Domanda:
Perché la sicurezza del browser dovrebbe avere la priorità?
Ooker
2018-09-24 16:37:10 UTC
view on stackexchange narkive permalink

Da questa risposta sulla sicurezza del browser:

è il momento di aggiornare se ti interessa davvero la sicurezza

Quindi, se ogni altri software e funzioni di cui ho bisogno possono funzionare su un sistema operativo a 32 bit, immagino che l'unico motivo per l'aggiornamento sia la sicurezza del browser? Puoi spiegare perché la sicurezza del browser dovrebbe avere la massima priorità quando:

  • La maggior parte dei siti web che visito ha un certificato SSL,
  • La maggior parte di essi è abbastanza grande di cui posso fidarmi che non possono essere hackerati, o abbastanza piccoli da non pensare che sia redditizio per gli hacker,
  • Windows e Windows Defender sono aggiornati,
  • Sento odore di pesce nei siti web?

Spero che questo non sia l ' effetto di eccessiva sicurezza. E spero di non essere troppo sicuro di non avere un effetto di eccessiva sicurezza.

Come sempre, una statistica o un caso di studio può aumentare la convinzione della risposta.

"Sento odore di siti web di pesce?"Quando davvero non ti interessa la sicurezza del browser, forse non puoi.Pensa a un browser obsoleto con un bug che consente a un utente malintenzionato di nascondere parti dell'URL (ad esempio utilizzando alcuni caratteri Unicode da destra a sinistra o attacchi simili).Quindi in realtà * hai bisogno * del browser sicuro prima di avere la possibilità di annusare siti Web di pesce.
Basta cercare la distribuzione di malware tramite pubblicità canaglia, ad esempio, anche tramite reti pubblicitarie consolidate altrimenti affidabili.- Un vecchio browser può contenere un bug critico che abilita un tale exploit in cui è possibile correggere un browser più recente.
"Lascio la porta di casa aperta quando esco perché vivo in un quartiere sicuro"?Le persone che "tengono veramente alla sicurezza", come da citazione, prendono ogni precauzione (ma nessuno ti obbliga a essere una di quelle persone).
Il tuo commento, "la maggior parte degli attacchi ora proviene da JavaScript? O SQL?", Mostra una mancanza di conoscenze fondamentali su queste piattaforme.Fino a quando non imparerai molto di più, ti suggerisco di prendere i consigli generali della community di infosec al valore nominale.
"i siti web che visito hanno un certificato SSL": non lasciarti ingannare.Ho visto rivenditori piuttosto grandi in cui la carta di credito e il modulo web dell'indirizzo avevano un certificato valido, ma quando elaborati sul server le informazioni venivano inoltrate via e-mail (e stampate per il reparto contabilità) e finivano anche nei file di registro e nel database del server -tutto in chiaro!
"abbastanza grande da potermi fidare che non possono essere hackerati" <- questa è una linea di pensiero molto, molto rischiosa.Negli ultimi anni le aziende decisamente massicce hanno subito violazioni dei dati e in particolare le grandi entità del settore finanziario sono famose per avere, ehm, idee _interessanti_ su ciò che viene considerato una buona sicurezza.
@Jules ma la violazione dei dati è fuori dal mio controllo?
Un certo numero di aziende piuttosto importanti ha appena subito [una violazione] (https://arstechnica.com/information-technology/2018/09/newegg-hit-by-credit-card-stealing-code-injected-into-shopping-code/) che ha acquisito i dati della carta di credito e li ha inviati agli aggressori.Un browser aggiornato non può impedirlo, ma non c'è motivo per cui lo stesso attacco, che ha coinvolto il javascript degli aggressori in esecuzione su questi siti, non possa aver sfruttato anche le vulnerabilità note del browser per sfruttare il tuo computer.
@Ooker Se un hacker può accedere ai propri dati, potrebbe anche essere in grado di accedere al proprio server web e iniettare script, malware, ecc. Che causeranno problemi a te (e al tuo browser obsoleto).Il punto è che nessuno è "abbastanza grande da potersi fidare di non poter essere hackerato".
