پروژه تحقیقاتی امنیت مرورگرها که بتازگی از سوی گوگل مطرح شده، گوگل را بهعنوان برترین دارنده قابلیتهای امنیتی انتخاب کرد و فایرفاکس را از نظر محافظت در برابر تهدیداتی که از طریق وب منتقل میشود، در رده بعد از اینترنت اکسپلورر قرار داد. البته قابل پیشبینی است که مایکروسافت و موزیلا درباره این که چهچیزی یک مرورگر را امن میکند، نظرات متفاوتی دارند.
چگونگی انجام تحقیق
آکوانت در بررسیهای خود 3 مرورگر را مورد بررسی قرار داد: موزیلا فایرفاکس، گوگل کروم و مایکروسافت اینترنت اکسپلورر. تمام این مرورگرها در ویندوز 7 آزمایش شدند و در زمان انجام آزمایش، آخرین نسخههای آنها مورد استفاده قرار گرفت. طبق اعلام آکوانت، آنها مرورگرهای دیگر نظیر سافاری و اوپرا را به دلیل صرفهجویی در وقت کنار گذاشتند ولی قصد دارند درباره این مساله مهم به یافتههای بیشتری برسند.
تحقیقات آکوانت تا امروز جامعترین تحقیقات انجام شده به شمار میرود، گرچه مرورگرها و سیستمهایعامل دیگر در آن بررسی جایی نداشت. محققان میخواهند به کاربران بگویند فقط بهدنبال خطا گشتن یا تهیه نقاط ضعف نباشند.آنها تلاش کردهاند اطلاعات بیشتری درباره این که چهچیزی یک مرورگر را امن میکند یا چه میزان در مقابل تهدیدها ـ چه در زمان حال و چه در آینده ـ مقاوم هستند، ارائه کنند. بخشی از این تلاشها، محققان را به این سمت راهنمایی کرد تا بررسی کنند هر مرورگر هنگامیکه یک مزاحم وارد سیستم میشود، چگونه عمل میکند و آن بدافزار چهمیزان اطلاعات را میتواند بهدست آورد.
چیزهایی که در تحقیق بهدست آمد
محققان آکوانت متوجه شدند گوگل کروم جدیدترین و موثرترین قابلیتهای امنیتی را در اختیار دارد که این قابلیتها سبب میشود کاربرها از کدها و اسکریپتهای مخرب که در صفحههای وب قرار داده شدهاند یا بهطور خودکار دانلود و بهعنوان بخشی از سایتی که درحال دیدن آن هستند اجرا میشوند، محافظت شوند.
Sandboxing یا روشی که در آن، مرورگر دسترسی به منابع و دادههای سیستم را خارج از محدوده کاری خود مرورگر محدود میکند، یکی از مواردی است که تفاوت زیادی میان رقبا ایجاد میکند. محققان دریافتند که کروم موثرترین مرورگر در بین این سه مرورگر، در دور نگهداشتن بدافزارها از اطلاعاتی است که در محدوده مرورگر نیستند. اینترنت اکسپلورر هم قابلیت Sandboxing دارد؛ ولی بررسی کنندگان مدعی شدهاند بدافزارها برخی تواناییهایی را در خواندن فایل بهدست آوردهاند؛ حتی اگر سیستم اجازه نصب نرمافزار را به بدافزار ندهد. این درحالی است که فایرفاکس بسادگی در رده «اجرا نشده یا بیاثر» قرار گرفت.
JIT Hardening که مرورگر را در اجرای جاوااسکریپت ـ که در رایانه کاربر نمیتواند اجرا شود محافظت میکند ـ یکی دیگر از مسائلی است که کروم و اینترنت اکسپلورر در آن برابر بودند، در حالی که فایرفاکس از آنها عقب ماند.
امنیت افزونهها یکی دیگر از حوزههایی است که کروم توانست بهوسیله آن، برنده رقابت شود. این قابلیت، از نصب نرمافزارهای اضافی توسط افزونههای در حال اجرا و اجرای اسکریپتهایی که به تعامل کاربر هنگامیکه در یک وبسایت است نیاز ندارند، جلوگیری میکند.
