Question:
Pourquoi la sécurité du navigateur devrait-elle être priorisée?
Ooker
2018-09-24 16:37:10 UTC
view on stackexchange narkive permalink

De cette réponse sur la sécurité du navigateur:

il est temps de mettre à jour si vous vous souciez vraiment de la sécurité

Donc, si chaque d'autres logiciels et fonctions dont j'ai besoin peuvent fonctionner sur un système d'exploitation 32 bits, je suppose que la seule raison de la mise à niveau est la sécurité du navigateur? Pouvez-vous expliquer pourquoi la sécurité du navigateur doit être la priorité absolue, lorsque:

  • La plupart des sites Web que je visite ont un certificat SSL,
  • La plupart d’entre eux sont soit assez grands que je peux avoir confiance qu'ils ne peuvent pas être piratés, ou assez petits pour que je ne pense pas que ce soit rentable pour les pirates informatiques,
  • Windows et Windows Defender sont à jour,
  • Je peux sentir les sites Web de poisson?

J'espère que ce n'est pas l ' effet de surconfiance. Et j'espère que je ne suis pas trop sûr de ne pas avoir d'effet d'excès de confiance.

Comme toujours, une statistique ou une étude de cas peut augmenter la conviction de la réponse.

"Je peux sentir les sites Web de poisson?"Lorsque vous ne vous souciez vraiment pas de la sécurité du navigateur, vous ne pouvez peut-être pas.Pensez à un navigateur obsolète avec un bogue qui permet à un attaquant de masquer des parties de l'URL (par exemple en utilisant des caractères Unicode de droite à gauche ou des attaques similaires).Donc, vous avez réellement * besoin * du navigateur sécurisé avant d'avoir la chance de sentir les sites Web de poisson.
Recherchez simplement la distribution de logiciels malveillants via des publicités non autorisées, par exemple, même via des réseaux de publicité établis par ailleurs dignes de confiance.- Un ancien navigateur peut contenir un bogue critique qui permet un tel exploit où un navigateur plus récent peut être corrigé.
"Je laisse ma porte d'entrée ouverte quand je sors parce que je vis dans un quartier sûr"?Les gens qui "se soucient vraiment de la sécurité", selon la citation, prennent toutes les précautions (mais personne ne vous oblige à faire partie de ces personnes).
Votre commentaire, "la plupart des attaques proviennent-elles désormais de JavaScript? Ou de SQL?", Montre un manque de connaissances fondamentales sur ces plates-formes.Jusqu'à ce que vous en appreniez beaucoup plus, je vous suggère de prendre les conseils généraux de la communauté infosec pour argent comptant.
"Les sites Web que je visite ont un certificat SSL" - ne vous laissez pas tromper.J'ai vu d'assez gros détaillants où le formulaire Web de carte de crédit et d'adresse avait un certificat valide, mais une fois traitée sur le serveur, les informations étaient transmises par courrier électronique (et imprimées pour le service de comptabilité) et se retrouvaient également dans les fichiers journaux et la base de données du serveur -tout en texte brut!
`assez grand pour que je puisse avoir confiance qu'ils ne peuvent pas être piratés` <- c'est une ligne de pensée très, très risquée.Des entreprises de taille positive ont eu des violations de données au cours des dernières années, et notamment les grandes entités du secteur financier sont tristement célèbres pour avoir, euh, des idées intéressantes sur ce qui passe pour une bonne sécurité.
@Jules mais la violation de données est hors de mon contrôle?
Un certain nombre d'entreprises assez importantes viennent de subir [une brèche] (https://arstechnica.com/information-technology/2018/09/newegg-hit-by-credit-card-stealing-code-injected-into-shopping-code/) qui a capturé les données de carte de crédit et les a envoyées aux attaquants.Un navigateur à jour ne peut pas empêcher cela, mais il n'y a aucune raison pour laquelle la même attaque, qui impliquait le javascript des attaquants s'exécutant sur ces sites, n'aurait pas pu également exploiter les vulnérabilités connues du navigateur pour exploiter votre ordinateur.
@Ooker Si un pirate informatique peut accéder à ses données, il peut également être en mesure d'accéder à son serveur Web et d'injecter des scripts, des logiciels malveillants, etc. qui causeront des problèmes pour vous (et votre navigateur obsolète).Le fait est que personne n'est «assez grand pour que [vous] puissiez avoir confiance qu'il ne peut pas être piraté».