@Ooker ma è ancora un sito Web che viene "violato".Qualsiasi sito web, grande o piccolo, è essenzialmente fuori dal tuo controllo perché hai poca influenza su come trattano i tuoi dati.Il punto è che le dimensioni o la popolarità di un sito web non dovrebbero essere un indicatore della loro "inaffidabilità", soprattutto perché i siti web più grandi sono in genere obiettivi più succosi.
"** La maggior parte ** dei siti web che visito dispone di un certificato SSL", "** La maggior parte ** di loro sono o abbastanza grandi da poter essere certi che non possono essere violati, o abbastanza piccoli da non pensare che lo sianoredditizio per gli hacker "," Sento odore di siti Web di pesce **? ** "Dovresti aggiornare il tuo browser perché nessuna di queste sono affermazioni assolute.
L'approccio * Sono davvero attento ai miei buchi di sicurezza * significa che devi solo sbagliare o abbassare la guardia una volta perché un aggressore possa entrare. Non sarebbe bello invece essere al sicuro * e * rilassato?
@Ooker: Per favore, non modificare la tua domanda in modo significativo dopo aver ricevuto già molte risposte.Ho annullato la tua ultima modifica: fai una nuova domanda se hai bisogno di risposte alle parti che hai aggiunto.
Onestamente, pensavo di poter sentire l'odore di siti Web di pesce fino a quando i minatori con CPU limitate di hashrate non hanno iniziato a essere iniettati nel javascript di fornitori di pubblicità di terze parti, come posso rilevare qualcosa di sbagliato se non riesco a notare nulla di diverso dalla mia solita esperienza?I siti che eseguono solo minatori della CPU a piena capacità sono abbastanza facili da individuare poiché rallentano in modo significativo il sistema.
@Brandito è nuovo per me.Ma comunque, se utilizzo adblock, cosa potrebbe andare storto?
@Ooker, crea una nuova domanda piuttosto che fare domande nei commenti.Ma il problema è che ci saranno sempre cose nuove per te.Questo è il problema.Nuovi vettori e metodi di attacco vengono creati continuamente, più velocemente di quanto tu o Windows Defender o qualsiasi software potreste sperare di tenere il passo.
@Ooker afaik, adblock non ha fatto nulla al momento (non sono sicuro se lo fa al momento), ha dovuto utilizzare un'estensione aggiuntiva che bloccava tutti i websocket.
@Ooker la maggior parte degli adblock distribuisce aggiornamenti regolari per stare al passo con i browser e, così facendo, può perdere la compatibilità con le versioni precedenti, il che può esporre nuovamente le vulnerabilità.Inoltre, molti di questi aggiornamenti risolvono nuove vulnerabilità.Se ti affidi agli adblock per mantenere al sicuro il tuo vecchio browser, ti imbatterai inevitabilmente in una situazione in cui una nuova vulnerabilità viene lasciata esposta dal tuo attuale adblock, ma aggiornarlo esporrà una vulnerabilità nel tuo vecchio browser.Questo effetto si estende praticamente a qualsiasi estensione del browser;aggiorna il tuo browser.
Otto risposte:
Steffen Ullrich
2018-09-24 16:49:24 UTC
view on stackexchange narkive permalink

Puoi spiegare perché la sicurezza del browser dovrebbe avere la massima priorità ...

Perché il browser elabora molti contenuti non attendibili da Internet.

Ovviamente, se usi altri programmi che fanno questo (come il client di posta, forse il programma Office, il lettore PDF) dovresti mantenerli aggiornati poiché anche le vulnerabilità in questi programmi sono un normale vettore di attacco.

.. La maggior parte dei siti web che visito ha un certificato SSL,

Un certificato SSL non dice nulla sulla fiducia che puoi avere in un sito. HTTPS protegge solo dalla modifica dello sniffing del traffico durante il trasporto. Un sito HTTPS può fornire malware tanto quanto un semplice sito HTTP.

A parte questo " La maggior parte dei siti web" non è la stessa cosa di " Tutti dei siti web ".

Sento odore di siti web di pesce?

