に、正当なサイトをコピーすることは難しくありませんが、結果として違法なことをします。これには、さまざまな形のドメインスプーフィングがよく使用されます。しばらく前に大きなinfosecサイトにかなり良いブログ投稿がありました(残念ながら今は見つかりません。それ以外の場合はここにリンクします)。これをApple.comで示しています。

あなたが気をつけなければならないけれどもおそらく見つけることができないもののタイプの例として、あなたはuvとυνの違いを知ることができますか?いいえ、これは簡単な質問ではありません。1つ目は小文字のラテン文字「u」と「v」ですが、2つ目はギリシャ語の小文字のupsilonとnuです。ほとんどのサンセリフフォント(アドレスバーのほとんどすべてのブラウザーで使用されているフォントや、ほとんどのSEサブサイトのデフォルトフォントなど)では、これらの2組の文字はほとんど区別できません。多くのセリフフォントであっても、ほとんどの人にとって区別が困難です。同様に、АВは実際にはキリル文字のペアでありラテン文字ではなく、ほとんどのフォントではラテン文字の「AB」と区別できません。どちらの場合も、「ビットスクワッティング」の例を示しています。これは、攻撃者が類似または同一に見えるさまざまなキャラクターの類似性を利用して、ユーザーを正当なWebサイトへのリンクのように見せかけてリンクをたどるように仕向けます。

手遅れになるまで、脅威であるサイトを認識できると思い込まないでください。

18

誰もまだこれを指摘していないので:

アンチウイルスソフトウェアはあなたが考えるよりもはるかに有用ではありません。実際、セキュリティ専門家に尋ねる場合、安全を維持するための主な推奨事項は、アンチウイルスを実行する推奨事項よりも、すべてのソフトウェアを更新することです。あなたが計画していることを正確にしないでください

どうして?ウイルス対策ソフトウェアが行うのは、既知の古いパンデミックを止めることだけです。ただし、最も成功した広範囲にわたる攻撃は、新しいウイルスを作成し、ウイルス対策ソフトウェアが更新されて拡散するまでの時間枠を使用するだけです。ウイルス対策ソフトウェアは特効薬ではなく、知っていることのみを検出します(動作検出はありますが、世の中にあるAVソフトウェアに対してはあまり効果的ではありません)。したがって、新しい攻撃に対しては、侵入の機会を減らすのに役立ちます。そして、攻撃者にとってはるかに安価な侵入機会は、古いブラウザまたはコアシステムです。

はい、コンピューターのデータを気にする場合は、ブラウザーが最新であることが重要です。ウイルス対策があるかどうかは、実際には重要ではありません。少しは役立ちますが、ブラウザやコアシステムが古くなっている場合は、ほとんどの新しい攻撃を防ぐことはできません。

補足事項:これは、サンドボックス化されたブラウザーを実行する場合は異なる場合があります。しかし、それが自分のやっていることを知らない限り、そうしていない可能性が高いです。 32ビットの場合はよくわかりません。UWP/ Windows App Storeなどの一般的なサンドボックスソリューションはすべてサポートされています。また、その場合、Webサイトは、銀行のWebサイトのタブを含む、開いている他のすべてのWebサイトからデータを盗む可能性があります。したがって、それは理想的ではありません。

8
E. T.

セキュリティを気にするなら、セキュリティも気にする必要があります。

「魚のようなWebサイトのにおいがする」または「アクセスするWebサイトのほとんどがSSL証明書を持っている」などの発言に十分関心がある場合は、セキュリティに注意する必要があります。

攻撃はそこにあります。限目。だまされないようにしましょう。私たちが免疫を持っているふりをしましょう。取る Stuxnet 。 Stuxnetは、イランで核燃料を濃縮するために使用される最大1000台の遠心分離機を破壊したとされています。これは、少なくとも数億ドルの損害です。実際には、国の視点からの優れたリスク評価はさらに困難になります。

SSL証明書を使用してサイトにアクセスするために無敵だと感じますか? Stuxnetがヒットしたコンピューターはエアギャップでした。インターネットと感染したコンピューターの間に配線はありませんでした。彼らはまだ感染した。

したがって、本当の質問は「私は安全ですか」ではありません。あなたではない。本当の質問はあなたが安全かどうかです十分です。アップグレードにいくらか数ドルと数時間を費やす価値はありますか?それはバランスの問題です。それははるかに便利です。

これがテストです。コンピュータにログインします。気になるサイトにいくつかログインします。今、あなたのコンピュータを私に渡してください。私はそれを持ち去ります。気分はどうですか?私があなたのデータを持っていることはどれほど緊張していますか?あなたが持っているすべてがかわいい子猫の写真でいっぱいのハードドライブであるなら、あなたはおそらくあなたが私があなたのラップトップを持って歩き去ったことにもっと腹を立てるでしょう。ノートパソコンは交換に費用がかかります。しかし、そのコンピューターで銀行の資格情報を持っている場合、おそらく私がそれらで何ができるかについてもっと心配するでしょう。あなたのSSNはそのコンピューターにありますか?

