Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Közös biztonságpolitikán dolgoznak a rivális böngészők fejlesztői

Bizó Dániel, 2005. november 24. 14:00
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

[PC World/HWSW] A négy legelterjedtebben használt böngésző, az Internet Explorer, a Mozilla Firefox, az Opera és a Konqueror fejlesztői közül néhányan kötetlen személyes találkozót tartottak néhány napja Torontóban, aminek eredményeként sikerült alapvető biztonsági kérdésekben közös nevezőre jutniuk.

hirdetés
[PC World/HWSW] A négy legelterjedtebben használt böngésző, az Internet Explorer, a Mozilla Firefox, az Opera és a Konqueror fejlesztői közül néhányan kötetlen személyes találkozót tartottak néhány napja Torontóban, aminek eredményeként sikerült alapvető biztonsági kérdésekben közös nevezőre jutniuk.

Egységes koncepció

Az e-mailen és telefonon keresztül már hónapok óta tartó diskurzus témája az volt, hogyan lehetne a felhasználók számára a webet a mainál biztonságosabbá tenni. Amennyiben az egyeztetések továbbra is jól haladnak, és a javaslatokat az érintett felek hivatalosan is befogadják, úgy a jövőben a különböző böngészők egységes, vagy egymáshoz nagyon hasonló eljárásokat alkalmahatnak a weboldalak biztonságosságának megítélésére, valamint a felhasználók megfelelő tájékoztatására.

A Konqueror fejlesztője, George Staikos által megvendégelt résztvevők egyetértettek abban, hogy a bűnözők által csapdaként felállított, jellemzően a megtévesztésre épülő weboldalak elleni küzdelemben mind a tanúsítványok megbízhatóságát, mind a böngészők felhasználói felületét nagymértékben javítani kell. Konszenzus alakult ki abban is, hogy az online kommunikáció és a személyes adatok további védelmében a jelenleg még használatban lévő gyenge titkosításokat ki kell vonni a forgalomból, és lényegesen erősebb, akár a 2048 bites kulcsú titkosításoknak kell sztenderddé válniuk.

Rosszindulatú módszerek ellen

A tanúsítványok arra szolgálnak, hogy a felhasználó megbizonyosodhasson róla, a meglátogatott oldal üzemeltetését arra jogosult, megbízható fél végzi. A személyes adatokra, bankkártyaszámokra és jelszavakra vadászó bűnözők egyik legkedveltebb módszere, hogy egy sokak által használt oldal kinézetét tökéletesen lemásolják, majd olyan e-mailek tömegével árasztják el az internetet, amelyek arra kérik a címzettet, legyen szíves bizonyos személyes adatokat egy linkre kattintva megadni. Nap, mint nap rengetegen adják ki így gyanútlanul bizalmas adataikat, nem is sejtve, hogy azok jogosulatlan kezekbe kerülnek.

Szintén hasonló trükk a hasonló című, de elgépelt címek bejegyzése, ami a legtipikusabb félreütéseket igyekszik kihasználni. A legnehezebben észrevehető módszert azonban talán a névkiszolgáló (DNS) szerverek megtörése, mikor a felhasználó oldaláról minden rendben valónak tűnik, ő jól gépelte be a weboldal címét. A számítógép azonban mégsem a bankkal, a levelezőrendszerrel vagy például a kívánt bolttal, hanem a támadók gépeivel veszi fel a kapcsolatot, és tölti le a kinézetre megegyező weboldalt. A bűnözőknek mindössze hátradőlve kell várniuk, míg az emberek megadják felhasználóneveiket és jelszavaikat.

Szigorítás és figyelemfelkeltés

A fenti jelenség visszaszorítása érdekében a négy böngésző csapataiból érkezett fejlesztők szerint egyrészt a tanúsítványoknak ki kell alakítania egy olyan szintjét, amelyek rendkívül szigorúan vannak ellenőrizve az azt kiállító vállalatok által, így az azzal találkozó felhasználó teljesen nyugodt lehet az oldalt üzemeltető szervezet vagy cég kilétével kapcsolatban. Ezt megtámogatandó a böngészők címsorának színe, ikonok, valamint szövegesen tájékoztatnák az éppen nyitva lévő weboldal megbízhatóságáról. Ezekben a keretekben a találkozón résztvevők informálisan megegyeztek ugyan, azonban a pontos részletek nincsenek tisztázva, és a böngészőket fejlesztő vállalatok és szervezetek hivatalos szerepvállalása is hátra van még.

A Microsoft részéről Rob Franco piros színt javasolt az ismert adathalász (angol nevén phishing) oldalak, sárgát a gyanús helyek, és zöldet a magas fokú biztonságot jelentő weboldalak látogatásakor. Jelenleg a Mozilla Firefox böngészője sárgát használ, ha titkosított kommunikációval tartjuk a kapcsolatot. A Franco által tett javaslatok jó eséllyel megjelennek az Internet Explorer következő, 7-es verziójában.

piros
sarga
zold

Szintén a sikeres megtévesztések számának letörése érdekében változás várható a felugró (pop-up) ablakok kezelésének politikájában. Bár alapértelmezésben ma már minden új böngésző tiltja a felugró ablakokat, ezentúl ha találkozik is ilyennek a felhasználó, az el lesz látva címsorral felül, alul pedig állapotsorral, így láthatjuk a pop-up forrását, valamint egyértelművé válik bárki számára, hogy például rendszerüzenetről nem lehet szó.

Az egységesebb biztonságpolitikával jelentkező szoftverek megjelenése azonban még jó ideig nem várhatóak, hiszen rengeteg részletet vár még letisztázásra, így például a tanúsítványok új rendszerének kialakításával, vagy az alkalmazott titkosításokkal kapcsolatban. A vendéglátó Staikos szerint szerinte akár egy-másfél év is eltelhet, mire ezek az újszerű megoldások először felbukkannak.

Facebook
Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!