Добрый день, Друзья.
Хочу поделиться небольшим опытом работы с бесплатными решениями по проверке безопасности web браузеров в организациях и дома.
Недавно мои коллеги столкнулись с задачей проверки защищенности клиентских web браузеров и мы решили попробовать как можно решить эту задачу быстро, при минимальных капиталовложениях и эффективно. На просторах интернета мы смогли найти следующие бесплатные сервисы по проверке браузеров:
Описание работы данных сервисов в интернете в достаточном кол-ве и описывать пошаговую инструкцию работы с ними я не буду.
Но хочу поделиться результатами работы данных сервисов с разными браузерами, различием в функциональности и особенности работы. Т.к. эти сервисы на текущий момент стремительно развиваются, то я могу дать оценку их работам на момент проведения тестирования.
Для проверки браузера доступен аудит без установки дополнительных плагинов, но для браузера Chrome имеется возможность установить плагин в Crome webstore. Кстати при установке плагина surfpatrol на Crome, мне открылась ссылка интернет магазина Crome для ручной установки плагина. Немного разочаровала работа этого плагина т.к. результаты аудита с ним и без него одинаковые. Так же удивил результат работы сервиса с IE 9. В разные дни тестирования (в рамках 1 недели) в первом отчете мне порекомендовали использовать режим InPrivate, во втором отчете порекомендовали обновить браузер, запустив Windows Update. Про режим InPrivate во втором отчете ничего не было сказано. Так же почему – то в отчете была показана версия установленного пакета MS Office 2010.
Положительные стороны сервиса:
Отрицательные стороны сервиса:
В течении 1 года, когда я впервые увидел данный сервис, специалистами была проделана была большая и это мне нравится. И мне нравится, что данный сервис развивается и улучшается.
Компания Qualys данный сервис предлагает уже достаточно давно и это уже серьезный инструмент, который был вылизан и проработан очень серьезно.
Из особенностей его использования хочу выделить то, что он доступен с установленными плагином для браузера и без него. Поддерживается установка плагинов на Crome, IE и Firefox. При запуске проверке аудит проводится всех установленных и поддерживаемых браузеров сразу. Т.е. при запуске сервиса в Crome, проверяется сразу и установленный IE, без его запуска. Так же сервис проверил уровень обновления ОС, работу антивируса и межсетевого экрана.
Отдельное спасибо сервису за информативность отчетов. Во первых это разделение всех проверяемых плагинов на 3 категории: Insecure Version, Update available и Up To Date. При статусе Insecure Version вам нужно пройти по ссылке, предоставляемой тут же, и обновить плагин. Статус Update available сообщает о том, что ваша версия плагина обновлена, но имеется уже другая версия следующего порядка. И во вторых, о чем я уже сообщил, в отчет идет ссылку на страницу вендора для установки новой версии плагина/ПО.
Хочу отметить процесс установки плагина на браузер Crome. Он устанавливается только после того, как я соглашаюсь с использованием его и происходит это в незаметном для пользователя режиме. Т.е. все автоматически.
Кстати список определяемых плагинов достаточно большой и представлен по ссылке. (https://community.qualys.com/docs/DOC-1542#s2).
На текущий момент это пока лучший для меня инструмент проверки уровня защищенности web браузера на настольных ПК.
Положительные стороны сервиса:
Отрицательные стороны сервиса:
Данный сервис отличается от ранее описанного сервиса Qualys лишь тем, что в нем имеется возможность проверить уровень защищенности в организации. Осуществляется это следующим образом:
Вы регистрируетесь на странице сервиса и создаете свою учетную ссылку на данный сервис только для вашей организации
Сотрудники организации запускают данный сервис на своих браузерах и проходят аудит.
В своей учетной записи на портале сервис вы можете видеть статистику уровня защищенности браузеров пользователей компании. Примеры отчетов можно увидеть по ссылке www.penetrationtest.ru/mikro-blog/nikitenko-aleksey/analitika-bezopasnosti-brauzerov
По функциональности и по наличию плюсов\минусов все тоже самое, что и в Qualys BrowserCheck.
В итоге в проектах и дома использую Qualys BrowserCheck. Но так же отслеживаю изменения в Surfpatrol.
Надеюсь, что этот текст будет для кого-то полезны.
Хочу поделиться небольшим опытом работы с бесплатными решениями по проверке безопасности web браузеров в организациях и дома.
Недавно мои коллеги столкнулись с задачей проверки защищенности клиентских web браузеров и мы решили попробовать как можно решить эту задачу быстро, при минимальных капиталовложениях и эффективно. На просторах интернета мы смогли найти следующие бесплатные сервисы по проверке браузеров:
- Surfpatrol (от компании Positive Technologies). Воспользоваться можно по ссылке www.surfpatrol.ru
- Qualys BrowserCheck (от компании Qualys). Воспользоваться можно по ссылке browsercheck.qualys.com
- BrowserCheck Business Edition (от компании Qualys). Позволяет проверять уровень защищенности браузеров в компаниях. Воспользоваться можно по ссылке www.qualys.com/forms/browsercheck-business-edition.
Описание работы данных сервисов в интернете в достаточном кол-ве и описывать пошаговую инструкцию работы с ними я не буду.