در تمام این سه حوزه، کروم در صدر جدول قرار داشت. محققان، کروم را با اینترنت اکسپلورر در Sandboxing و JIT Hardening در یک رده قرار دادند؛ ولی به این مساله اشاره کردند که کروم در هر دو حوزه کمی بهتر عمل میکند. در تمام این سه مورد، فایرفاکس کمترین امتیاز را بهدست آورد. در موارد دیگر هر سه مرورگر تقریبا در یک رده قرار داشتند. تنها در یک مورد که تشکیل فهرست سیاه URL است، همگی نمره ضعیف کسب کردند. هرچند به عقیده محققان، با توجه به این که هیچیک از آنها در تشکیل فهرست سیاه خوب کار نکردند، کروم کمی بهتر از دو مرورگر رقیب عمل کرد.
در نهایت، محققان آکوانت کروم را در صدر فهرست قرار دادند، درحالی که اینترنت اکسپلورر در رده بعدی است. آنها به تواناییهای گوگل در ساخت کروم اشاره و اعلام کردند با وجود این که مایکروسافت و موزیلا در ساخت اکسپلورر و فایرفاکس میتوانستند از کدهای نسخههای قدیمی و قابلیتهای آنها استفاده کنند، با این حال کروم توانست بخوبی از نقطه صفر شروع و به این قابلیتهای نو دست پیدا کند. طبق دستاوردهای تیم تحقیق، به این علت که گوگل میتواند این مرورگر را با یک افق جدید و بدون نگاه به گذشته بنویسد، کروم امنترین مرورگر است.
عکسالعمل موزیلا و مایکروسافت
شرکت موزیلا در مقالهای به این نتایج واکنش نشان داد: «فایرفاکس شامل فناوریهای مختلف برای حذف یا کاهش خطرات امنیتی است؛ از قابلیتهای سطح نرمافزاری مانند تصادفیسازی فضای آدرس گرفته تا سیستمهای داخلی مانند سیستم تولید ریسک. موزیلا درحال بررسی روی Sandboxing است. این شرکت با بازنگریهای داخلی و خارجی کد، آزمایش و تحلیل ثابت کدهای درحال اجرا و پاسخ سریع به مسائل امنیتی درست در زمان پیدایش، در بحث امنیت وارد شده و این مساله همچنان بهعنوان یک اولویت ویژه برای فایرفاکس به شمار خواهد رفت.»
بر اساس استناد مایکروسافت به تحقیقی از آزمایشگاههای NSS، اینترنت اکسپلورر از تمام رقبای خود مانند فایرفاکس و کروم در محافظت از سیستم کاربرها در مقابل بدافزارها پیشی گرفته است.
آیا این مسائل مهم هستند؟
مساله آخر، درست است که تحقیقات مهم هستند، ولی همواره مهمترین مساله در امنیت مرورگرها، کاربری است که در پشت صفحه کلید نشسته است. اگرچه کروم در صدر فهرست قرار دارد، ولی مایکروسافت و موزیلا هم برای رویارویی با مشکلات در مرورگرهای خود تغییراتی را خواهند داد. متدولوژی آکوانت بر این فرض استوار است که سیستم شما همواره در خطر است و شما هیچ وسیله حفاظتی دیگری در کنار قابلیتهای امنیتی مرورگرتان ندارید؛ فرضهایی که درباره بیشتر کاربران صادق نیست.
در بیشتر قسمتها، امنیت مرورگر به عهده کاربر است. اطمینان حاصل کنید هنگام جستجو در وب درصورت امکان از SSL استفاده خواهیدکرد. اگر از موردی که برای دانلود شدن به شما نشان داده میشود مطمئن نیستید، آن را قبول، اجرا یا حتی دانلود نکنید. تنها زمانی افزونهها را نصب کنید که به آنها نیاز دارید.
کاربران فایرفاکس میتوانند افزونههایی نظیر HTTPS Everywhere را در سرویسهایی که اجازه میدهند SSL را روشن کنند، مورد استفاده قرار دهند یا از افزونههایی مانند NoScript استفاده کنند تا مانع نفوذ بدافزارهای جاوااسکریپت را شوند. کاربران کروم میتوانند کارکردی مشابه را با افزونههایی نظیر NotScript یا ScriptNo داشته باشند که کاربردی کاملا شبیه به یکدیگر دارند. سخن نهایی این که قابلیتهای امنیتی مرورگر تنها برای حفاظت از شماست و مادامیکه شما محتاط، دیرباور و درباره امنیتتان اهمیت قائل باشید، هیچ اهمیتی ندارد از کدام مرورگر استفاده میکنید.