¿Cómo funciona el manejo por descargas y qué significa realmente un navegador "seguro"?

3

En los últimos días he estado investigando todos los tipos de virus y también sobre las formas de infección. También he leído sobre el disco por método y mis preguntas son:

  • ¿Cómo es posible que el atacante pueda ejecutar código en el navegador y que el usuario descargue un archivo infectado sin su conocimiento?

  • ¿Cuáles son los hechos al llamar a un navegador seguro? Todos los navegadores, como Mozilla, Chrome y Opera, se consideran seguros, pero ninguno de ellos es "a prueba de balas".

pregunta Tomas 01.09.2016 - 15:55
fuente

2 respuestas

2
  

¿Cómo es posible que el atacante pueda ejecutar código en el navegador y hacer que el usuario descargue un archivo infectado sin su conocimiento ?

En Google Chrome, los archivos se descargan en el directorio de Descargas sin que se le solicite al usuario, siempre que la extensión del archivo no se encuentre en una lista negra determinada de tipos de archivos conocidos que no son seguros.

Para tipos de archivos potencialmente peligrosos, el usuario debe aprobar la descarga y / o apertura del archivo. Ha habido intentos de frustrar esto a través de click-jacking. Los navegadores modernos como Chrome y Firefox tienen un retraso incorporado para evitar esto.

Algunos usuarios aún pueden ser engañados.

  

¿Cuáles son los hechos cuando se llama a un navegador seguro? todos los navegadores como mozilla chrome opera se llaman seguros, pero ninguno de ellos es "a prueba de balas"

El término "a prueba de balas" es muy vago.

En los navegadores modernos, se ha realizado un gran esfuerzo para corregir cualquier vulnerabilidad que permita el hackeo directo de la caja de arena incorporada del navegador. Es importante que mantenga su navegador actualizado para aprovechar estas protecciones. Una vez que haces eso, la diferencia en la seguridad de los principales navegadores se vuelve muy pequeña.

Incluso sin "vulnerabilidades" per se, la "seguridad" de varios navegadores puede no ser igual. También es altamente subjetivo. Existen muchas características complejas y avanzadas de casos que varios proveedores de navegadores pueden implementar para proteger su seguridad.

  • Por ejemplo, si un sitio web solicita acceso a su micrófono y video, tanto Firefox como Chrome solicitan aprobación, pero Chrome también requiere que el sitio web ofrezca cifrado HTTPS. Firefox no tiene ese requisito. (aún) Eso no es realmente un problema de seguridad en Firefox, ni una prueba de balas de Chrome, pero hace una diferencia en ciertas situaciones, como el uso público de WiFi.

  • Algunos navegadores aún no admiten la Política de seguridad de contenido. Sin embargo, CSP es solo una función para ayudar a los desarrolladores a mitigar sus propias vulnerabilidades.

Todas estas son diferencias muy pequeñas en la seguridad de un navegador.

Tengo una opinión personal de que IE es uno de los navegadores menos seguros.

Nuevamente, siempre mantenga su navegador actualizado para aprovechar las nuevas características de seguridad que han introducido.

    
respondido por el George Bailey 01.09.2016 - 16:28
fuente
1

Pregunta 1

La capacidad de forzar la descarga y ejecución de malware en un visitante no es una característica, es un error. No es tan simple como los proveedores de navegadores que dicen "hmm, tal vez deberíamos desactivar esa función de JavaScript secretlyDownloadAndExecuteFile() ".

La unidad de descargas se realiza de la siguiente manera:

  • Explotación de un complemento como Java o Flash. Estos dos muchachos han tenido una gran cantidad de errores que han permitido la ejecución de código en el pasado, y otros nuevos siguen apareciendo. La razón de esto es que escribir un motor que ejecute el código de bytes sin errores que permitan la ejecución de código arbitrario es algo muy, muy difícil de hacer. Si no está de acuerdo, intente escribir uno y ver qué fácil es.
  • Explotación del propio navegador. Esto requiere algún tipo de error en el navegador, como un desbordamiento de búfer, y no es tan común como el anterior. Sin embargo, es más peligroso, ya que no requiere la activación de ningún complemento. Aquí hay un ejemplo.
  • Explotación del usuario crédulo. Prometo, esto es solo un juego divertido, nada más. Por favor haga clic en ejecutar. (Se podría debatir si esto debería llamarse unidad por descarga o no).

El primero es fácil de arreglar. Solo tira los plugins por la ventana. Eso es exactamente lo que estamos haciendo: los días de los complementos de Java y Flash en los navegadores están numerados.

El segundo y el tercero son duros. Para corregirlos necesitarías un código libre de errores y usuarios iluminados. Debido a la naturaleza humana, no tenemos nada de eso. Así que buena suerte.

Pregunta 2

Solo decir que algo es seguro es una declaración vacía y sin sentido. La seguridad no es una cosa binaria. Ni siquiera es una cosa unidimensional. Para que tenga sentido, debe decir cómo asegurarse de que algo está en contra de qué amenazas.

La seguridad perfecta no existe. Si crees que puedes hacer algo seguro y luego irte a casa, lo estás haciendo mal.

    
respondido por el Anders 01.09.2016 - 16:37
fuente

Lea otras preguntas en las etiquetas