Anche se potresti essere sicuro della tua capacità di annusare siti web in cui l'URL sembra strano (il che potrebbe effettivamente essere un eccesso di sicurezza) Sono abbastanza sicuro che non saprai in anticipo se il sito che visiti regolarmente è stato violato e sta fornendo malware (ad esempio watering hole attack o altri tipi di pirateria informatica di siti di alta reputazione per aumentare il numero di vittime) o se pubblica annunci dannosi che sono al di fuori del controllo del sito web stesso (ad esempio malvertising).

MODIFICA:
Dopo aver scritto la mia risposta, l'OP ha aggiunto quanto segue alla domanda:

La maggior parte di loro sono abbastanza grandi da potermi fidare che non possono essere hackerato, ...

Troppo grande per essere hackerato? Sebbene i siti Web di grandi dimensioni di solito impieghino una sicurezza migliore rispetto a quelli più piccoli, ciò non significa che non siano bloccabili. E i siti con molti clienti sono un obiettivo particolarmente redditizio per gli aggressori poiché questo significa anche molte potenziali vittime. Qualche esempio: ... annunci dannosi su Forbes ... o ... New York Times e BBC colpiti da malvertising "ransomware" o Studio: un terzo dei siti Web vulnerabili o compromessi.

... o abbastanza piccolo da non ritenere redditizio per gli hacker, ...

Troppo piccolo per essere hackerato? Neanche questo è vero: gli aggressori utilizzano strumenti automatici per hackerare installazioni CMS insicure come WordPress o Django in massa, ovvero è molto economico impossessarsi di un sito vulnerabile in questo modo.

