Google が資金提供した新しいブラウザのセキュリティの研究セキュリティ調査会社 Accuvant Labs は、Chrome をセキュリティ機能のチャンピオンに冠し、Web 経由の脅威から利用できる保護の点で Firefox を Internet Explorer よりも下にランク付けしました。予想通り、Microsoft と Mozilla は、何がブラウザを安全にするのか、そしてなぜ Accuvant の調査結果が的外れであるのかについて、異なる意見を持っています。これらすべてを踏まえて、どのブラウザが最も安全なのか、そしてこのような研究でリストされているセキュリティ機能は他の人にとっても重要なのかどうかについて考えるようになりました。
研究はどのように行われましたか?
Accuvant は調査のために、Mozilla Firefox、Google Chrome、Microsoft Internet Explorer の 3 つのブラウザを調査しました。 3 つすべてが 32 ビット Windows 7 で実行されてテストおよび調査され、調査は 2011 年 7 月に終了したため、その時点での各ブラウザの現在のリリース バージョンがレポートに含まれています。 Accuvant 社は、時間を節約するために Safari や Opera などの他のブラウザは除外したが、より多くのデータが利用可能になり、各開発会社がアプリケーションを改良するにつれて、ビッグ 3 に関する調査結果を更新する予定であると述べています。
Accuvant によるブラウザのセキュリティに関する研究は、他のブラウザや OS が含まれていないとしても、おそらくこれまでに実施された中で最も包括的なものです。研究者らは、バグトラッカーや脆弱性リストよりもさらに深く調査しており、現在および将来のブラウザーの安全性や脅威に対する脆弱性の原因について、もう少し詳しい情報を得ようとしていると喜んでお伝えします。その取り組みの一環として、研究者らは、侵入者が各ブラウザがインストールされているマシンにすでにアクセスしたときに各ブラウザがどのように動作するか、またどの程度の情報を取得できたのかを調査しました。
研究で何が判明したのか?
Accuvant の研究者は、Google Chrome には、Web ページに埋め込まれた悪意のあるコードやスクリプト、またはアクセスしたサイトの一部として自動的にダウンロードされて実行される悪意のあるコードやスクリプトからユーザーを保護することを目的とした、最も新しく効果的なセキュリティ機能があると判断しました。彼らは次の 3 つの主要な分野を調査しました。
サンドボックス化、つまりブラウザがブラウザの範囲を超えてシステム リソースやデータへのアクセスを制限する方法は、大きな違いがある領域の 1 つでした。研究者らは、ブラウザに関連付けられていない個人データから侵入者を遠ざけるのに、Chrome が 3 つのブラウザの中で最も効果的であることを発見しました。 Internet Explorer にもサンドボックス機能がありますが、研究者らは、たとえソフトウェアのインストールが阻止されていても、侵入者にはある程度のファイル読み取り機能が与えられていると主張しています。一方、Firefox は単に「未実装または無効」としてリストされています。
ジャストインタイム (JIT) 強化ユーザーのコンピュータ上で実行できない JavaScript をブラウザがコンパイルしないようにする機能も、Chrome と IE が同等の分野でしたが、Firefox は大きく遅れをとりました。
プラグインのセキュリティこれは、Chrome が競合他社を上回ったもう 1 つの分野であり、プラグインの実行による追加のソフトウェアのインストールや、Web サイト上でユーザーの操作を必要としないスクリプトの実行を拒否しました。
3 つの分野すべてで Chrome がトップとなりました。研究者らは、サンドボックス化と JIT 強化において Chrome と Internet Explorer を結びつけましたが、どちらの分野でも Chrome の方がわずかに優れていたと指摘しています。 3 つの分野すべてにおいて、Firefox は最低のスコアを獲得しました。しかし、他の分野では 3 つのブラウザはすべて互角であり、少なくとも URL ブラックリストの 1 つの分野では、3 つのブラウザすべてが悪い評価を獲得しました。ただし、研究者らは、Chrome が他の 2 つよりも優れていたことを再度指摘しました。ただ、どれもブラックリストにあまり登録されなかっただけです。良い。
最終的に、Accuvant の研究者らは Chrome にトップの座を与え、Internet Explorer がそのすぐ後ろに位置しました。彼らは、MicrosoftやMozillaがInternet ExplorerやFirefoxで行っているように、レガシーコードや古い機能の靴べらを扱う必要がなく、Chromeをゼロから構築できる能力を指摘した。研究チームによると、基本的に Chrome は最も安全です。これは、Google が新たな観点とセキュリティを念頭に置いて、荷物を持ち歩かずに Chrome を作成できたためです。
Mozilla と Microsoft はこれについて何と言っていますか?