Но хочу поделиться результатами работы данных сервисов с разными браузерами, различием в функциональности и особенности работы. Т.к. эти сервисы на текущий момент стремительно развиваются, то я могу дать оценку их работам на момент проведения тестирования.
Surfpatrol.
Для проверки браузера доступен аудит без установки дополнительных плагинов, но для браузера Chrome имеется возможность установить плагин в Crome webstore. Кстати при установке плагина surfpatrol на Crome, мне открылась ссылка интернет магазина Crome для ручной установки плагина. Немного разочаровала работа этого плагина т.к. результаты аудита с ним и без него одинаковые. Так же удивил результат работы сервиса с IE 9. В разные дни тестирования (в рамках 1 недели) в первом отчете мне порекомендовали использовать режим InPrivate, во втором отчете порекомендовали обновить браузер, запустив Windows Update. Про режим InPrivate во втором отчете ничего не было сказано. Так же почему – то в отчете была показана версия установленного пакета MS Office 2010.
Итоги:
Положительные стороны сервиса:
- Локализация интерфейса (но доступе и англоязычный вариант)
- Выявление большинства плагинов в браузере
- Всеядность браузеров (запустился даже на Chrome на Android 4.0.4 )
- Бесплатен
Отрицательные стороны сервиса:
- Не все плагины браузера смог обнаружить. В частности Quicktime и не определил в Crome установленных 2 разные версии плагина AdobeFlash (показал только последнюю).
- Для проверки каждого браузера требуется открывать сервис в каждом браузере
- Отчеты проверок с плагином Chrome и без него одинаковые (возможно такое было только у меня)
- Минимальная информация в отчете
- Отчеты по проверке браузера IE отличаются при отсутствии изменений в самой системе
В течении 1 года, когда я впервые увидел данный сервис, специалистами была проделана была большая и это мне нравится. И мне нравится, что данный сервис развивается и улучшается.
Qualys BrowserCheck
Компания Qualys данный сервис предлагает уже достаточно давно и это уже серьезный инструмент, который был вылизан и проработан очень серьезно.
Из особенностей его использования хочу выделить то, что он доступен с установленными плагином для браузера и без него. Поддерживается установка плагинов на Crome, IE и Firefox. При запуске проверке аудит проводится всех установленных и поддерживаемых браузеров сразу. Т.е. при запуске сервиса в Crome, проверяется сразу и установленный IE, без его запуска. Так же сервис проверил уровень обновления ОС, работу антивируса и межсетевого экрана.
Отдельное спасибо сервису за информативность отчетов. Во первых это разделение всех проверяемых плагинов на 3 категории: Insecure Version, Update available и Up To Date. При статусе Insecure Version вам нужно пройти по ссылке, предоставляемой тут же, и обновить плагин. Статус Update available сообщает о том, что ваша версия плагина обновлена, но имеется уже другая версия следующего порядка. И во вторых, о чем я уже сообщил, в отчет идет ссылку на страницу вендора для установки новой версии плагина/ПО.
Хочу отметить процесс установки плагина на браузер Crome. Он устанавливается только после того, как я соглашаюсь с использованием его и происходит это в незаметном для пользователя режиме. Т.е. все автоматически.
Кстати список определяемых плагинов достаточно большой и представлен по ссылке. (https://community.qualys.com/docs/DOC-1542#s2).
На текущий момент это пока лучший для меня инструмент проверки уровня защищенности web браузера на настольных ПК.
Итоги:
Положительные стороны сервиса:
- Выявление всех плагинов в браузере
- Всеядность всех распространенных браузеров на настольных ПК и ноутбуках
- Бесплатен
- Много полезной информации в отчете: путь расположения проверяемой библиотеки, версия на хосте и у вендора, рекомендация, ссылка на обновленное ПО
- Проверка всех поддерживаемых браузеров сразу. Заодно и основных элементов защиты ОС
- Определил все плагины AdobeFlash, установленные в Crome
- Установка плагина в браузерах проходит при минимальных телодвижениях пользователя
- Возможность поделиться результатом в твиттере, фейсбуке и по почте прямо с страницы сервиса
Отрицательные стороны сервиса:
- Не смогли запустить на браузере Chrome на платформе Android 4.0.4
- Для некоторых возможно будет минусом отсутствие локализации интерфейса (не для меня)
BrowserCheck Business Edition
Данный сервис отличается от ранее описанного сервиса Qualys лишь тем, что в нем имеется возможность проверить уровень защищенности в организации. Осуществляется это следующим образом:
Вы регистрируетесь на странице сервиса и создаете свою учетную ссылку на данный сервис только для вашей организации
Сотрудники организации запускают данный сервис на своих браузерах и проходят аудит.
В своей учетной записи на портале сервис вы можете видеть статистику уровня защищенности браузеров пользователей компании. Примеры отчетов можно увидеть по ссылке www.penetrationtest.ru/mikro-blog/nikitenko-aleksey/analitika-bezopasnosti-brauzerov
По функциональности и по наличию плюсов\минусов все тоже самое, что и в Qualys BrowserCheck.
В итоге в проектах и дома использую Qualys BrowserCheck. Но так же отслеживаю изменения в Surfpatrol.
Надеюсь, что этот текст будет для кого-то полезны.