@Ooker mais c'est toujours un site Web "piraté".Tout site Web, grand ou petit, est essentiellement hors de votre contrôle parce que vous avez peu d'influence sur la façon dont ils traitent vos données.Ce que je veux dire, c'est que la taille ou la popularité d'un site Web ne devrait pas être un indicateur de son "indéfectibilité", d'autant plus que les sites Web plus volumineux sont généralement des cibles plus juteuses.
"** La plupart ** des sites Web que je visite ont un certificat SSL", "** La plupart ** d'entre eux sont soit assez grands pour que je puisse être sûr qu'ils ne peuvent pas être piratés, soit assez petits pour que je ne pense pas querentable pour les pirates "," Je peux sentir les sites Web de poisson **? ** "Vous devriez mettre à jour votre navigateur car aucune de ces déclarations n'est absolue.
L'approche * Je suis vraiment prudent avec mes trous de sécurité * signifie que vous n'avez qu'à vous tromper ou à baisser la garde une fois pour qu'un attaquant puisse entrer. Ne serait-il pas plutôt agréable d'être en sécurité * et * détendu?
@Ooker: Veuillez ne pas modifier votre question de manière significative après avoir déjà reçu beaucoup de réponses.J'ai annulé votre dernière modification - veuillez poser une nouvelle question si vous avez besoin de réponses aux parties que vous avez ajoutées.
Honnêtement, je pensais que je pouvais sentir les sites Web de poisson jusqu'à ce que les mineurs de CPU limités par hashrate commencent à être injectés dans des fournisseurs de publicité tiers javascript, comment suis-je censé détecter quelque chose de mal si je ne remarque rien de différent de mon expérience habituelle?Les sites qui n'exécutent que des mineurs de processeur à pleine capacité sont assez faciles à repérer car ils ralentissent considérablement votre système.
@Brandito c'est nouveau pour moi.Mais de toute façon, si j'utilise adblock, qu'est-ce qui pourrait mal tourner?
@Ooker veuillez créer une nouvelle question plutôt que de poser des questions dans les commentaires.Mais le problème est qu'il y aura toujours des choses nouvelles pour vous.C'est le problème.De nouveaux vecteurs et méthodes d'attaque sont créés tout le temps, plus rapidement que vous ou Windows Defender ou n'importe quel logiciel pourriez espérer suivre.
@Ooker afaik, adblock n'a rien fait à l'époque (je ne sais pas si c'est le cas pour le moment), a dû utiliser une extension supplémentaire qui a bloqué toutes les websockets.
@Ooker la plupart des adblocks déploient des mises à jour régulières pour suivre les navigateurs, et ce faisant, peuvent perdre la compatibilité avec les anciennes versions, ce qui peut à nouveau exposer des vulnérabilités.De plus, plusieurs de ces mises à jour corrigent de nouvelles vulnérabilités.Si vous comptez sur des adblocks pour protéger votre ancien navigateur, vous vous retrouverez inévitablement dans une situation où une nouvelle vulnérabilité est laissée exposée par votre adblock actuel, mais sa mise à jour exposera une vulnérabilité dans votre ancien navigateur.Cet effet s'étend à pratiquement toutes les extensions de navigateur;mettez simplement à jour votre navigateur.
Huit réponses:
Steffen Ullrich
2018-09-24 16:49:24 UTC
view on stackexchange narkive permalink

Pouvez-vous expliquer pourquoi la sécurité du navigateur doit être placée au premier rang des priorités ...

Parce que le navigateur traite beaucoup de contenu non approuvé sur Internet.

Bien sûr, si vous utilisez d'autres programmes qui font cela (comme le client de messagerie, peut-être le programme Office, le lecteur PDF), vous devez également les garder à jour car les vulnérabilités de ces programmes sont également un vecteur d'attaque régulier.

.. La plupart des sites Web que je visite ont un certificat SSL,

Un certificat SSL ne dit rien sur la confiance que vous pouvez avoir dans un site. HTTPS protège uniquement contre la modification de reniflage du trafic pendant le transport. Un site HTTPS peut diffuser des logiciels malveillants autant qu'un simple site HTTP.

En dehors de cela, " La plupart des sites Web" n'est pas la même chose que " Tous des sites Web ".

Je peux sentir les sites Web de poisson?

