Hlavní navigace

Internet Explorer – problém, kterému se dalo předejít

Vojtěch Bednář 15. 7. 2004

Nedávné zneužití čtyř popsaných, byť neopravených, bezpečnostních mezer v Internet Exploreru vyvolalo bouřlivou odezvu nejen v odborných kruzích a médiích. O jak velkou katastrofu se zde jedná? A šlo jí předejít například použitím jiného prohlížeče? A co můžeme ohledně bezpečnosti webových prohlížečů očekávat do budoucna?

Princip byl v podstatě jednoduchý. Díky použití kombinace známých bezpečnostních mezer v Internet Exploreru bylo možné na počítač podvrhnout a spustit jakýkoliv soubor, aniž by uživatel musel cokoliv udělat. Postačilo, když se podíval na patřičně „vylepšený“ webový server.

Všeobecný povyk nastal kvůli dvěma věcem. Především byly použity nezáplatované chyby, respektive jejich kombinace. A za druhé – nejednalo se o teoretický exploit, ale o praktické využití postiženého místa. Je vůbec Internet Explorer bezpečný? A jak je možné „bezpečnost“ měřit? Dá se spoléhat alespoň na alternativní webové prohlížeče? To jsou otázky, které si v tuto chvíli klade nejeden uživatel a klade si je oprávněně. Webový prohlížeč již dávno není aplikací jen na „prohlížení“ stránek. Jeho význam spočívá v tom, že funguje jako prostředí pro různé aplikace. Některé z nich pracují s citlivými daty, nebo dokonce s penězi, a proto musí být důsledně chráněny jak ony samy, tak především data, která přenášejí, zobrazují, s nimiž pracují. Prohlížeč ale musí zároveň zajistit tak širokou škálu funkcionality, aby tyto aplikace mohly být provozovány. A zde je kámen úrazu. Vysoká bezpečnost a vysoká funkcionalita se totiž nesnesou bez důsledných kontrolních mechanismů a bez dostatečně kvalitní práce při vytváření takové aplikace. Bohužel, i když je to všechno na místě, někdy je to pořád ještě málo.

Mrtvola se rozpitváním rozpadá

Internet Explorer není jediný webový prohlížeč. Alternativní aplikace možná nabízejí v mnoha ohledech kvalitnější funkce z hlediska uživatelského pohodlí a celkové funkcionality, přesto zdaleka nedosahují jeho rozšíření. Někdy bývá Mozilla glorifikována pro svůj otevřený kód, Opera pro vysokou bezpečnost, pohodlí, mobilní multiplatformnost, a tak bychom mohli pokračovat. V žádném případě ale nemůžeme tyto prohlížeče glorifikovat pro jejich bezchybnost. Domnívám se, že skutečnost, že právě Microsoft Internet Explorer je pravidelně napadán a musí být pravidelně záplatován, vychází částečně i z jeho postavení nejrozšířenějšího prohlížeče. V čím více kopiích je provozován, tím je lukrativnějším cílem pro útočníka. Čím je cíl lukrativnější, tím více a tím intenzivněji bude zneužíván. Čím intenzivněji bude zneužíván, tím více mezer se v něm najde. Tím více jich bude třeba lepit. Čím více mezer se zalepí, tím více se (v rámci verze) změní fungující kód prohlížeče od původního, a tím je vyšší riziko, že nové mezery vzniknou jako nezamýšlené důsledky tohoto posunu. Popsaný proces se dá snadno shrnout názvem tohoto odstavce.

Problémem je homogenita

Svůj Internet Explorer počínaje trojkovou verzí Microsoft uživatelům vnutil. Byl přibalen již k Windows 95SR2. Skutečně podstatné potíže ovšem začaly s dokončením verze 4.0, která je, troufám si tvrdit, první skutečně použitelná. Přibalování Internet Exploreru k systémům Windows vedlo jednak k faktické likvidaci trhu v této oblasti (kdo by si proboha kupoval něco, co má zadarmo), jednak k vytvoření ohromného oceánu velmi podobných prohlížečů na milionech počítačů. Práce programátorů Microsoftu musela být od počátku zamýšlena jako kombinace snahy o bezpečnost a snahy o funkcionalitu. Tento kompromis ale masové nasazení podle mého názoru nevydržel. Snahy prosadit bezpečnost se odehrávají nyní již naprosto zjevně na úkor funkcionality (vypnutí metody ADODB.Stream z MS DAC oficiální záplatou).