FWIW, anche se ti fidi di un sito che visiti regolarmente, potrebbe essere violato e quindi il tuo browser (e antivirus) sono le tue uniche speranze.
molte persone pensavano che quando visitano un sito Web senza scaricare alcun file binario o fare clic su collegamenti sospetti, sono al sicuro.Ma in realtà praticamente tutti i siti Web hanno molti file JavaScript che vengono eseguiti senza l'autorizzazione dell'utente e possono utilizzare alcuni bug del browser per sfuggire alla scatola di sabbia e rubare dati sensibili.Un esempio è all'inizio di quest'anno [tutti i principali browser devono diminuire la soluzione del timer per correggere il bug di Meltdown e Spectre] (https://hackaday.com/2018/01/06/lowering-javascript-timer-resolution-contrasta-fusione-e-spettro /)
Penso che il termine corretto che sto cercando sia valutazione del rischio nella sicurezza delle informazioni.Penso che il problema centrale nella sicurezza delle informazioni sia la fiducia e (eccessiva) la fiducia, perché dobbiamo accettare che non abbiamo le risorse per tutto.Sebbene comprenda che l'attacco a Internet è in massa, in qualche modo mi sento ancora abbastanza al sicuro da compromettere la sicurezza del browser per spendere soldi per acquistare un nuovo laptop.Se vedi che è molto importante per me acquistarne uno nuovo, allora qual è il punto che può convincermi in modo completo e soddisfacente?
@Ooker: Questa è una domanda diversa da quella originale, quindi non darò una risposta profonda.In breve: sappi che rischi e affrontalo, o cercando di ridurre il rischio di essere attaccato (adblocker, aggiornamento, forse nuovo laptop, forse nuovo OS su vecchio laptop ...) o riducendo l'impatto di essere attaccato (normalebackup di dati importanti, assicurati di non influenzare altri sistemi nella tua rete come il router ..).È anche accettabile trattare consapevolmente il rischio come sufficientemente basso e sperare che non accada mai nulla.
@Ooker dici che vuoi una valutazione del rischio.Ok.Il rischio è sostanzialmente una funzione della probabilità e dell'impatto.Tutti i tuoi dubbi nella tua domanda riguardano la probabilità.Sebbene la risposta di Steffen spieghi abbastanza bene la probabilità, solo tu puoi determinare l'impatto di una compromissione completa del sistema.Cosa c'è sulla tua macchina?A cosa ha accesso la tua macchina?Quali attenuazioni hai in atto?Riesci a ricreare l'immagine della macchina rapidamente?Utilizzi un antivirus aggiornato?Limiti le richieste DNS che possono essere fatte dalla macchina?
_ "Un sito HTTPS può servire il malware tanto quanto un semplice sito HTTP può fare." _ Caso in questione: https://arstechnica.com/information-technology/2018/09/newegg-hit-by-credit-card-rubare-codice-iniettato-in-codice-shopping / Dubito che OP, o la maggior parte delle persone, avrebbe notato che il sito chiamato `neweggstats.com` era stato * 1) * iniettato nel legittimo` newegg.com`site, e * 2) * era effettivamente dannoso, basandosi solo sul nome.
Buona risposta, una cosa da aggiungere: il sito web potrebbe andare bene, ma il * router * potrebbe essere compromesso.Ad esempio, alcuni router wifi degli hotel vengono violati: spesso sostituiscono i file javascript di Google Analytics con malware.[Mi è successo una volta] (https://meta.stackexchange.com/questions/286297/), molti altri dettagli qui: https://security.stackexchange.com/questions/63076/this-javascript-code-is-Injected-on-my-hotel-wi-fi-should-i-be-worried Ci sono anche router wifi domestici vulnerabili e immagino che il richiedente non abbia mai pensato di controllare il loro.
@user568458 Bene, questo è uno scenario in cui SSL / TLS * potrebbe * effettivamente aiutare ...
@phuclv "Ma in realtà quasi tutti i siti web hanno molto JavaScript" Mi viene in mente: mentre eseguire software obsoleto non è mai l'ideale, cosa succede se hai appena disattivato Javascript?Considereresti un browser obsoleto "relativamente" sicuro in questo scenario?Poiché il sito non può eseguire alcun tipo di codice.
@Wowfunhappy Penso che sarà sicuro, ma ora il browser è praticamente inutile perché quasi tutti i siti Web utilizzano Javascript e riceverai un messaggio di errore, una pagina vuota o qualche altro brutto output a seconda della pagina.Non puoi nemmeno leggere semplici notizie
@phuclv Eh, non è * così * male.Nytimes.com, wsj.com e vox.com funzionano tutti.(Questi sono i primi tre che ho provato, anche se il quarto, cnn.com, era in gran parte non funzionante anche se potevi leggere articoli).Questo sito funziona anche se stai solo navigando.Alcuni siti non funzionano, il che ovviamente non è l'ideale, ma forse un'opzione se sei bloccato su un dispositivo più vecchio di qualche tipo?
Non l'ho provato ma l'ultima volta che l'ho provato, molte pagine stamperanno un fastidioso messaggio che richiede javascript anche se il contenuto può essere visualizzato correttamente.E la maggior parte delle funzionalità come il login non funzionerà.Non posso fare le cose di cui ho bisogno, quindi è praticamente inutile per me.Se lo usi solo per cose "non pericolose" come la lettura di notizie, la visione di video clip, IMHO installa Linux ed è generalmente sicuro, altrimenti è meglio spendere 100 dollari per un vecchio Chromebook o PC.Sono sicuro che supportano 64 bit e possono installare i software / sistemi operativi più aggiornati
@SteffenUllrich l'OP ha aggiunto una nuova modifica btw
@user185163: grazie per avermi avvisato.Considero uno stile sbagliato apportare modifiche significative dopo che le domande originali hanno già ricevuto molte risposte e hanno annullato le modifiche.OP dovrebbe porre una nuova domanda se necessario.
gnasher729
2018-09-24 16:52:18 UTC
view on stackexchange narkive permalink

Non tutti i siti web che visiti dispongono di certificati. Non puoi sentire l'odore dei siti web di pesce. Il certificato non significa che il sito non sta cercando di hackerarti.

Il browser è il più grande vettore di attacco contro il tuo computer. Tende a eseguire almeno codice JavaScript non controllato, e dio sa cos'altro. Elabora costantemente i dati da fonti non attendibili.

