seguridad en los navegadores - preguntas generales [cerrado]

"Seguridad del navegador" es mucho más que conexiones seguras. El uso de HTTPS para asegurar la conexión entre el navegador y el servidor es una parte importante de la seguridad del navegador, pero ciertamente no es todo. Para mostrar lo que quiero decir, aquí hay algunas cosas que están fuera de mi cabeza (y, por cierto, nunca he hecho ningún trabajo relacionado con los navegadores, estas son solo cosas de las que he oído hablar):

• Sandboxing de Javascript : su navegador descargará y ejecutará código javascript arbitrario. ¿Qué pasa si este código es malicioso? ¿Puede leer los archivos personales del usuario en el disco duro? ¿Puede modificar archivos en el disco duro para plantar virus? ¿Puede leer datos de otras pestañas? ¿Puede forzar al navegador a hacer algo malicioso en su nombre? Estas son cosas en las que debe pensar al diseñar un navegador.
• Extensiones del navegador: la mayoría de los principales navegadores tienen algún sistema para que las personas agreguen extensiones escritas por otras personas aleatorias. A diferencia de javascript, una vez que están instalados, son parte del navegador y no pueden ser protegidos de forma efectiva. ¿Qué características de seguridad existen alrededor de estos? ¿Tienen que ser revisados por un equipo de seguridad antes de ser permitidos en la tienda de aplicaciones? ¿El navegador los controlará y deshabilitará la extensión si rompe las reglas?
• Secuencias de comandos entre sitios (XSS): si tengo dos pestañas abiertas, ¿puede una pestaña tener acceso a las cookies / información de sesión de la otra pestaña, lo que le permite personificar la otra pestaña a través de solicitudes GET / POST? ?
• Explosiones de archivos de medios: Muchos navegadores ahora incluyen bibliotecas de medios integradas para cosas como PDF, audio, video, etc. Estos son tipos de medios muy complejos con largas listas de códecs compatibles. Las bibliotecas que los analizan son notoriamente defectuosas para cosas como desbordamientos de búfer que permiten la ejecución de código arbitrario. ¿Cuánto análisis de seguridad ha realizado en las bibliotecas contra las que compila su navegador?
• Certificados raíz: La mayoría de los navegadores ahora integran (también conocido como "pin") los certificados SSL raíz en el código fuente del navegador. ¿Qué tan rápido emitirá el navegador un parche de seguridad si se informa que una de las CA raíz tiene una infracción?

Esos son solo ejemplos de la parte superior de mi cabeza. Línea inferior: "Seguridad del navegador" es un tema ENORME.

Para responder a tus otras dos preguntas:

  

2. ¿En qué se diferencia el nivel de seguridad de un navegador a otro?
  

Eso depende de qué navegadores estés comparando. ¿Firefox y Chrome? Son bastante similares. ¿Firefox y el navegador que mi amigo escribió para divertirse el fin de semana pasado? Hay una diferencia bastante grande. Todo lo demás estará en algún lugar en el medio.

  

3. Conexión insegura: ¿problema de navegador o problema de red?
  

Sí. También No.

A veces es culpa del navegador. A veces es culpa de la red. A veces es culpa del servidor, error del sistema operativo, error del usuario, error del departamento de TI, error de openssl o error de la VPN ... la lista continúa.

En realidad, en primer lugar, un buen desarrollador de seguridad escribirá su código bajo el supuesto de que las otras máquinas en la red son maliciosas (con suerte, incluidos los enrutadores). Entonces, una red defectuosa no debería ser capaz de causar una conexión insegura, pero incluso si puede, no significa que sea culpa del navegador: podría ser cualquiera de las otras cosas que mencioné.