Zdálo by se, že stav, kdy Internet Exploreru jen trochu zasvěcený uživatel přestává důvěřovat, je ideální startovní čarou pro jeho konkurenci. Avšak pozor. Zkusme si představit, že během následujících – řekněme – dvou let dojde vlivem bundlování alternativ s Windows, lepší osvěty a přetrvávajících potíží ke zvýšení podílu Mozilly, včetně jejích alternativ postavených na jádře Gecko, na 25 procent z celkového množství prohlížečů. Opera stoupne na 15 procent (je placená) v rámci systému Windows, ostatní alternativy obsadí deset procent prostoru a na Internet Explorer zbude i tak velmi slušná polovina. Pokud by se tento trošku do oblast vědecké fantazie spadající scénář naplnil, stanou se oba konkurenční prohlížeče (ale hlavně Mozilla pro svůj otevřený kód) stejným cílem útoků a pokusů o exploit, jakým je nyní Internet Explorer. Nicméně diverzita prostoru webových klientů způsobí, že vady, které budou pro každý typ prohlížeče specifické, nebude možno kombinovat a hlavně – nebude je možné využít proti takřka jakémukoliv počítači se stoprocentní jistotou úspěchu, jako je tomu dnes. Tak se paradoxně stane i Internet Explorer bezpečnějším.

Anketa

Jaký je váš primární webový prohlížeč pod Windows?

Našli jste v článku chybu?

12. 8. 2004 15:12

-sim- (neregistrovaný)
Zajimave, me spadla za dobu pouzivani asi jen dvakrat a pouzivam ji uz asi tri roky minimalne. Asi mate holt na OpenSource smulu:-)

To, ze na dostupnost zdrojaku zvysoka kaslete nam tady je jasne vsem, o tom jsem se presvedcil, kdyz jsem cetl nektere vase prispevky:-)

Ale v jednom z tech prispevku jste se zminil, ze se zabyvate programovanim. A pokud tomu tak opravdu je, tak mi netvrdte, ze nevite, jak by to ovlivnilo funkcnost...tohle muze rict, s prominutim, amater...



12. 8. 2004 13:13

Vaclav Kabat (neregistrovaný)
je prilis pomala, spoustu veci neumi...

miranda casto pada, nejen me, a ja na dostupnost zdrojaku zvysoka kaslu, opravdu nevim, jak to ovlivni funkcnost?

Root.cz: Nová třída SD karet A1 s vysokým výkonem

Nová třída SD karet A1 s vysokým výkonem

120na80.cz: Popraskané rty? Některé balzámy stav zhoršují

Popraskané rty? Některé balzámy stav zhoršují

Podnikatel.cz: Přehledná titulka, průvodci, responzivita

Přehledná titulka, průvodci, responzivita

Měšec.cz: Kdy vám stát dá na stěhování 50 000 Kč?

Kdy vám stát dá na stěhování 50 000 Kč?

DigiZone.cz: Mňam TV splnila slib a odešla z DVB-T

Mňam TV splnila slib a odešla z DVB-T

120na80.cz: Bojíte se encefalitidy?

Bojíte se encefalitidy?

Vitalia.cz: Spor o mortadelu: podle Lidlu falšovaná nebyla

Spor o mortadelu: podle Lidlu falšovaná nebyla

Podnikatel.cz: 3, 2, 1..EET startuje. Na co nezapomenout?

3, 2, 1..EET startuje. Na co nezapomenout?

Podnikatel.cz: EET zvládneme, budou horší zákony

EET zvládneme, budou horší zákony

Měšec.cz: Vklad na cizí účet je draze zpoplatněn (přehled)

Vklad na cizí účet je draze zpoplatněn (přehled)

Vitalia.cz: Naučí vás péct kváskový chléb bez lepku i s lepkem

Naučí vás péct kváskový chléb bez lepku i s lepkem

120na80.cz: 5 poporodních problémů a jejich řešení

5 poporodních problémů a jejich řešení

Lupa.cz: UX přestává pro firmy být magie

UX přestává pro firmy být magie

Root.cz: Telegram spustil anonymní blog Telegraph

Telegram spustil anonymní blog Telegraph

Vitalia.cz: Chtějí si léčit kvasinky. Lék je jen v Německu

Chtějí si léčit kvasinky. Lék je jen v Německu

Podnikatel.cz: Pozor, pojišťovny mění čísla účtů

Pozor, pojišťovny mění čísla účtů

Měšec.cz: Air Bank zruší TOP3 garanci a zdražuje kurzy

Air Bank zruší TOP3 garanci a zdražuje kurzy

Měšec.cz: Zdravotní a sociální pojištění 2017: Připlatíte

Zdravotní a sociální pojištění 2017: Připlatíte

120na80.cz: Rovnátka, která nejsou vidět

Rovnátka, která nejsou vidět

120na80.cz: Pánové, pečujte o svoje přirození a prostatu

Pánové, pečujte o svoje přirození a prostatu