Même si vous avez confiance en votre capacité à détecter les sites Web où l'URL semble louche (ce qui pourrait en fait être un excès de confiance) Je suis presque sûr que vous ne saurez pas à l'avance si le site que vous visitez régulièrement a été piraté et diffuse des logiciels malveillants (par exemple, Attaque de point d'eau ou d'autres types de piratage de sites de haute réputation pour augmenter le nombre de victimes) ou s'il diffuse des publicités malveillantes qui échappent au contrôle du site Web lui-même (par exemple, publicité malveillante).

EDIT:
Après avoir écrit ma réponse, l'OP a ajouté ce qui suit à la question:

La plupart d'entre eux sont soit assez grands pour que je puisse être sûr qu'ils ne peuvent pas être piraté, ...

Trop gros pour être piraté? Bien que les grands sites Web utilisent généralement une meilleure sécurité que les plus petits, cela ne signifie pas qu'ils ne sont pas piratables. Et les sites avec beaucoup de clients sont particulièrement une cible lucrative pour les attaquants, car cela signifie également beaucoup de victimes potentielles. Quelques exemples: ... des publicités malveillantes sur Forbes ... ou ... Le New York Times et la BBC frappés par des publicités malveillantes "ransomwares" ou Étude: un tiers du top sites Web vulnérables ou piratés.

... ou assez petits pour que je ne pense pas que ce soit rentable pour les pirates, ...

Trop petit pour être piraté? Ce n'est pas vrai non plus: les attaquants utilisent des outils automatisés pour pirater des installations CMS non sécurisées comme WordPress ou Django en masse, c'est-à-dire qu'il est très bon marché de prendre le contrôle d'un site vulnérable de cette manière.

