Devo indurire IE se utilizzo solo Firefox?

10

Assumi un sistema Windows 7 (probabilmente qualunque versione home viene fornita con la macchina), con le ultime patch del sistema operativo, l'IE più recente e l'ultimo Firefox. Supponiamo inoltre che l'utente utilizzi solo Firefox per la navigazione, mai IE, e che la disinstallazione di IE sia impossibile o poco pratica.

Nel contesto di un utilizzo "più sicuro" durante la navigazione, è sufficiente prendere provvedimenti per indurire Firefox, o devo anche preoccuparmi di IE?

La domanda di fondo è: supponendo che un utente domestico di "Joe Sixpack", ci siano attacchi che mirano a IE che possono essere attivati da azioni intraprese da un utente che non avvia consapevolmente IE per la navigazione web? (E sono mitigati dall'indurimento come suggerito in documenti come questo .)

    
posta bstpierre 16.12.2011 - 17:04
fonte

3 risposte

12

I'm guessing that uninstalling IE is impossible or impractical.

Vai a Pannello di controllo - > Disinstalla un programma - > Attiva o disattiva le caratteristiche di Windows. Qui puoi deselezionare Internet Explorer.

Devi anche indurire IE. Un'applicazione può avviare o incorporare una finestra di IE che può essere utilizzata per ottenere il controllo del sistema. Prendi in considerazione questo attacco: un utente malintenzionato pubblica una pagina Web che utilizza un exploit di esecuzione di codice remoto da 0 giorni in Firefox per avviare una finestra di IE che visita una pagina che ospita un exploit di privilegio-escalation in IE.

    
risposta data 16.12.2011 - 17:12
fonte
0

Se utilizzi Outlook, allora sì, devi aggiornare IE per essere sicuro quando visualizzi i messaggi di posta elettronica.

Microsoft Outlook, il riquadro di anteprima e all'apertura di un messaggio e-mail utilizzano tutti una variante di Internet Explorer che viene aggiornata solo quando si aggiorna Internet Explorer. Questo è vero anche se si sceglie di installare tenere aggiornati i binari di MS Office, che sono anche necessari, ma per ragioni diverse.

    
risposta data 21.05.2013 - 02:41
fonte
0

Risposta breve, sì.

Una ragione è che stai aumentando la superficie di attacco senza mantenerne parte. Un altro è che gli avversari continuano a provare exploit vecchi di decenni proprio per questa ragione. Firefox non è un firewall o IDS / IPS progettato per proteggere le parti interne del sistema. Ricco e interattivo, è progettato per una piacevole esperienza, con sandboxing e altre protezioni imbullonate, facendo affidamento su cose che non controlla come: giochi, plug-in, il livello di rete (HTTP2 ne offusca un po '), lo sviluppo delle funzionalità e le interazioni con il sistema operativo (pieno di librerie IE), ecc.

Il consiglio di

@pdubs per rimuovere IE funziona da quella prospettiva. Gli exploit spesso rilevano solo un browser Mozilla, rilasciano uno 0-day tramite Java / Flash / etc, quindi offrono un vecchio exploit che dovresti avere patchato.

La rimozione di IE potrebbe non rimuovere le librerie necessarie a Windows per il rendering dell'HTML; le impostazioni predefinite del browser non influiscono sul motore di rendering dell'intero sistema. Firefox avrà ancora tutte le sue funzionalità e, sebbene Windows avvisi su download non affidabili e l'escalation dei privilegi, non è infallibile. Ho visto compromessi di sistema in cui IE e Firefox sono stati configurati per utilizzare le impostazioni proxy del sistema (che non è l'impostazione predefinita di Firefox, grazie a @void_in). Probabilmente il problema proveniva da un download che comprometteva uno di Windows o IE, aggiungeva malware a IE (se IE fosse indurito avrebbe dovuto bloccarlo) e quindi proxyva entrambi i browser sotto controllo antagonista.

Ecco alcuni aspetti della configurazione della sicurezza avanzata di IE, perché IE è così profondamente coinvolto nel sistema operativo :

  • La Intranet locale è limitata, perché può condividere le tue credenziali, influendo sull'accesso alle condivisioni UNC (rete e locale). Gli strumenti di gestione standard di Windows vengono aggiunti a questa zona perché le modifiche apportate al browser limitano effettivamente la gestione di Windows.
  • La zona attendibile viene modificata, interessando tutte le applicazioni, non solo IE. Windows Update e Error Reporting sono aggiunti a questa zona, perché ora hanno anche bisogno di permessi aggiuntivi.
  • ActiveX è disabilitato. Blocca i programmi in esecuzione dal web, l'installazione dei componenti di Windows, ecc. Questa è un'area così importante che Microsoft ha anche "killbits" per disabilitare specifici componenti.
  • Lo scripting (non solo un tipo) è disabilitato; le ricche applicazioni Windows che richiedono lo scripting web potrebbero non funzionare.
  • In previsione di future minacce, le modifiche includono la disattivazione di plug-in di terze parti (lo stesso tipo di elementi attivati in Firefox), l'installazione di componenti Internet e IE su richiesta, la disattivazione del compilatore / macchina virtuale just-in-time, i supporti riproduzione di contenuti, musica, animazioni, videoclip, revoca di certificati, abilita la verifica dell'identità del programma, disabilita il salvataggio di dati temporanei protetti e cancella i file temporanei all'uscita.
  • Riduce le funzionalità che interessano il Web, le applicazioni basate sul Web, la rete locale, l'assistenza, il supporto e l'assistenza generale dell'utente, perché la sicurezza è più importante dell'essere un browser.

    E questo è solo a metà pagina.

Windows Firewall può darti un'idea di come le zone IE interagiscono con Windows e la tua rete. Il numero di impostazioni potrebbe aiutare a capire perché desideri utilizzare alcuni strumenti di blocco, ma in modo realistico ...

Il tuo Joe Sixpack potrebbe essere frustrato dalla maggiore sicurezza mentre si sta ancora impegnando in comportamenti rischiosi (come un codec non verificato). Defense In Depth (OWASP) qui potrebbe consistere in normali patch e attenuazioni specifiche per la distribuzione. È possibile mantenere una configurazione standard, regolando le modifiche, quindi eseguire nuovamente il reimage e patch di backup occasionalmente. Il sistema si romperà comunque ( Inevitability of Failure ... ).

    
risposta data 20.03.2015 - 07:29
fonte

Leggi altre domande sui tag