Веб-браузеры полны опасных опций, которые никто не использует. Большинство компьютеров продаются с предустановленными браузерами, например, Microsoft Internet Explorer, Mozilla Firefox и Apple Safari, но эти браузеры «по умолчанию» не настроены для безопасного просмотра сайтов.
Пользователи работают в Интернете, но там, как указано на сайте US-Cert, они могут столкнуться с многообразием компьютерных проблем в силу различных причин, начиная от шпионских программ, установленных без Вашего ведома, до хакеров, перехватывающих контроль над Вашим компьютером.
Необходим комплексный баланс между свободой использования новых технологических функций (как, например, опции в веб-браузере) и одновременно с этим способностью «закрыть двери» для кибер-преступников.
Но зачем устанавливать дополнительные опции, если они бессмысленны? 83% новейших функций браузеров совершенно не нужны, как показано в исследовании, проведенном в Университете штата Иллинойс (США). На самом деле, только 1% из 10 000 наиболее популярных веб-страниц используют эти функции каким-либо образом, причем полезность многих из них даже не доказана.
Хорошим примером является Ambient Light Events (ALS) – это опция позволяет по-разному показывать веб-сайты, адаптируя яркость компьютера к уровню окружающей его освещенности. Хотя все это звучит очень круто, но только 14 из 10 000 веб-сайтов, анализируемых в данном исследовании, внедрили такую опцию, при этом очень мало пользователей, кто знает о ее существовании.
Еще одна история: Iframe. Он стал очень популярным HTML-элементом, который используется на многих различных типах сайтов: интерактивные области на веб-странице позволяют вставлять часть другой страницы на своем веб-сайте (опция известна как embedding). Как минимум, половина наиболее популярных веб-сайтов использует эту технологию, но при этом она блокируется в 77% случаев по причинам безопасности. В 2008 году хакеры “распространили результаты поиска в Интернете с вредоносным iframe-кодом, что привело к атакам типа iframe overlay во многих известных сетях”. В итоге, большинство социальных сетей перестало использовать эту программу.
Также привлекает внимание приложение Vibration API , которое позволяет веб-сайтам управлять вибрацией устройств… если они решили использовать их. Сегодня только 1 из 10 000 наиболее популярных веб-сайтов использует эту опцию, но все же функции остаются доступными не только для разработчиков легитимных устройств, но также и для потенциальных хакеров, которое могли бы использовать их в своих собственных целях, например, для шпионажа за Вашими разговорами (как это сделано здесь).
Достаточно сложно найти баланс между преимуществами доступных опций и мерами безопасности, по крайней мере, если мы говорим про веб-браузеры. Для защиты необходимо иметь надёжный антивирус, который способен остановить хакеров, пытающихся проникнуть через онлайн-дыры.
Комментарии (14)
Veliant
23.06.2016 10:35На мой взгляд, эти все технологии доступа к железу из браузера переродились в написание мобильных приложений на HTML5/JS. Например как в webOS, firefoxOS, tizen.
youROCK
23.06.2016 11:09+14Ждем статью-разоблачение вида «83% антивирусов и фаерволов совершенно не нужны»
MonkAlex
23.06.2016 12:13Брр, самое страшное, что в браузеры продолжают совать фигню, которая там выглядит часто лишней. Всё в браузер — плохая идея, но никого это не останавливает.
dmitry_dvm
23.06.2016 13:02+6>Необходим комплексный баланс между свободой использования новых технологических функций
Из-за таких умников опера загнулась.