FWIW, même si vous faites confiance à un site que vous visitez régulièrement, il pourrait être piraté et votre navigateur (et antivirus) sont vos seuls espoirs.
beaucoup de gens pensaient que lorsqu'ils visitaient un site Web sans télécharger de fichiers binaires ou cliquer sur des liens suspects, ils étaient en sécurité.Mais en fait, à peu près tous les sites Web ont beaucoup de fichiers JavaScript qui s'exécutent sans l'autorisation de l'utilisateur et ils peuvent utiliser un bogue de navigateur pour échapper au bac à sable et voler des données sensibles.Un exemple est au début de cette année [tous les principaux navigateurs doivent diminuer la solution de minuterie pour corriger le bogue Meltdown et Spectre] (https://hackaday.com/2018/01/06/lowering-javascript-timer-resolution-thwarts-meltdown-and-spectre /)
Je pense que le terme correct que je recherche est l'évaluation des risques en matière de sécurité de l'information.Je pense que le problème central de la sécurité de l'information est la confiance et la (sur) confiance, car nous devons accepter que nous n'avons pas les ressources pour tout.Bien que je sache que les attaques sur Internet sont massives, je me sens toujours suffisamment en sécurité pour compromettre la sécurité du navigateur et dépenser de l'argent pour acheter un nouvel ordinateur portable.Si vous voyez qu'il est très important pour moi d'en acheter un nouveau, alors quel est le point qui peut me convaincre complètement et de manière satisfaisante?
@Ooker: C'est une question différente de votre question d'origine, donc je ne donnerai pas de réponse profonde.En bref: sachez que vous risquez et gérez-le, soit en essayant de réduire votre risque d'être attaqué (adblocker, mise à jour, peut-être un nouvel ordinateur portable, peut-être un nouvel OS sur un ancien ordinateur portable ...) ou en réduisant l'impact d'être attaqué (réguliersauvegardes des données importantes, assurez-vous de ne pas affecter les autres systèmes de votre réseau comme le routeur ..).Il est également acceptable de traiter sciemment le risque comme suffisamment faible et d'espérer que rien ne se passera jamais.
@Ooker vous dites que vous voulez une évaluation des risques.D'accord.Le risque est largement fonction de la probabilité et de l'impact.Tous vos doutes dans votre question portent sur la probabilité.Bien que la réponse de Steffen explique assez bien la probabilité, vous seul pouvez déterminer l'impact d'un compromis complet du système.Qu'y a-t-il sur votre machine?À quoi votre machine a-t-elle accès?Quelles atténuations avez-vous en place?Pouvez-vous rapidement réimaginer la machine?Utilisez-vous un antivirus mis à jour?Limitez-vous les requêtes DNS pouvant être effectuées à partir de la machine?
_ "Un site HTTPS peut servir des logiciels malveillants autant qu'un simple site HTTP peut le faire." _ Exemple: https://arstechnica.com/information-technology/2018/09/newegg-hit-by-credit-card-stealing-code-injected-into-shopping-code / Je doute que OP, ou la plupart des gens d'ailleurs, auraient remarqué que le site appelé `neweggstats.com` avait été * 1) * injecté dans le légitime` newegg.com`site, et * 2) * était en fait malveillant, basé uniquement sur le nom.
Bonne réponse, une chose à ajouter: le site Web peut être bien, mais le * routeur * peut être compromis.Par exemple, certains routeurs wifi d'hôtels sont piratés: ils remplacent souvent les fichiers javascript de Google Analytics par des logiciels malveillants.[M'est arrivé une fois] (https://meta.stackexchange.com/questions/286297/), beaucoup plus de détails ici: https://security.stackexchange.com/questions/63076/this-javascript-code-is-injecté-sur-mon-hôtel-wi-fi-devrais-je-être-inquiet Il y a aussi des routeurs wifi domestiques vulnérables et je suppose que le demandeur n'a jamais pensé à vérifier le leur.
@user568458 Eh bien, c'est un scénario où SSL / TLS * aiderait * réellement ...
@phuclv "Mais en fait, presque tous les sites Web ont beaucoup de JavaScript" Cela me vient à l'esprit - alors que l'exécution d'un logiciel obsolète n'est jamais idéal, que faire si vous venez de désactiver Javascript?Considérez-vous un navigateur obsolète comme «relativement» sûr dans ce scénario?Puisque le site ne peut exécuter aucun type de code.
@Wowfunhappy Je pense que ce sera sûr, mais maintenant le navigateur est quasiment inutile car presque tous les sites Web utilisent Javascript et vous obtiendrez un message d'erreur, une page blanche ou une autre sortie désagréable en fonction de la page.Vous ne pouvez même pas lire de simples nouvelles
@phuclv Eh, ce n'est pas * si * mauvais.Nytimes.com, wsj.com et vox.com fonctionnent tous.(Ce sont les trois premiers que j'ai essayés, bien que le quatrième, cnn.com, ait été largement cassé même si vous pouviez lire des articles).Ce site fonctionne aussi si vous ne faites que naviguer.Certains sites sont cassés, ce qui n'est évidemment pas idéal, mais peut-être une option si vous êtes bloqué sur un appareil plus ancien?
Je ne l'ai pas essayé, mais la dernière fois que j'ai essayé, de nombreuses pages imprimeront un message ennuyeux indiquant qu'il a besoin de javascript même si le contenu peut être affiché correctement.Et la plupart des fonctionnalités telles que la connexion ne fonctionneront pas.Je ne peux pas faire les choses dont j'ai besoin, donc c'est fondamentalement inutile pour moi.Si vous ne l'utilisez que pour des choses "non dangereuses" comme la lecture de nouvelles, le visionnage de clips vidéo, alors à mon humble avis, installez simplement Linux et soyez généralement en sécurité, sinon il vaut mieux jeter 100 dollars pour un vieux Chromebook ou PC.Je suis sûr qu'ils sont compatibles 64 bits et peuvent installer les logiciels / systèmes d'exploitation les plus récents
@SteffenUllrich l'OP a ajouté une nouvelle modification btw
Merci @user185163: de m'avoir notifié.Je considère que c'est un mauvais style d'apporter des modifications importantes après que les questions d'origine ont déjà obtenu beaucoup de réponses et annulé les modifications.OP devrait poser une nouvelle question si nécessaire.
gnasher729
2018-09-24 16:52:18 UTC
view on stackexchange narkive permalink

Tous les sites Web que vous visitez ne disposent pas de certificats. Vous ne pouvez pas sentir les sites Web de poisson. Le certificat ne signifie pas que le site n'essaye pas de vous pirater.