どれだけのダメージを与えることができるか、そしてそのダメージを防ぐためのコストを理解したら、判断を下すことができます。

6
Cort Ammon

ブラウザーの更新には、認証局データの更新と実際にその独自の証明書が含まれます。これらの両方に有効期限があり、古すぎるブラウザではアクセスできないまったく古すぎるブラウザではSSL証明書を確認できないため、多くのWebサイトが存在しますOR古すぎるブラウザはリモートサーバーへの独自の証明書を検証できません。そのため、セキュリティを気にしなくても、セキュリティ検証が実現するアクセスと機能を気にするかもしれません。

さらに、あなたが見ているウェブサイトの魚の臭いを「嗅ぐ」までに、多くの種類の攻撃にはすでに遅すぎます。うまくいけば、古い32ビットオペレーティングシステムがウイルス対策ソフトウェアの更新を取得できないこともありません。

6
Beanluc

他の回答の優れた点に加えて:

32ビットソフトウェアはまだ定期的に更新されていますか、それとも非推奨の古いバージョンですか?

インターネットに接続されたソフトウェアのいずれかが新しいセキュリティ修正の受信を停止すると、その後、すべての新しいバグやハッキングの影響を受けやすくなります。

4
user121968
  • 私がアクセスするほとんどのWebサイトにはSSL証明書があり、
  • それらのほとんどは、ハッキングできないと私が信頼できるほど十分に大きいか、ハッカーにとって利益になるとは思えないほど小さい
  • 魚のようなウェブサイトの香りがしますか?

そこにあるすべてが間違っています。

あなたが推測したように、ほとんどのシステムでは他のどのソフトウェアもそれほど信頼境界の外側から定期的にデータに遭遇しないため、ブラウザのセキュリティは重要です

  • ほぼリアルタイムで処理する必要があり、
  • いくつかのシンプルで簡単なフィルター形式をサブスクライブせず、
  • 次に、絶えず変化するターゲットを実装する非常に複雑なソフトウェアによって解析または実行されます。つまり、実装エラーが含まれている可能性が高く、その一部は悪用される可能性があります。

SSLは、特定の種類の攻撃からユーザーを保護します。攻撃者の目的がマシンのセキュリティ侵害である場合、そのほとんどは無関係です。現在の名前であるTLSが示すように、その事業はトランスポートセキュリティであり、ブラウザやマシンを保護していません。

すべてのタイプのウェブサイトは絶えずハッキングされています。自動化されたボットによる最小のもの。ここのバックグラウンドノイズはかなり驚くべきものです。独自のサーバーを使用している場合は、ログファイルを1日間表示して、すべての興味深いポートへの接続試行の量に24時間年中無休で驚嘆します。 Webサーバーのログファイルを表示し、奇妙なパスと標準的なルートを読んで、人気のある安全でないソフトウェアパッケージにアクセスします。これが機能しない場合、少なくとも時々、このようなものは存在しません。

一方、大規模なWebサイトは、単に大きくするだけでは安全性が向上しません。動物界では、あなたは捕食者から安全であるために最大でなければなりません。あなたがちょうど大きい場合、それはあなたがキツネの代わりにライオンに狩られていることを意味します。インターネットでも同じですが、大規模なWebサイトであることは、脅威のアクターが熱心な活動家、組織犯罪、多分国家(企業によって異なります)などであることを意味します。脅威のプロファイルchangesはサイズに基づきますが、それがより良いものに変わると明言することは全くナイーブです。

魚のようなウェブサイトのにおいがするかもしれませんが、サイドローディングによってかなりの量のマルウェアが堆積しています。直接ウェブサイトの代わりに広告ネットワークを介して。まったく悪臭のないWebサイトが使用するのは、侵害されたCDNである可能性があります。

つまり、要約すると、ブラウザのセキュリティは重要です。ブラウザのセキュリティは重要ではありません境界の最大の穴の1つであり、notブラウジングの習慣やマルウェア対策ツールを使用して自分自身を適切に保護しますが、どちらも役立ちます。

1
Tom