Cryvage
23.06.2016 16:20+4Сначала, прочитав название статьи, думал, что речь пойдет обо всяких покетах, firefox hello, и прочих дзенах. И даже уже почти согласился. Но, поскольку это не твиттер, решил все же прочитать саму статью. Оказывается вы на поддержку новых стандартов замахнулись. В таком случае, хочу сказать, что категорически с вами не согласен. То, о чем вы говорите — это не ненужные функции, это новые функции. Даже «новейшие», как вы сами их назвали. Само собой, использоваться в боевых условиях, особенно в крупных проектах, они начинают не сразу. Во-первых новый API, очень часто, бывает нестабильным, и не во всех браузерах одинаков, а может и вовсе не поддерживаться. Во-вторых, людям еще нужно оценить необходимость использования той или иной функции в их конкретном проекте, и то, как именно её применить. К тому же, у всех крупных проектов и так есть какой-то roadmap, и план развития расписан наперед. Чем крупней проект, тем сложней и дольше этот план пересматривать. Разумеется, пройдет время, прежде чем эти функции начнут активно использоваться, но внедрять их в стандарт просто необходимо. Желательно с запасом. И чем раньше, тем лучше, потому что путь от стандарта до стабильной, повсеместной реализации занимает годы. Чтобы чем-то начать пользоваться через пару лет, нужно это предусмотреть уже сейчас.
И не надо путать частоту использования функции и ее нужность. Сколько раз вы пользовались огнетушителем? Большинство людей ответит: «Ни разу». Так может ну его нафиг? Ведь, 83% огнетушителей никем не используются. Или все же оставим их, на всякий пожарный? А еще, на самом деле, только 1% из 10 000 людей используют контрастные темы в компьютере или смотрят новости с субтитрами. А сколько процентов русскоговорящего населения читают Хабр?
Кто-то может вообще не использовать новую функциональность, а у кого-то весь сервис на ней будет построен. Все потому, что по сравнению со старой, базовой функциональностью, которая была и остается практически необходимым минимумом для создания любого сайта, новая — имеет более узкую, специализированную область применения. Это касается не только самых новых функций, но и тех, что уже успели хорошо прижиться. Едва ли вам удастся реализовать сайт без ссылок. А вот без видео вполне можно обойтись на многих типах сайтов. В то же время ютуб, без возможности встроить в страницу видео, не существовал бы. Вы, конечно, можете сказать, что он прекрасно работал и до появления html5 и тега video. Ну да, работал. На флеше. Вы, кажется, что-то говорили про безопасность? Так вот, чем больше умеет браузер, тем меньше нужны сторонние дырявые плагины.
Конечно, сравнивать какой-нибудь Vibration API с тегом video — не совсем честно. Это просто разные весовые категории. Но с другой стороны, мы всё дальше движемся в сторону создания универсальных web приложений, а это требует существенного наращивания функционала в браузерных движках. Ведь без хорошего запаса по функционалу, в том числе по интеграции с операционной системой и железом, ни о какой универсальности не может идти и речи. Разработчики просто будут предпочитать нативные приложения, в которых можно, и вибрацией управлять, и к датчику освещенности обратиться. Даже если сегодня это не требуется, мне, как разработчику важно знать, что я в принципе смогу это сделать, если от меня потребуют. Да и пользователи, при прочих равных, будут предпочитать приложения, которые подстраиваются под освещенность, и могут вибрировать, при необходимости, например, когда в чате упоминают твоё имя. В конце концов, из таких вот мелочей и строится удобство.
nazarpc
Автор статьи явно не смыслит в этой области и путает причину и следствие. Если бы все браузеры поддерживали данную функциональность — то и распространение было бы больше. А если никто первый не опубликует реализацию, с которой могут поиграться разработчики и применить хотя бы для части пользователей, то мы никогда не увидим большинство новой функциональности в вебе вообще.
К тому же 10к наиболее популярный сайтов? Я, конечно, всё понимаю, но как на счёт миллионов остальных сайтов, или они должны подстраиваться под 10к априори более консервативных сайтов? Нелепо же.
Для начала нужно иметь постоянно последнюю версию Evergreen браузера.