la maggior parte degli attacchi ora proviene da JavaScript?o SQL?
@Ooker SQL non viene elaborato sul dispositivo.Può essere utilizzato internamente dall'app Web, ma non lascia mai il server.Gli attacchi SQL injection (a cui probabilmente ti riferisci) sono una minaccia per i server, non per i client (ma il server compromesso può essere riconfigurato per agire in modo dannoso sui client).
Solo perché una parte del software client espone un exploit che viene eseguito su un server piuttosto che nel client non significa che l '** utente ** non sia a rischio.
@Beanluc Sì, ma la maggior parte di tale impatto non sarà mitigata da un browser aggiornato.La principale eccezione sarebbe l'inserimento di codice / markup nel sito stesso, ovviamente.
Ovviamente.Stiamo parlando di un browser NON aggiornato, vero?
Sono in uscita, ma ci sono anche Java, Adobe Flash e Microsoft.
Austin Hemmelgarn
2018-09-25 00:02:39 UTC
view on stackexchange narkive permalink

Ognuna delle tue affermazioni qui fa una falsa supposizione:

La maggior parte dei siti web che visito ha un certificato SSL.

È fantastico, ma SSL / TLS ti protegge solo da alcuni tipi di attacchi.

Praticamente, un sito che ha un certificato TLS (valido) significa semplicemente che il proprietario di quel sito web ha in qualche modo dimostrato la proprietà del nome di dominio utilizzato per accedere al sito, possibilmente spendere una grande quantità di denaro per farlo (o forse non spenderne nessuno). Di solito, questo significa che puoi fidarti che il sito è quello che dicono di essere, salvo lo spoofing del dominio (che tratterò in risposta al tuo terzo punto). Tuttavia, potrebbe non significare questo (vedi ad esempio il fiasco che ha ottenuto la revoca / non fiducia di tutto ciò che è stato emesso da Symantec all'inizio di quest'anno). Quindi, un certificato TLS in realtà verifica solo la proprietà del sito, non che il sito sia legittimo o che stia facendo quello che dice di essere.

I certificati TLS offrono un ulteriore vantaggio di protezione, ti consentono di utilizzare HTTPS. HTTPS fornisce esattamente due tipi di protezione se utilizzato correttamente :

  • Fornisce un livello ragionevolmente alto di sicurezza che i dati che stai ricevendo sono gli stessi dati che il Web server inviato. Questo è importante per garantire che nulla sia stato aggiunto o rimosso dal sito da terze parti mentre era in transito verso di te.
  • Fornisce un livello ragionevolmente alto di fiducia che i dati che stai trasferendo siano non visibile in transito a terze parti. Questo è il motivo per cui è così importante assicurarsi che qualsiasi sito a cui si fornisce una password o dati personali utilizzi HTTPS.

Questo ti lascia ancora aperto a parecchi attacchi. La più ovvia è che il server web venga violato (o il CDN se ne sta usando uno). Ce ne sono anche altri, come attacchi XSS, pubblicità dannose (si pensi a tutti i siti perfettamente legittimi là fuori che hanno reindirizzamenti automatici nascosti a siti dannosi a causa degli annunci che utilizzano) e attacchi allo stesso TLS (tali attacchi sono il motivo per cui non sono sensati l'operatore utilizza ancora SSLv2 o SSLv3, entrambi sono noti come non funzionanti). Quindi, HTTPS / TLS / SSL di per sé non è una protezione rigorosa.

Inoltre, come hai detto tu stesso, la maggior parte dei siti web che visiti utilizza TLS, non tutti. Pensa molto se dovresti davvero fidarti di quegli altri siti che non lo utilizzano, se non sono disposti a dedicare cinque minuti per configurare i loro server con certificati gratuiti di LetsEncrypt, quali altri gli aspetti della sicurezza stanno tagliando gli angoli?

La maggior parte di loro sono abbastanza grandi da poter essere certi che non possono essere hackerati, o abbastanza piccoli da non pensare che sia redditizio per gli hacker.

Non hai guardato nessuna notizia negli ultimi dieci anni? Solo in termini di divulgazioni pubbliche , ci sono dozzine di attacchi noti a siti con oltre 100 milioni utenti (questo è un grande sito secondo le definizioni della maggior parte delle persone, poiché 100 milioni sono più dell'1% della popolazione mondiale e probabilmente più vicino al 3-4% del numero totale di persone su Internet). Suggerisco di dare un'occhiata all ' elenco di violazioni pubbliche su Have I Been Pwned?, ci sono alcuni grandi nomi, inclusi quelli che gestiscono dati molto sensibili ( Experian per esempio). Quindi no, non è realistico aspettarsi che qualcosa sia "troppo grande per essere hackerato". In effetti, i grandi siti sono alcuni degli obiettivi più attraenti per gli aggressori, perché hanno molti utenti. Hanno anche una reputazione notoriamente negativa per quanto riguarda la divulgazione pubblica di violazioni della sicurezza (hanno più incentivi a non farlo, poiché hanno più potenziali clienti da perdere).

