Почему браузеры выгружают информацию о своей версии на веб-сервер?


0

Вопрос предполагает все. Если мой браузер firefox добавляет что-то вроде «..Gecko/xxyy Firefox/nn.mm ..» в атрибуте USER_AGENT, то из точки зрения безопасности это не открытое приглашение на веб-сервер: придите и используйте все уязвимости в моей версии xx.yy?

Многие интернет-пользователи знают, что они не обновляют свои браузеры в течение длительного времени (особенно те, которые используют стабильные дистрибутивы, такие как debian или centos). Здесь они открыто подвергаются любой известной уязвимости, которая используется в устаревших браузерах.

Несколько лет назад вы могли утверждать, что веб-сервер может выводить совместимый контент на основе типа браузера (IE/Firefox/Safari/etc ..), но со стандартизацией HTML, CSS и т. Д. Я не уверен, что этот аргумент будет иметь место в 2013 году. Если что-нибудь, это добавляет еще одну дыру в множество сложностей, которые уже нужно решать в сетевой безопасности. Разве вы так не думаете?

+3

Эти стабильные дистрибутивы обычно включают исправления безопасности в обратном порту. И небезопасный браузер небезопасен, независимо от того, пытается ли он скрыть свой номер версии. 10 авг. 132013-08-10 23:12:33

  0

«небезопасный браузер небезопасен, независимо от того, пытается ли он скрыть его номер версии» - согласился, но он все еще делает это так просто. Например, просто взглянув на серверные журналы, вы можете сказать: «Ага, этот IP, похоже, имеет уязвимость браузера x.y, поэтому позвольте мне использовать его». Скрытие информации о версии предотвратит это. 10 авг. 132013-08-10 23:19:01

+4

Или вы можете просто отправить все эксплойты в любом случае и посмотреть, какой из них запускается. 10 авг. 132013-08-10 23:24:31

  0

@LucasKauffman - Это то, что делают большинство текущих серверов заражения. Яркая идея безопасности по неясному вопросу, которая превзойдена реальностью. 10 авг. 132013-08-10 23:56:42

2

Это также открытое приглашение использовать соответствующую версию скриптов, поддерживаемых браузером. К сожалению, чтобы иметь полезную сеть, сервер должен знать, с каким браузером он работает, и вносить корректировки на основе этой информации. Да, легче настроить таргетинг на атаку, но кто-то может просто наложить на страницу кучу атак и надеяться, что один из них работает. Это довольно ограниченный риск с большой пользой. Самые параноидальные браузеры отключают или подделывают его, но это связано со снижением функциональности на посещаемых сайтах.


1

Какова модель атаки сервера. Если вы используете javascript или активный X-эксплоит в браузере, тогда анализ строки User agent может немного сузить его, предполагая, что браузер, о котором идет речь, говорит правду. Но учитывая, как быстро он может выполнить код, я бы предположил, что автору вредоносных программ будет так же легко ориентироваться на платформе, где будет работать их полезная нагрузка, и без предупреждения разблокировать эксплойт. Если вы сохраняли IP-адреса для последующей разведки, я думаю, что строка пользовательского агента может быть полезным инструментом при выборе целей для сканирования.