Mozilla の Firefox 開発ディレクターである Johnathan Nightingale は、この調査に次のように答えています。フォーブスの記事でと述べ、「Firefox には、アドレス空間のランダム化などのプラットフォーム レベルの機能から、レイアウト フレーム ポイズニング システムのような内部システムに至るまで、セキュリティ上の脅威を排除または軽減するための幅広いテクノロジーが含まれています。サンドボックスは、私たちが調査しているツールボックスへの有用な追加機能ですが、私たちは、開発プロセス全体を通じてセキュリティに投資し、内部および外部のコード レビュー、実行中のコードの継続的なテストと分析、セキュリティ問題が発生した場合の迅速な対応を行っています。そしてそれは依然として次の重要な優先事項ですファイアフォックス。」
同様に、マイクロソフトは次のように指摘しました。NSS Labs による研究これは、ユーザー システムをマルウェアから保護する点で、Internet Explorer が Firefox や Chrome を含むすべてのライバルを圧倒していることを示しています。しかし、Accuvant の研究が Google の後援と委託を受けて行われたのと同じように、NSS Labs の研究は Microsoft によって費用が支払われていることが多いため、懐疑的な見方がたくさんあります。
研究はどの程度公平ですか?
Accuvant は、評判の高いセキュリティおよび調査会社であり、研究の全文が入手可能、 だけでなく使用されたツールと研究の裏付けとなるデータ他の研究者が自分の発見を調べたい場合に備えて。
GoogleとAccuvantは両社とも、調査を依頼したにもかかわらず、もし結果が自社に有利であれば、その事実が結果の価値に疑問を投げかけることになることを承知していたと説明した。アキュバントの説明Ars Technica の記事でGoogleは彼らに調査を行うための広い余地以上のものを与え、調査がブラウザのセキュリティの状態を公平に見るものであると主張した。アキュバント側も、この研究は自社とその仕事の質を代表するものであり、それを支持していると述べ、自社の評判を賭けている。
Google がテスト方法論とコードベースが自社に有利に働くという事実を知っていたため、この研究が独立していることについてそこまでオープンだったかどうかは別の話ですが、現時点では Accuvant の結果や方法論を批判する人は誰もいません。しかし、本当の問題は、あなたや私がどの程度気にする必要があるのかということです。
これは重要ですか?どうすればいいですか?
結局のところ、調査は重要ですが、ブラウザのセキュリティの本当の要は、キーボードを操作するユーザーです。そしてこれまでもそうでした。現在は Chrome がトップかもしれませんが、Microsoft と Mozilla はこの調査結果を受けて対応する変更を加える予定です。 Accuvant の手法では、システムが侵害されていることが前提となっており、また、ブラウザ自体のセキュリティ機能以外にユーザーを保護する手段がないことも前提としていますが、どちらもほとんどのユーザーには当てはまらない可能性があります。それまでの間、この研究結果はブラウザ戦争で大砲の材料として利用されることになり、あるブラウザのファンがわざわざ読もうともせずに別のブラウザのファンに向けて攻撃することになるだろう。
ほとんどの場合、ブラウザのセキュリティはユーザーの責任です。責任を持ってネットサーフィンをし、可能な限り SSL を使用してください。ファイルのダウンロードが何であるか、またはファイルのダウンロードを求められた理由がわからない場合は、何も受け入れたり、実行したり、ダウンロードしたりせず、毎日必要な拡張機能とアドオンのみを実行し続けてください。
Firefox ユーザーは次のような拡張機能を使用できます。どこでもHTTPS安全なセッションが利用可能で、SSL を有効にし、次のような拡張機能を使用できるサービスを安全に閲覧するにはスクリプトなし悪意のある JavaScript を阻止します。 Chrome ユーザーは、次のようなアドオンを使用して同様の機能を利用できます。NotScriptまたはスクリプト番号、非常に似たようなことを行います。結局のところ、ブラウザのセキュリティ機能はユーザーを保護するのに限界があり、サーフィンに対して慎重で懐疑的でセキュリティに重点を置いたアプローチを取る限り、どのブラウザを使用するかはおそらく問題ではないでしょう。
研究結果についてどう思いますか?ブラウザ戦争の弾薬が増えるのか、それとも実際に Chrome やその下の Firefox を引き離すことになるのでしょうか?以下のコメント欄でご意見を共有してください。