D'altro canto, i piccoli siti sono facili , anche se non attraenti. Se pensi ai grandi siti come investimenti ad alto rischio per gli hacker, quelli piccoli sono investimenti a basso rischio. Potrebbero non dare tanto in termini di rendimento, ma spesso daranno rendimenti molto più consistenti, quindi sono comunque bersagli interessanti.

Inoltre, considera che molto spesso gli aggressori prendono di mira software che è vulnerabile, non necessariamente siti specifici. WordPress è un buon esempio, poiché viene utilizzato su siti sia grandi che piccoli ed è stato utilizzato con successo più volte in passato come vettore di attacco.

Sento odore di siti Web di pesce

Prima di tutto, solo perché un sito non è "sospetto" non significa che non sia una minaccia. Ci sono anche alcuni siti legittimi che sembrano "sospetti" secondo le definizioni di molte persone.

In secondo luogo, non è difficile copiare un sito legittimo, ma con il risultato si continuano a fare cose illegittime. Lo spoofing del dominio, nelle sue varie forme, viene spesso utilizzato per questo. Qualche tempo fa c'era un post sul blog piuttosto buono su un grande sito di infosec (che purtroppo non riesco a trovare in questo momento, altrimenti lo collegherei qui) a dimostrarlo con apple.com.

tipo di cose che devi cercare ma che probabilmente non riesci a individuare, puoi dire la differenza tra uv e υν? No, questa non è una domanda a trabocchetto, la prima sono le lettere latine minuscole "u" e "v", mentre la seconda sono le lettere greche minuscole upsilon e nu. Nella maggior parte dei caratteri sans-serif (come quelli utilizzati da quasi tutti i browser nella barra degli indirizzi e il carattere predefinito sulla maggior parte dei siti secondari SE), queste due coppie di caratteri sono quasi indistinguibili. Anche in molti caratteri serif, sono difficili da distinguere per la maggior parte delle persone. Allo stesso modo, АВ è in realtà una coppia di caratteri cirillici, non latini, e di nuovo è indistinguibile dal latino "AB" nella maggior parte dei caratteri. Entrambi i casi illustrano esempi di attacchi omografici IDN, una tecnica in base alla quale gli aggressori sfruttano la somiglianza di caratteri diversi che sembrano simili o identici per indurre le persone a seguire i loro collegamenti facendoli sembrare collegamenti a siti Web legittimi.

molto, non dare per scontato che sarai in grado di riconoscere un sito che è una minaccia finché non sarà troppo tardi.

E. T.
2018-09-25 22:55:45 UTC
view on stackexchange narkive permalink

Dato che nessuno lo ha ancora fatto notare:

Il software antivirus è molto meno utile di quanto pensi. In effetti, se chiedi ai professionisti della sicurezza, il consiglio principale per stare al sicuro sarà aggiornare tutto il tuo software, sopra la raccomandazione di eseguire un AntiVirus, quindi esattamente quello che hai intenzione di fare non .

Perché? Tutto ciò che fa il software antivirus è fermare le vecchie pandemie conosciute. Tuttavia, la maggior parte degli attacchi diffusi di successo crea semplicemente nuovi virus e utilizza la finestra temporale fino all'aggiornamento del software antivirus per diffondersi. Il software antivirus non è una bacchetta magica, rileva solo ciò che sa (c'è il rilevamento del comportamento ma non è molto efficace per nessuno dei software AV in circolazione), quindi contro i nuovi attacchi aiuta solo ad avere meno opportunità di intrusione. E l'opportunità di intrusione di gran lunga più economica per gli aggressori è un browser obsoleto o un sistema centrale.

