การศึกษา: เบราว์เซอร์บนเว็บที่ไม่รู้จักแพร่หลายบนอินเทอร์เน็ต

มีเพียง 59.1 เปอร์เซ็นต์เท่านั้นที่ใช้เว็บเบราว์เซอร์ที่มีการอัปเดตอย่างเต็มที่และวางส่วนที่เหลือที่มีความเสี่ยงจากภัยคุกคามที่เพิ่มขึ้นจากแฮกเกอร์ที่ขยันขันแข็งตามการศึกษาใหม่ที่เผยแพร่โดยนักวิจัยในประเทศสวิสเซอร์แลนด์

การศึกษาซึ่งเผยแพร่เมื่อวันอังคารเป็นหนึ่งในการวิเคราะห์ที่ครอบคลุมมากที่สุดว่ามีผู้ใช้เว็บเบราเซอร์รุ่นใดในอินเทอร์เน็ต การวิจัยได้ดำเนินการโดยนักวิจัยจากสถาบันเทคโนโลยีแห่งสวิตเซอร์แลนด์ (Swiss Federal Institute of Technology) ของ Google และ IBM Internet Security Services

เว็บเบราเซอร์มักเป็นจุดเชื่อมโยงที่อ่อนแอในห่วงโซ่ความปลอดภัยเนื่องจากช่องโหว่ของซอฟต์แวร์ทำให้แฮกเกอร์สามารถควบคุม พีซี แฮกเกอร์สามารถกระทำการที่เป็นอันตรายเช่นการขโมยข้อมูลส่วนบุคคลหรือเปลี่ยนเครื่องคอมพิวเตอร์ให้เป็นสไปรท์ที่สแปมได้

สิ่งที่นักวิจัยค้นพบคือแม้ว่าซอฟต์แวร์ ผู้จัดจำหน่ายจัดหาแพทช์สำหรับปัญหาด้านความปลอดภัยอาจใช้เวลาเป็นสัปดาห์สัปดาห์หรือเป็นเดือนก่อนที่ผู้ใช้จะอัพเดตแอพพลิเคชันของตน ในขณะที่ผู้ใช้เหล่านี้มีความเสี่ยง

แต่ไม่ใช่ความผิดพลาดของผู้ใช้เนื่องจากผู้จัดจำหน่ายเบราว์เซอร์ของเว็บเบราเซอร์ไม่สามารถทำ patching ได้ง่าย Stefan Frei นักศึกษาระดับปริญญาเอกของสถาบันกล่าวว่า ETH ซูริกและหนึ่งในผู้เขียนรายงาน เขากล่าวว่า

การศึกษาได้ศึกษาข้อมูลการค้นหาเซิร์ฟเวอร์และแอพพลิเคชันเว็บเซิร์ฟเวอร์โดย Google เพื่อดูว่ารุ่นใดบ้างที่มีการใช้งานกันอย่างแพร่หลาย Firefox, Opera หรือ Safari เบราว์เซอร์คนใช้ Frei กล่าวว่า

Microsoft Internet Explorer แต่เพียงบอกเว็บเซิร์ฟเวอร์ว่ารุ่นสำคัญที่ผู้ใช้ใช้เช่น IE 6 หรือ IE 7 นักวิจัยอาศัยข้อมูลจากผู้คน ผู้ที่ติดตั้งเครื่องมือในเครื่องพีซีของตนซึ่งเรียกว่า Personal Software Inspector จาก Secunia ซึ่งเป็น บริษัท รักษาความปลอดภัยของเดนมาร์กที่สามารถตรวจจับ IE รุ่นที่เพิ่มขึ้น Frei กล่าวว่า

ผู้ใช้ Firefox ดีที่สุดในการอัปเกรด: 83.3 เปอร์เซ็นต์ใช้เวอร์ชั่นล่าสุด การศึกษาเพียงแค่มองไปที่ Firefox 2.0) สำหรับ Safari ของ Apple 65.3 เปอร์เซ็นต์ใช้เวอร์ชันล่าสุด 56.1 เปอร์เซ็นต์สำหรับ Opera และ 47.6 เปอร์เซ็นต์สำหรับ Internet Explorer ของ Microsoft

Firefox ของ Mozilla มาจากด้านบนเนื่องจากคุณลักษณะการอัปเดตอัตโนมัติซึ่งบอกให้ผู้ใช้ทราบว่ามีแพทช์ใหม่และมีวิธีอัปเกรดเพียงครั้งเดียวเท่านั้น ในระยะเวลาสามวันผู้ใช้ Firefox ส่วนใหญ่จะได้รับการอัปเดตการศึกษากล่าวว่า

