Pourquoi les navigateurs transmettent-ils leurs informations de version au serveur Web?


0

La question suppose tout. Si mon navigateur firefox met quelque chose comme "..Gecko/xxyy Firefox/nn.mm .." dans l'attribut USER_AGENT, alors du point de vue de la sécurité, n'est-ce pas une invitation ouverte au serveur web: venez et exploitez tout vulnérabilités dans ma version xx.yy?

De nombreux utilisateurs en ligne savent qu'ils ne doivent pas mettre à jour leurs navigateurs pendant longtemps (en particulier ceux qui utilisent des distributions stables comme debian ou centos). Ici, ils sont ouvertement exposés à toute vulnérabilité connue exploitée dans leurs navigateurs obsolètes.

Il y a quelques années, vous auriez pu argumenter que le serveur web pourrait sortir un contenu compatible basé sur le type de navigateur (IE/Firefox/Safari/etc ..), mais avec la standardisation de HTML, CSS, etc. Je ne pense pas que cet argument existe maintenant en 2013. Si quelque chose, cela ajoute un trou de plus dans une pléthore de complexités qui doivent déjà être traitées dans la sécurité du réseau. Tu ne le crois pas?

+3

Ces distributions stables renvoient généralement les correctifs de sécurité. Et un navigateur non sécurisé n'est pas sécurisé, peu importe s'il tente de cacher son numéro de version. 10 août. 132013-08-10 23:12:33

  0

"un navigateur non sécurisé n'est pas sécurisé, peu importe s'il tente de cacher son numéro de version" - D'accord, mais ça le rend toujours aussi facile. Par exemple, juste en regardant les logs du serveur, vous pouvez dire: 'Aha, cette IP semble avoir une vulnérabilité de x.y du navigateur, alors laissez-moi l'exploiter'. Masquer les informations de version empêcherait cela d'arriver. 10 août. 132013-08-10 23:19:01

+4

Ou vous pouvez simplement envoyer tous les exploits de toute façon et voir lequel se déclenche. 10 août. 132013-08-10 23:24:31

  0

@LucasKauffman - Ce que font la plupart des serveurs d'infection actuels. Brillante idée de sécurité par une question d'obscurité qui est éclipsée par la réalité. 10 août. 132013-08-10 23:56:42

2

Il s'agit également d'une invitation ouverte à utiliser la version appropriée des scripts pris en charge par le navigateur. Malheureusement, pour avoir un web utilisable, le serveur doit savoir quel type de navigateur il traite et faire des ajustements en fonction de ces informations. Oui, il est plus facile de cibler une attaque, mais quelqu'un pourrait également lancer un tas d'attaques sur la page et espérer que l'une d'elles fonctionne. C'est un risque assez limité avec beaucoup d'avantages. Les navigateurs les plus paranoïaques le désactivent ou le font semblant, mais cela a un coût de fonctionnalité réduit sur les sites visités.


1

Quel est le modèle d'attaque du serveur. Si vous effectuez un exploit javascript ou actif basé sur X sur le navigateur, l'analyse de la chaîne de l'agent utilisateur peut le réduire un peu, en supposant que le navigateur en question dit la vérité. Mais étant donné la rapidité avec laquelle il pourrait exécuter du code, j'imagine qu'il serait aussi facile pour l'auteur du malware de cibler la plate-forme où sa charge utile fonctionnera et de déclencher l'exploit sans discernement. Si vous sauvegardiez des adresses IP pour une reconnaissance ultérieure, je pense que la chaîne d'agent utilisateur pourrait être un outil utile pour choisir les cibles à analyser en premier.