Quindi sì, è fondamentale che il tuo browser sia aggiornato se ti interessano i dati sul tuo computer. Che tu abbia un Anti Virus in realtà non è importante: aiuta un po ', ma non ti salverà dalla maggior parte dei nuovi attacchi se il tuo browser o il tuo sistema principale sono obsoleti.

Nota a margine: potrebbe essere diverso se si esegue un browser in modalità sandbox. Tuttavia, a meno che tu non sappia che è quello che stai facendo, molto probabilmente non lo stai facendo. E non sono sicuro che per 32 bit, una qualsiasi delle soluzioni di sandboxing comuni come UWP / App Store di Windows sia supportata affatto. Inoltre, in tal caso, i siti Web potrebbero ancora essere in grado di rubare dati da tutti gli altri siti Web aperti, inclusa la scheda del sito Web bancario. Quindi non è certo l'ideale.

Cort Ammon
2018-09-25 01:19:01 UTC
view on stackexchange narkive permalink

Dovresti preoccuparti della sicurezza se ti interessa la sicurezza.

Se ti interessa abbastanza da dire cose come "Sento odore di pesce" o "La maggior parte dei siti web che visito ha certificati SSL", allora ci tieni alla sicurezza.

Gli attacchi sono là fuori. Periodo. Non prendiamoci in giro. Non fingiamo di essere immuni. Prendi Stuxnet. Stuxnet è accreditato di aver distrutto fino a 1000 centrifughe utilizzate per arricchire il combustibile nucleare in Iran. Sono centinaia di milioni di dollari di danni, come minimo. In pratica, una buona valutazione del rischio dal punto di vista del paese sarebbe ancora più disastrosa.

Ti senti invincibile perché visiti siti con certificati SSL? I computer colpiti da Stuxnet erano air gap . Non c'erano cavi tra Internet e i computer infettati. Sono ancora stati infettati.

Quindi la vera domanda non è "sono al sicuro?" Tu non sei. La vera domanda è: sei al sicuro abbastanza . Vale la pena spendere un certo numero di dollari e un certo numero di ore per l'aggiornamento? Questa è una domanda sull'equilibrio. È molto più utile.

Ecco un test. Accedi al tuo computer. Accedi ad alcuni siti che ti interessano. Ora dammi il tuo computer. Me ne andrò con esso. Come ti senti? Quanto sei nervoso che io abbia i tuoi dati? Se tutto ciò che hai è un disco rigido pieno di simpatiche immagini di gattini, probabilmente ti arrabbierai di più perché me ne sono andato con il tuo laptop. I laptop sono costosi da sostituire. Ma se hai le tue credenziali bancarie su quel computer, probabilmente sarai più preoccupato di cosa posso fare con quelle. Il tuo SSN è su quel computer?

Una volta compreso quanto danno può essere fatto, rispetto al costo per prevenire il danno, puoi fare un giudizio.

Beanluc
2018-09-25 03:01:36 UTC
view on stackexchange narkive permalink

Gli aggiornamenti del browser includono aggiornamenti ai dati dell'autorità di certificazione e in effetti il ​​proprio certificato. Entrambe queste cose hanno date di scadenza e ci sono molti siti web a cui non è possibile accedere affatto da browser troppo vecchi perché il certificato SSL non può essere verificato da quel browser troppo vecchio O anche da quello -il vecchio browser non può verificare il proprio certificato sul server remoto. Quindi, anche se non ti interessa la sicurezza, potresti preoccuparti dell'accesso e delle funzionalità che la convalida della sicurezza offre per te.

Inoltre, quando "annusi" il pesce di un sito web stai guardando, è già troppo tardi per molti tipi di attacchi. Si spera che anche il tuo vecchio sistema operativo a 32 bit non sia in grado di ottenere aggiornamenti per il suo software antivirus.

user121968
2018-09-24 21:27:43 UTC
view on stackexchange narkive permalink

In aggiunta agli ottimi punti in altre risposte:

Il tuo software a 32 bit è ancora aggiornato regolarmente o è una vecchia versione deprecata?

Una volta che qualsiasi software connesso a Internet smette di ricevere nuove correzioni di sicurezza, diventa suscettibile a ogni nuovo bug o hack successivo.