Frei ขอแนะนำให้ผู้ผลิตเบราว์เซอร์ใส่คุณลักษณะการอัปเดตอัตโนมัติตั้งแต่ขั้นตอนนี้ยุ่งยากและช้ากว่านี้

ขณะนี้ผู้ใช้ Opera ได้รับแจ้ง มีเวอร์ชันใหม่ แต่ต้องไปที่เว็บไซต์ Opera และดำเนินการขั้นตอนการติดตั้งเช่นเดียวกับที่พวกเขาได้ดาวน์โหลดเบราว์เซอร์เป็นครั้งแรก Frei กล่าวว่า

Safari ใช้ตัวอัพเดตภายนอกที่มีการสำรวจเฉพาะสำหรับ อัปเดตในบางช่วงเวลา การอัปเดตของ Microsoft จะเผยแพร่ในวันอังคารที่สองของเดือน ช่องโหว่เหล่านี้อยู่ระหว่างช่วงเวลาที่ช่องโหว่ถูกเปิดเผยต่อสาธารณชนและแพทช์ของบุคคลเป็นสิ่งสำคัญเนื่องจากเป็นหน้าต่างที่เปิดกว้างสำหรับการโจมตี

ปัญหาเกี่ยวกับการแก้ไขอย่างไม่เป็นระเบียบตรงกับความต้องการของผู้ขายแอพพลิเคชันอย่างแท้จริง Frei กล่าวว่า "เขาสนับสนุนผู้จัดจำหน่ายซอฟท์แวร์ให้ใช้คิวจากอุตสาหกรรมอาหารและวาง" วันที่หมดอายุ "ไว้ที่ด้านบนของเบราว์เซอร์เพื่อให้ผู้ใช้ทราบเบราว์เซอร์ สถานะ. ตัวอย่างเช่นคำเตือนอาจปรากฏอยู่ข้างแถบที่อยู่: "145 วันหมดอายุแล้วสามแพทช์หายไป"

"นี่เป็นคำแนะนำที่ไม่เกี่ยวกับเทคนิค" Frei กล่าว "คุณคาดหวังให้คนอื่นรู้ว่าพวกเขาใช้การอัปเดตได้อย่างไรหากพวกเขาไม่ทราบ" เราคิดว่ามันเหมือนกับการ จำกัด ความเร็วบนทางหลวง "

แม้แต่ บริษัท ผู้ให้บริการด้านการค้นหาเช่น Google อาจแสดงคำเตือนเดียวกันข้างต้น ผลการค้นหาเนื่องจากเบราว์เซอร์ถูกส่งไปยังเซิร์ฟเวอร์เมื่อมีผู้ค้นหา Query แล้ว Frei กล่าวว่า

หรือ บริษัท รักษาความปลอดภัยสามารถทำให้โปรแกรมประยุกต์สแกนส่วนหนึ่งของผลิตภัณฑ์เพื่อผู้บริโภคของพวกเขาซึ่งพวกเขาได้ทำขึ้นสำหรับซอฟต์แวร์ระดับองค์กรบางแห่ง Frei กล่าวว่า

แต่ปัญหาของเบราว์เซอร์ที่ล้าสมัยจะไม่ค่อยลง -ins ซึ่งเพิ่มฟังก์ชันการทำงานพิเศษให้กับเบราว์เซอร์เช่นโปรแกรม Adobe Flash และโปรแกรมมัลติมีเดียของ Apple QuickTime

โดยเฉลี่ยแล้วผู้ใช้มีตั้งแต่ 6 ถึง 10 ปลั๊กอินซึ่งส่วนใหญ่มาจากผู้ขายที่แตกต่างกัน Frei กล่าวว่า

เบราว์เซอร์คือขนมปังและแม้ว่าขนมปังจะดีถ้าแฮมเน่าเสียคุณก็มีปัญหา "Frei กล่าวว่า

ความเสี่ยงของซอฟท์แวร์ในปลั๊กอินเพียงตัวเดียว วางพีซีของบุคคลไว้ในอันตราย Frei เสนอว่าองค์กรเช่นทีมงานตอบสนองเหตุฉุกเฉินทางคอมพิวเตอร์แห่งชาติจะสร้างบริการที่เบราว์เซอร์สามารถตรวจสอบได้ว่ามีปลั๊กอินรุ่นล่าสุดหรือไม่

นอกเหนือจาก Frei การศึกษายังดำเนินการโดย Thomas Dübendorferจาก Google, Gunter Ollmann จาก IBM Internet Security Systems และ Martin May จาก ETH การศึกษาจะนำเสนอในที่ประชุม Defcon security ในเดือนพ. ค. ที่ลาสเวกัส