Le navigateur est le plus gros vecteur d'attaque contre votre ordinateur. Il aura tendance à exécuter au moins du code JavaScript non vérifié, et Dieu sait quoi d'autre. Il traite en permanence les données provenant de sources non fiables.

la plupart des attaques proviennent-elles désormais de JavaScript?ou SQL?
@Ooker SQL n'est pas traité sur votre appareil.Il peut être utilisé en interne par l'application Web, mais il ne quitte jamais le serveur.Les attaques par injection SQL (auxquelles vous faites probablement référence) sont une menace pour les serveurs, pas pour les clients (mais le serveur compromis peut être reconfiguré pour agir de manière malveillante sur les clients).
Ce n'est pas parce qu'un logiciel client expose un exploit qui est exécuté sur un serveur plutôt que dans le client que ** l'utilisateur ** n'est pas en danger.
@Beanluc Oui, mais la plupart de cet impact ne sera pas atténué par un navigateur mis à jour.La principale exception serait l'injection de code / balisage dans le site lui-même, bien sûr.
Bien sûr.Nous parlons d'un navigateur NON mis à jour, n'est-ce pas?
Ils sont sur le point de disparaître, mais il y a aussi des trucs Java, Adobe Flash et Microsoft.
Austin Hemmelgarn
2018-09-25 00:02:39 UTC
view on stackexchange narkive permalink

Chacune de vos déclarations fait une fausse supposition ici:

La plupart des sites Web que je visite ont un certificat SSL.

C'est génial, mais SSL / TLS ne vous protège que contre certains types d'attaques.

À peu près, un site ayant un certificat TLS (valide) signifie simplement que le propriétaire de ce site Web a d'une manière ou d'une autre prouvé qu'il était le propriétaire du nom de domaine utilisé pour accéder au site, dépenser peut-être une très grande somme d'argent pour le faire (ou peut-être n'en dépenser aucune) Habituellement, cela signifie que vous pouvez avoir confiance que le site est bien ce qu'ils prétendent être, à l'exception de l'usurpation de domaine (que je couvrirai en réponse à votre troisième point). Cependant, cela ne veut peut-être pas dire cela (voir par exemple le fiasco qui a fait que tout ce qui était émis par Symantec a été révoqué / non approuvé plus tôt cette année). Ainsi, un certificat TLS vérifie simplement la propriété du site, non pas que le site est légitime ou qu'il fait ce qu'il prétend être.

Les certificats TLS offrent un avantage de protection supplémentaire, ils vous permettent d'utiliser HTTPS. HTTPS fournit exactement deux types de protection s'il est utilisé correctement :

  • Il fournit un niveau de confiance raisonnablement élevé que les données que vous recevez sont les mêmes données que le Web serveur envoyé. Ceci est important pour s'assurer que rien n'a été ajouté ou supprimé du site par un tiers pendant qu'il était en transit vers vous.
  • Cela garantit un niveau de confiance raisonnablement élevé que les données que vous transférez sont non visible en transit par des tiers. C'est la raison pour laquelle il est si important de s'assurer que tout site auquel vous fournissez un mot de passe ou des données personnelles utilise HTTPS.

Cela vous laisse encore ouvert à de nombreuses attaques. Le plus évident est que le serveur Web soit piraté (ou le CDN s'ils en utilisent un). Il y en a d'autres aussi, comme les attaques XSS, les publicités malveillantes (pensez à tous les sites parfaitement légitimes qui ont caché des redirections automatiques vers des sites malveillants en raison des publicités qu'ils utilisent) et les attaques sur TLS lui-même (de telles attaques ne sont pas l'opérateur utilise toujours SSLv2 ou SSLv3, les deux sont connus comme étant cassés). Donc, HTTPS / TLS / SSL en soi n'est pas une protection rigoureuse.

De plus, comme vous l'avez dit vous-même, la plupart des sites Web que vous visitez utilisent TLS, pas tous. Réfléchissez très à la question de savoir si vous devriez vraiment faire confiance aux autres sites qui ne l’utilisent pas, s’ils ne sont pas disposés à prendre les cinq minutes pour configurer leurs serveurs avec des certificats gratuits de LetsEncrypt, quels autres les aspects de sécurité sont-ils en train de réduire les coûts?

La plupart d'entre eux sont soit assez grands pour que je puisse avoir confiance qu'ils ne peuvent pas être piratés, soit suffisamment petits pour que je ne pense pas que ce soit rentable pour les pirates.

