Lunta tuliketun tupaan: Firefox turvattomin selain
40
Chrome sai selainten turvatutkimuksessa puhtaat paperit lähes kaikessa. IE oli hyvä kakkonen, mutta Firefoxille tuli monta pahaa rastia.
Firefox on joutunut selainsodassa ahdinkoon, kun Chrome on pyyhältänyt suosiossa ohitse. Lisää lunta tuliketun tupaan tulee tutkimuksessa selainten tietoturvasta. Firefox osoittautui selvästi vaarallisimmaksi siinä missä Chrome loistaa esimerkiksi hiekkalaatikoillaan. Firefoxin pesee jopa kauan parjattu Internet Explorer.
Firefoxia kehittävä Mozilla-säätiö on tämän vuoden lopulla saanut tosissaan huolestua selaimen asemasta. Uusi päivitysmalli on karkottanut osan käyttäjistä, ja samalla Googlen Chrome ohitti Firefoxin suosiossa. Rahahanat uhkaavat kiristyä, koska rahoista iso tukku on saatu Googlelta.
Lisää harmaita hiuksia tuli, kun tietoturvayhtiö Accuvant julkisti tutkimuksensa selainmarkkinoiden kolmen suuren turvallisuudesta. Firefox osoittautui kolmikosta selvästi hatarimmaksi.
Tutkimus tarkasteli selaimia siltä kannalta, miten hyvin niiden sisäinen arkkitehtuuri suojaa hyökkäyksiltä kerros kerrokselta ja minkälaiset suojausteknologiat niissä on. Accuvantin mukaan tämän selvittäminen on vaativa urakka, eikä vastaavaa selvitystä ole aiemmin tehty. Yleensä tutkimukset tyytyvät laskemaan, montako haavoittuvuutta selaimista on löydetty ja miten kattavia niiden mustat listat haitallisista verkkosivuista ovat.
Selaimen voi tutkimuksen mukaan nähdä verkon tietoturvassa ensimmäisenä kerroksena, jonka jälkeen vasta tulevat virustorjuntaohjelmat. Jos selain on hyvin suojattu, erityiselle torjuntasovellukselle asti ei edes tule töitä. On helpompi varjella linnaketta, jonka ympäri kiertää vallihauta, kuin hökkeliä rannalla.
Hiekkalaatikot Chromen vahvuus
Tutkimus toteaa, että sisäisen rakenteensa perusteella Chrome on hyökkäyksiä vastaan parhaiten suojattu selain. Microsoftin Internet Explorer 9 yltää aivan kintereille. Voittajakaksikko sisältää tasokkaat suojausteknologiat lähes kaikissa kerroksissa ja ajaa monia erikseen pilkottuja prosesseja.
Chrome vetää pisimmän korren lisäosien turvallisuuden ja kaikenkattavan hiekkalaatikoinnin ansiosta. Hiekkalaatikoiden käyttö arkkitehtuurissa rajoittaa hyökkäysten tarttumapintaa olennaisesti sekä niiden vakavuutta. Myös IE pyörittää suuren osan toiminnoista eristetyissä hiekkalaatikoissa, kuten välilehdet.
Firefox jättää paljon toivomisen varaa. Sitä ei ole ”kovetettu” haitallisen java-koodin ajamista vastaan toisin kuin kilpailijansa. Sen arkkitehtuuri perustuu yhteen ainoaan prosessiin, joka sisältää koko selainistunnon mukaan lukien välilehdet, lisäosat ja grafiikkakiihdytyksen. Ainoa poikkeus ovat Flashin ja Silverlightin kaltaiset liitännäiset.
Järjestelmäoikeuksia rajoittavaa hiekkalaatikointia Firefox ei käytä lainkaan. Toisin kuin Chromessa ja IE:ssä haittaohjelman saastuttama prosessi ei tarvitse mitään menetelmää, jolla se voisi laajentaa ajo-oikeuksiaan ohi selainistunnon.
Kun lisäksi vertaillaan selaimien haavoittuvuuksien lukumääriä ja niiden vakavuutta, Firefoxista paljastuu lisää pahoja rasteja. Kriittisiä haavoittuvuuksia oli kolminkertainen määrä IE:hen verrattuna ja yli 20-kertainen määrä Chromen rinnalla.
Mustat listat eivät suojaa yhtään selainta
Yksikään selain ei anna kunnollista suojaa niiden sisältämien mustien listojen perusteella. Url-osoitteiden listaukset pysäyttävät vähemmän hyökkäyksiä kuin päästävät läpi. Jos muut kerrokset kuitenkin ovat kunnossa, tästä ei ole isommin huolta.
Lievää lohtua turvatutkimuksesta Mozillalle antaa vain se, että tuloksiin voi suhtautua varauksellisesti. Kun Accuvant kertoo blogissaan tutkimuksesta, se mainitsee heti alkuun avoimesti, että työ on tehty Googlen tilauksesta. Yhtiö kuitenkin korostaa, että se keräsi kaiken datan itsenäisesti. Se myös tähdentää, että kaikki menetelmät on selostettu täsmällisesti tutkimusraportissa (pdf) juuri siitä syytä, että turvallisuusvertailut tuppaavat olemaan kiistanalaisia, jos dataa ja työkaluja ei ole avattu ulkopuoliseen syyniin.
Tutkimusaineisto on kasattu viime heinäkuussa, joten selainversioista aivan tuoreimmat eivät olleet mukana. Chromesta tarkastelussa olivat versiot 12 ja 13, IE:stä versio 9 ja Firefoxista versio 5.0.1.
Selaimien haavoittuvuuksien vertailussa Firefoxissa oli tutkimuksen mukaan ylivoimaisesti eniten kriittisiä reikiä. Chrome oli sen rinnalla lähes vailla haavoja.
