Safe browsing, leave no traces

2008 este un an revolutionar in epoca ‘browserelor’, fiind adoptate de facto noi protocoale si noi modalitati de a cere si afisa informatia in internet. Este anul in care ‘cloud computing’ a inceput sa fie implementat pe noile navigatoare. Firefox 3 a adus un nou mod de ‘page retrieving’ prin deschiderea mai multor conexiuni catre o adresa si citirea paginii in bucatii mici si in paralel si asamblate intr-un intreg de catre client. A fost lansat Chrome (beta version) care are toate sansele sa devina unul din cele mai folosite browsere chiar si numai datorita faptului ca este dezvoltat si promovat de Google, dar atuurile sale cu adevarat importante sunt faptul ca este open source prin google code si este browserul care beneficiaza de cel mai mare ‘cloud computing’. IE,Opera, Safari, etc nu au ramas nici ele in urma si au adoptat aceleasi tehnologii. 2008 este anul in care complexitatea in acest domeniu a crescut cu o treapta peste noapte si in consecinta a crescut proportional si complexitatea securitatii.

Cloud computing motiv de ingrijorare?

Pentru cei familiarizati cu termenul de ‘grid computing’, cloud computing este idem cu mici diferente; gridul face parte dintr-o retea relativ securizata si in general se foloseste in analiza datelor avand o limitare in modul in care sunt folosite resursele grid, in timp ce cloud computing este internet wide spreaded, nesecurizat si permitand folosirea tuturor protocoalelor si neavand un protocol anume pentru modul in care sunt folosite resursele. Ca un exemplu la obiect pentru cloud computing as mentiona Google Documents si toate acele mici prajituri pe care google le ofera, chiar si Google Analytics.

Noile browsere folosesc din plin resursele din ‘cloud’ si in orice moment cat tineti browserul deschis, acesta comunica in ‘cloud’, trimite informatii si primeste informatii intr-un mod netransparent pentru utilizator. Chiar si cand navigati pe o pagina oarecare, nu intotdeauna datele primite sunt afisate ca atare pe monitor; toate informatiile sunt intr-un grad mai mare sau mai mic interpretabile de browser. Cine foloseste skype, a observat ca in dreptul numerelor de telefon de pe pagini apare o iconita skype cu ‘call’ sau ceva in genul asta. Editorul paginii respective nu a facut nimic ca sa introduca aceasta optiune, ci pluginul skype folosit de browser. De fapt toate browserele in acest moment trimit date despre utilizator, paginile care le vizioneaza, pe unde-si face veacul, date care sunt folosite in analize de catre cei care au facut browserul respectiv.

Si aici intervine dilema. Toate aceste date circula intr-un mediu nesecurizat. Nu exista nici o garantie ca aceste date sunt trimise la destinatia corecta sau ca nu sunt interceptate print tot felul de metode (man in the middle, sniffing, spyware etc). Ai o pagina personala undeva, unde ai sa zicem date confidentiale si sa presupunem ca browserul va face cache si va depune continutul local sau ajunge in ‘cloud’. Ar fi neplacut ca aceste date sa ajunga spre ‘analiza’ la man in the middle.

Cum se previne ‘private hijacking’?

Fiecare dezvoltator de browsere a creat separat niste, impropriu spus, pluginuri care se asigura in principiu de urmatorele:

  • nu se face cache odata activate optiunile acestui plugin
  • nu se salveaza cookies
  • nu se salveaza in history
  • nu se comunica datele privind erorile de browser (acele crashuri) si nici datele destinate analizelor statistice
  • inchiderea browserului va sterge din memorie contunutul sesiunilor
  • nu se salveaza cheile publice de securitate SSL, etc

Astfel, Internet Explorer vine cu InPrivate in varianta beta 2 pentru IE 8, Google Chrome are un mod Incognito. Mozilla au in vizor dezoltarea unui plugin inca din 2004 si merita citit bug reviewul, insa intr-un final au adoptat strategia patch-ului; idem Opera si Safari.

Intr-un final as mai adauga ca se anunta vremuri interesante din aceasta perspectiva, se vorbeste de public Wi-Fi si alte minunatii care au ridicat la rang de arta analiza securitatii. De aceea consider important ca internautii sa aibe anumite cunostinte si o cultura generala si chiar numai constientizarea pericolului pe care internetul il poate aduce in viata personala este un pas mare.


One Response to “Safe browsing, leave no traces”
Radu Boncea Weblog » Firefox Private Browsing Posted on November 7, 2008 at 7:36 pm

[…] Spuneam acum vreo 2 luni ca Mozilla a ramas in urma cu anumite metode de securizare al browserului Firefox, desi aveau in colimator modul stealth de navigare inca de prin 2004. Intre timp IE au venit cu modul InPrivate, iar recentul browser Google, Chrome-ul cu modul Incognito. Ei bine lucrurile au inceput sa se miste si pentru Firefox. Cine doreste sa testeze optiunea Private Browsing poate sa downloadeze versiunea ‘nightly builds’ a browserului Firefox (nerecomandat celor care nu stiu ce este un nightly build). […]

Post a Comment