N'avez-vous regardé aucune actualité au cours de la dernière décennie? En termes de divulgation publique , il existe des dizaines d'attaques connues contre des sites comptant bien plus de 100 millions d'utilisateurs (c'est un gros site selon les définitions de la plupart des gens, car 100 millions c'est plus plus de 1% de la population mondiale, et probablement plus proche de 3 à 4% du nombre total de personnes sur Internet). Je suggère de jeter un œil à la liste des violations publiques sur Have I Been Pwned?, il y a pas mal de grands noms dessus, y compris ceux qui gèrent des données très sensibles ( Experian par exemple). Donc, non, il n'est pas réaliste de s'attendre à ce que quelque chose soit «trop gros pour être piraté». En fait, les grands sites sont parmi les cibles les plus attractives pour les attaquants, car ils ont beaucoup d'utilisateurs. Ils ont également un bilan notoirement mauvais en matière de divulgation publique des violations de sécurité (ils sont plus incités à ne pas le faire, car ils ont plus de clients potentiels à perdre).

De l'autre côté des choses, les petits sites sont cibles faciles , même si elles ne sont pas attractives. Si vous considérez les grands sites comme des investissements à haut risque pour les pirates, les petits sont des investissements à faible risque. Ils peuvent ne pas donner autant en termes de retours, mais ils donneront souvent des retours beaucoup plus cohérents, ce sont donc toujours des cibles attrayantes.

De plus, sachez que très souvent les attaquants ciblent les logiciels qui est vulnérable, pas nécessairement des sites spécifiques. WordPress est un bon exemple, car il est utilisé sur des sites à la fois petits et grands, et il a été utilisé avec succès à plusieurs reprises dans le passé comme vecteur d'attaque.

Je peux sentir les sites Web de poisson

Tout d'abord, ce n'est pas parce qu'un site n'est pas «louche» que ce n'est pas une menace. Il existe également un certain nombre de sites légitimes qui semblent «louche» selon les définitions de nombreuses personnes.

Deuxièmement, il n'est pas difficile de copier un site légitime tout en faisant des choses illégitimes avec le résultat. L'usurpation de domaine, sous ses différentes formes, est souvent utilisée pour cela. Il y a quelque temps, il y avait un article de blog plutôt bon sur un gros site infosec (que je ne trouve malheureusement pas pour le moment, sinon je le lierais ici) le démontrant avec apple.com.

À titre d'exemple du type de chose que vous devez rechercher mais que vous ne pouvez probablement pas repérer, pouvez-vous faire la différence entre uv et υν? Non, ce n'est pas une question piège, la première est les lettres latines minuscules «u» et «v», tandis que la seconde est les lettres grecques minuscules upsilon et nu. Dans la plupart des polices sans empattement (comme celles utilisées par presque tous les navigateurs dans la barre d'adresse, et la police par défaut sur la plupart des sous-sites SE), ces deux paires de caractères sont presque indiscernables. Même dans de nombreuses polices serif, elles sont difficiles à distinguer pour la plupart des gens. De même, АВ est en fait une paire de caractères cyrilliques, pas latins, et encore une fois, il est impossible de distinguer le latin «AB» dans la plupart des polices. Les deux cas illustrent des exemples d'attaques d'homographes IDN, une technique par laquelle les attaquants tirent parti de la similitude de différents caractères similaires ou identiques pour inciter les gens à suivre leurs liens en les faisant ressembler à des liens vers des sites Web légitimes.

Jolie beaucoup, ne supposez pas que vous serez en mesure de reconnaître un site qui constitue une menace jusqu'à ce qu'il soit trop tard.

E. T.
2018-09-25 22:55:45 UTC
view on stackexchange narkive permalink

Puisque personne ne l'a encore signalé:

Les logiciels antivirus sont bien moins utiles que vous ne le pensez. En fait, si vous demandez à des professionnels de la sécurité, la principale recommandation est de rester en sécurité sera de mettre à jour tous vos logiciels, au-dessus de la recommandation d'exécuter un antivirus - donc exactement ce que vous prévoyez ne pas de faire.

Pourquoi? Tout ce que fait un logiciel antivirus, c'est arrêter les anciennes pandémies connues. Cependant, la plupart des attaques généralisées réussies créent simplement de nouveaux virus et utilisent la fenêtre de temps jusqu'à ce que le logiciel antivirus soit mis à jour pour se propager. Un logiciel antivirus n'est pas une solution miracle, il ne détecte que ce qu'il sait (il y a une détection de comportement mais ce n'est pas très efficace pour aucun des logiciels AV), donc contre les nouvelles attaques, cela aide seulement à avoir moins d'opportunités d'intrusion. Et l'opportunité d'intrusion de loin la moins chère pour les attaquants est un navigateur ou un système de base obsolète.