PSecurity
Вы правы отчасти: раз браузеры по умолчанию эти новые фичи не поддерживают, то и разработчики сайтов не спешат под них что-то делать. Однако, вопрос, почему браузеры по умолчанию не внедряют их? Видимо, разработчики браузеров не считают их необходимыми, по крайней мере, на текущий момент :)
Ну и потом, какие-то разработчики сайтов (много или мало? непонятно) не внедряют эти новые фишки не потому, что браузеры по умолчанию их не поддерживают, а потому, что они либо не хотят перегружать и усложнять свои сайты, либо сами также видят бессмысленность этих наворотов. Зачем наворачивать сайт, если все эти навороты, например, не способствуют росту продаж (или достижению каких-то других KPI).
Так что тут вопрос спорный насчет причины и следствия. Хотя и там и там есть свои вполне разумные аргументы.
Авторы исследования посчитали таким образом, как представлено в статье.
nazarpc
Что вы имеете ввиду под "по умолчанию не внедряют их?"? Как-то не до конца уловил вопрос.
Есть навороты, а есть очень полезные вещи. К примеру, в последнее время (пару лет на самом деле) использую Shadow DOM. Де-факто так называемая v0 доступна только в Chrome, v1 готовится к релизу в Chrome и Safari, в разработке в Firefox и готовится к разработке в Edge. Так вот, если вы посмотрите на то, сколько сайтов использует эту функциональность из топ-10к, то сайтов будет мизер. А ведь функциональность не просто наворот, она позволяет инкапсулировать реализацию компонентов и увеличить производительность как компонентов страницы в частности, так и всей страницы в целом.
Тот же Vibration API, упомянутый в статье, может улучшить accessibility для пользователей с ограниченными возможностями, в то время как авторы статьи такое впечатление что предлагают выпилить как неиспользуемую фичу.
Есть множество других фич, которые только-только появляются в веб-платформе, как то Web Bluetooth API, его вообще, наверное, ни один из топ-10к сайтов не использует, и, возможно, никогда не будет. Я согласен что иногда в реализациях есть проблемы безопасности, с этим спорить нет смысла, но и выпиливать практически всё кроме того, что использует топ-10к консервативных разработчиков как-то тоже слишком.
Мне не нравится фокус и вывод, который сделан в статье. Хотя сама проблема имеет место быть и очень актуальна.
PSecurity
Ну вот видимо этот тот случай, когда каждый для себя определяет, что наворот, а что полезная вещь.
Авторы исследования как раз и говорят о том, что очень сложно найти этот баланс между функциональностью (возможностями) и безопасностью. Скорее всего, свои выводы авторы исследования делают именно с точки зрения некоего среднестатистического пользователя.
Я думаю, что основная цель исследования заключалась в том, чтобы не предъявлять четкий вердикт, что вредно, а что полезно, а только обратить внимание рядовых обычных пользователей на то, что далеко не все дополнительные функции, компоненты и дополнения следует устанавливать в свой браузер, если они в большинстве случаев не будут востребованы, хотя с точки зрения безопасности могут представлять серьезный риск.
Denai
Как можно считать необходимой рекомендацию/draft какой-то фичи?
Vibration API — W3C Recommendation, охватывает 63% браузеров. Само собой на ПК это бесполезно, на мобильных девайсах должно работать только при наличии соответствующего железа.
Ambient Light API — W3C Working Draft поддерживается на десктопах с Firefox (7-10% частичная поддержка, 0,04% полная), которые с высокой вероятностью не обладают нужным сенсором. Какой смысл сейчас это внедрять?
dartraiden
Пусть и не из мира веб-технологий, вспомним стандарт 802.11n. Устройства на рынке продавались с пометкой «802.11n draft». Стандарты, по идее, возникают из-за нужд пользователей, а не наоборот. Было бы странным утверждать, что технология волшебным образом становится нужной потребителю ровно в тот момент, когда официальное лицо ставит на ней печать.
dartraiden
HTML5 имеет статус рекомендации. «Это значит, что стандарт окончательно финализирован и готов к широкому использованию». Полагаю, что очень многие с вами не согласятся по поводу того, что HTML5 не необходим.
Denai
Я, видимо, не совсем корректно употребил статус рекомендаций в данном контексте, но надеюсь вы меня поняли.