Sì, Windows 7 viene aggiornato regolarmente.È abbastanza compensato per un vecchio browser?
Voglio dire *** TUTTO *** software a 32 bit, compreso tutto il software installato sul sistema operativo a 32 bit, non solo Windows.
sì, la maggior parte di loro è ancora supportata.Ma perché la necessità?Non si connettono a Internet.Forse c'è la possibilità che apro accidentalmente un file infetto, ma perché Windows Defender non riesce a rilevarlo?
La mia risposta specifica "software connesso a Internet", ma per essere realistici.qualsiasi software su un computer connesso a Internet è vulnerabile, indipendentemente dal fatto che si connetta o meno alla rete stessa.
@Ooker per espandere questo aspetto, un software compromesso a volte può consentire a un utente malintenzionato di ottenere il pieno accesso root / amministratore alla macchina, quindi a quel punto anche il sistema operativo viene compromesso fino a quando non viene corretto il bug.Non ti fidi solo di Microsoft qui, ti fidi di ogni fornitore di software a 2 bit che fornisce software obsoleto.
@Ooker Se qualcuno irrompe nella tua porta di casa, può entrare nella tua camera da letto e prendere le cose, anche se la camera da letto non ha una porta sull'esterno.
Tom
2018-09-27 16:29:33 UTC
view on stackexchange narkive permalink
  • La maggior parte dei siti web che visito dispone di un certificato SSL,
  • La maggior parte di essi è abbastanza grande da potermi fidare che non possa essere violato o abbastanza piccola non credo che sia redditizio per gli hacker
  • Sento odore di siti web di pesce?

Tutto lì dentro è sbagliato.

La sicurezza del browser, come hai intuito, è importante perché sulla maggior parte dei sistemi nessun altro software incontra così regolarmente dati al di fuori del limite di fiducia che

  • deve essere elaborato quasi in tempo reale,
  • non sottoscrive un formato semplice e facile da filtrare e
  • viene quindi analizzato o eseguito da un software estremamente complesso che implementa un obiettivo in costante cambiamento, o in altre parole: è altamente probabile che contenga errori di implementazione, alcuni dei quali possono essere sfruttati.

SSL ti protegge da alcuni tipi di attacchi, la maggior parte dei quali non ha rilevanza se l'obiettivo degli aggressori è quello di compromettere la tua macchina. Come suggerisce il suo nome più attuale, TLS, la sua attività è sicurezza dei trasporti , non proteggere il tuo browser o la tua macchina.

Siti web di tutti i tipi vengono costantemente compromessi. I più piccoli da bot automatizzati. Il rumore di fondo qui è abbastanza sorprendente. Se hai il tuo server, alza i tuoi file di registro per un giorno e ammira l'enorme quantità di tentativi di connessione a praticamente tutte le porte interessanti, 24 ore su 24, 7 giorni su 7. Accendi i file di log del tuo server web e leggi gli strani percorsi e le rotte standard verso pacchetti software popolari e non sicuri. Questa roba non sarebbe disponibile se non funzionasse, almeno a volte.

I grandi siti web, nel frattempo, non sono più sicuri solo perché sono più grandi. Nel regno animale, devi essere il più grande per essere al sicuro dai predatori. Se sei solo grande, significa solo che sei braccato dai leoni invece che dalle volpi. Lo stesso su Internet, essendo un grande sito web significa semplicemente che i tuoi autori delle minacce sono attivisti dedicati, criminalità organizzata, forse stati nazione (a seconda della tua attività), ecc. è assolutamente ingenuo affermare apertamente che cambia in meglio.

Probabilmente si possono sentire odori di siti Web sospetti, ma un bel po 'di malware è stato depositato tramite il sideload, ad es. attraverso una rete pubblicitaria anziché direttamente sui siti web. Potrebbe essere attraverso una CDN compromessa che il tuo sito Web assolutamente non maleodorante utilizza.

Quindi, in sintesi: la sicurezza del browser è importante perché è uno dei più grandi, se non il più grande buco nel tuo perimetro e non puoi proteggerti adeguatamente attraverso le abitudini di navigazione o gli strumenti anti-malware, anche se entrambi aiutano.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 4.0 con cui è distribuito.
Loading...