Donc, oui, il est essentiel que votre navigateur soit à jour si vous vous souciez de l'une des données. du tout sur votre ordinateur. Que vous ayez un antivirus est en fait peu important - cela aide un peu, mais cela ne vous épargnera pas la plupart des nouvelles attaques si votre navigateur ou votre système central sont obsolètes.

Remarque: cela peut être différent si vous exécutez un navigateur en bac à sable. Cependant, à moins que vous ne sachiez que c'est ce que vous faites, vous ne le faites probablement pas. Et je ne suis pas sûr que pour 32 bits, aucune des solutions de sandboxing courantes telles que UWP / Windows App Store est prise en charge. En outre, dans ce cas, les sites Web peuvent toujours être en mesure de voler des données de tous les autres sites Web ouverts, y compris l'onglet de votre site Web bancaire. Ce n'est donc guère idéal.

Cort Ammon
2018-09-25 01:19:01 UTC
view on stackexchange narkive permalink

Vous devriez vous soucier de la sécurité si vous vous souciez de la sécurité.

Si vous vous souciez suffisamment de dire des choses comme "Je peux sentir les sites Web de poisson" ou "La plupart des sites Web que je visite ont des certificats SSL", alors vous vous souciez de la sécurité.

Les attaques sont là. Période. Ne nous trompons pas. Ne prétendons pas que nous sommes immunisés. Prenez Stuxnet. On attribue à Stuxnet la destruction de jusqu'à 1000 centrifugeuses utilisées pour enrichir le combustible nucléaire en Iran. Cela représente au moins des centaines de millions de dollars de dommages. En pratique, une bonne évaluation des risques du point de vue du pays serait encore plus désastreuse.

Vous vous sentez invincible parce que vous visitez des sites avec des certificats SSL? Les ordinateurs touchés par Stuxnet étaient isolés . Il n'y avait aucun fil entre Internet et les ordinateurs infectés. Ils ont toujours été infectés.

La vraie question n'est donc pas "Suis-je en sécurité?" Tu n'es pas. La vraie question est de savoir si vous êtes suffisamment en sécurité . Vaut-il la peine de dépenser un certain nombre de dollars et un certain nombre d'heures pour mettre à niveau? C'est une question d'équilibre. C'est beaucoup plus utile.

Voici un test. Connectez-vous à votre ordinateur. Connectez-vous à quelques sites qui vous intéressent. Maintenant donnez-moi votre ordinateur. Je vais m'en aller avec. Comment vous sentez-vous? Êtes-vous nerveux que je dispose de vos données? Si tout ce que vous avez est un disque dur rempli de jolies photos de chaton, alors vous allez probablement être plus en colère que je suis parti avec votre ordinateur portable. Les ordinateurs portables coûtent cher à remplacer. Mais si vous avez vos informations bancaires sur cet ordinateur, vous serez probablement plus inquiet de ce que je peux en faire. Votre SSN est-il sur cet ordinateur?

Une fois que vous comprenez combien de dégâts peuvent être causés, par rapport au coût de prévention des dégâts, vous pouvez faire un jugement.

Beanluc
2018-09-25 03:01:36 UTC
view on stackexchange narkive permalink

Les mises à jour du navigateur incluent des mises à jour des données de l'autorité de certification et même de son propre certificat. Ces deux éléments ont des dates d'expiration et de nombreux sites Web ne sont pas accessibles du tout par des navigateurs trop anciens, car le certificat SSL ne peut pas être vérifié par ce navigateur trop ancien OU cela aussi -old navigateur ne peut pas vérifier son propre certificat sur le serveur distant. Ainsi, même si vous ne vous souciez pas de la sécurité, vous pouvez vous soucier de l'accès et des fonctionnalités que la validation de sécurité vous apporte.

De plus, au moment où vous «sentez» le caractère louche d'un site Web, vous regardez, il est déjà trop tard pour de nombreux types d'attaques. J'espère que votre ancien système d'exploitation 32 bits ne pourra pas non plus obtenir les mises à jour de son logiciel antivirus.

user121968
2018-09-24 21:27:43 UTC
view on stackexchange narkive permalink

En complément des excellents points d'autres réponses:

Votre logiciel 32 bits est-il toujours régulièrement mis à jour ou s'agit-il d'une ancienne version obsolète?

Une fois qu'un logiciel connecté à Internet cesse de recevoir de nouveaux correctifs de sécurité, il devient vulnérable à chaque nouveau bug ou piratage par la suite.

