Захотят ли компании эксплуатировать критически важные приложения в среде браузеров Firefox или Internet Explorer и подвергать риску свои информационные системы? Конечно же нет. Так вот, этой угрозы можно избежать, если придерживаться некоторых правил, за которыми стоит простой здравый смысл.

Браузеры небезопасны — таково общепринятое мнение. Если бы нам давали по доллару за каждый раз, когда мы сталкивались со случаями проникновения через их «дыры» зловредного ПО, то собранных денег хватило бы для оплаты всех работ по наведению порядка в нашей сети. Согласно данным компании Symantec, в прошлом году было зафиксировано свыше 50 программных компонентов взлома (exploits) элементов управления ActiveX. Это в три с лишним раза больше, чем в 2005 г. Да, поддержка ActiveX в браузере Internet Explorer 7 по умолчанию выключена, но если вашим конечным пользователям потребуется функциональность Adobe Reader или Flash, то вы снова оказываетесь «под огнем».

А ведь пользователи не хотят отказываться ни от одной даже самой пустячной, функции. Специалисты по ИТ превратили Web-браузер в рабочую лошадку обмена знаниями. Согласно прогнозу организации Gartner, составленному до 2010 г., ежегодный прирост спроса на предоставление ПО в качестве услуги будет превышать 20%. Наш недавний опрос читателей по SOA/Web-сервисам показал, что в компаниях примерно 80% респондентов к Web-сервисам обращаются, но в то же время принимают меры защиты при пользовании как внутренними, так и внешними сервисами меньше половины из них. Сумеют ли ИТ-специалисты справиться с этой проблемой?

Платой за безопасность Web-браузера, как и за безопасность общества, становится всеобщая подозрительность... а также затраты на управление рисками, совершенствование средств обеспечения безопасности, обучение пользователей и усиленное централизованное администрирование.

К счастью, разработчики движутся в правильном направлении — коллективно и индивидуально. Рабочая группа по борьбе с фишингом (Anti-Phishing Working Group — APWG), например, объединяет больше 100 компаний-поставщиков. И весьма впечатляюще действует картина, когда обычно конкурирующие между собой участники рынка ПО отодвигают в сторону свои взаимные претензии и работают открыто и конструктивно над подавлением тревожащей общество криминализации киберпространства. Мы с осторожным оптимизмом восприняли также концепцию сертификации EV (Extended Validation), ее реализация призвана обеспечить подтверждение легитимности сайтов. Процесс контроля по протоколу SSL, предусмотренный сертификацией EV (как это определено Форумом CA/Browser), требует всеобъемлющего независимого аудита. И подобные проверки выходят далеко за рамки сертификации по стандарту x.509, обеспечивая, в частности, цветовое кодирование адресной полосы, отображающейся в окне браузера.

Если же говорить об индивидуальных усилиях производителей, то новейшие браузеры — Internet Explorer 7 (IE7) и особенно Mozilla Firefox 2.0 — ориентированы на активное предотвращение злоумышленных действий и защиту персональной информации. Усовершенствованные возможности по стиранию журнала и кешированных файлов, например, идут на пользу и пользователям и администраторам, равно как и такие направленные против кибермошенников меры, как поддержка интернационализированных доменных имен (IDN), отображение адресной полосы и более простой контроль за интеграцией компонентов ActiveX. При этом разработчики мыслят довольно широко. Примером может служить компания Microsoft, чья система обнаружения вредоносных кодов StriderHoneyMonkey используется ее подразделением обеспечения безопасности Интернета для выслеживания спамеров и лиц, занимающихся фишингом.

Общий вывод: вместо того чтобы ждать, пока пользователям придется иметь дело с подозрительными сайтами, следует выявлять последние в порядке их профилактики.

Полную версию данной статьи смотрите в 10-ом номере журнала за 2007 год.