Oui, Windows 7 est mis à jour régulièrement.Est-ce une compensation suffisante pour un ancien navigateur?
Je veux dire *** TOUS *** les logiciels 32 bits, y compris tous les logiciels installés sur le système d'exploitation 32 bits, pas seulement Windows.
oui, la plupart d'entre eux sont toujours pris en charge.Mais pourquoi le besoin?Ils ne se connectent pas à Internet.Il y a peut-être une chance que j'ouvre accidentellement un fichier infecté, mais pourquoi Windows Defender ne peut-il pas le détecter?
Ma réponse spécifie "logiciel connecté à Internet", mais pour être réaliste ,.tout logiciel sur un ordinateur connecté à Internet est vulnérable, qu'il se connecte ou non au net lui-même.
@Ooker pour développer cela, un logiciel compromis peut parfois permettre à un attaquant d'obtenir un accès root / administrateur complet à la machine, donc à ce stade, même le système d'exploitation est compromis jusqu'à ce que ce bogue soit corrigé.Vous ne faites pas seulement confiance à Microsoft ici, vous faites confiance à tous les éditeurs de logiciels 2 bits fournissant des logiciels obsolètes.
@Ooker Si quelqu'un entre par effraction dans votre porte d'entrée, il peut entrer dans votre chambre et prendre des choses, même si la chambre n'a pas de porte donnant sur l'extérieur.
Tom
2018-09-27 16:29:33 UTC
view on stackexchange narkive permalink
  • La plupart des sites Web que je visite ont un certificat SSL,
  • La plupart d'entre eux sont soit assez grands pour que je puisse être sûr qu'ils ne peuvent pas être piratés, soit assez petits pour que je Je ne pense pas que ce soit rentable pour les pirates informatiques
  • Je peux sentir les sites Web de poisson?

Tout est faux.

La sécurité du navigateur, comme vous l'avez deviné, est importante car sur la plupart des systèmes, aucun autre logiciel ne rencontre si régulièrement des données extérieures à la limite de confiance qui

  • doivent être traitées en temps quasi réel,
  • ne souscrit pas à un format simple et facile à filtrer et
  • est ensuite analysé ou exécuté par un logiciel très complexe qui implémente une cible en constante évolution - ou en d'autres termes: est très susceptible de contenir erreurs d'implémentation, dont certaines peuvent être exploitables.

SSL vous protège contre certains types d'attaques, dont la plupart sont sans importance si l'objectif des attaquants est de compromettre votre machine. Comme son nom plus actuel - TLS - l'indique, son activité est la sécurité des transports , et non la protection de votre navigateur ou de votre machine.

Les sites Web de tous types sont constamment piratés. Les plus petits par des robots automatisés. Le bruit de fond ici est assez étonnant. Si vous avez votre propre serveur, montez vos fichiers journaux pendant une journée et émerveillez-vous devant le nombre considérable de tentatives de connexion à presque tous les ports intéressants, 24 heures sur 24, 7 jours sur 7. Montez les fichiers journaux de votre serveur Web et parcourez les chemins étranges et les routes standard vers les progiciels populaires et non sécurisés. Ce truc ne serait pas disponible s'il ne fonctionnait pas, du moins parfois.

Les grands sites Web, quant à eux, ne sont pas plus sécurisés simplement en étant plus grands. Dans le règne animal, vous devez être le plus grand pour être à l'abri des prédateurs. Si vous êtes juste grand, cela signifie simplement que vous êtes chassé par des lions au lieu de renards. Même chose sur Internet, être un grand site Web signifie simplement que vos acteurs de la menace sont des militants dévoués, du crime organisé, peut-être des États-nations (en fonction de votre entreprise), etc. Le profil de menace change en fonction de votre taille, mais il est tout à fait naïf d'affirmer carrément que cela change pour le mieux.

Vous pouvez probablement sentir des sites Web de poisson, mais pas mal de logiciels malveillants ont été déposés par chargement latéral, par exemple via un réseau publicitaire au lieu des sites Web directement. Cela peut être dû à un CDN compromis que votre site Web totalement insalubre utilise.

Donc, en résumé: la sécurité du navigateur est importante car c'est l'un des plus gros sinon le plus grand trou dans votre périmètre, et vous ne pouvez pas vous protéger de manière adéquate grâce à des habitudes de navigation ou des outils anti-malware, bien que les deux vous aident.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...