Огляд браузерів з точки зору безпеки та технічної сторони

У наш час складно уявити настільний комп’ютер, ноутбук, планшет або смартфон без браузера, адже за допомогою нього ми щодня споживаємо багато контенту: від читання новин до перегляду лонгрідов із зображеннями та відео. Кожен браузер привносить свій певний досвід використання. Будь то відображення сайту, його використання або пристрій, з якого переглядає сторінки користувач.

Перший браузер з’явився в 1990 році, а розробив його Тім Бернерс-Лі, батько Всесвітньої павутини. З тих пір прогрес йшов з дивовижною швидкістю і те, що тоді могло вважатися революцією, зараз здається буденністю.

Веб-розробнику важливо адаптувати свій сайт на актуальної версії браузера, але не забувати і про попередні, а також про інші платформи.

Перевірити відображення контенту на різних браузерах можна тут:

В цілому, без адаптивної верстки один і той же сайт на різних браузерах (більш того, на різних версіях браузера) може відображатися по-різному.

Більш детально про кросбраузерність можна почитати в нашому блозі.

Нижче розглянемо кілька браузерів, їх движки, подивимося на їх відмінності, а також торкнемося їх безпеки.

Основні движки

Спочатку розберемося, що таке движок браузера. Якщо коротко, то це програма, яка перетворює набір команд і рядки коду в повноцінну красиву веб-сторінку. І вже на основі движка розробляється браузер, викривається в більш привабливу форму і в підсумку стає user-friendly. Тобто движок — це ядро, а браузер вже оболонка. Так, наприклад, самий популярний движок Blink (в рамках проекту Chromium) використовується на різних браузерах — на Google Chrome і Opera.

На даний момент актуальний список браузерних движків виглядає так (у дужках відсоток використання на 2019 рік):

  • Trident — Microsoft Internet Explorer 4.0-11.0 (6,81%).
  • Gecko — Firefox (8,9%), Tor, Firefox mobile (1,90%) поштовий клієнт Thunderbird.
  • EdgeHTML — Microsoft Edge (4,61%).
  • WebKit — Apple Safari (4,0%) (у т. ч. для iOS (27,54%) і Steam.
  • Blink — Google Chrome (67,29%) (у т. ч. для Android (63,35%)), Chronium, Opera (1,60%), ” Яндекс.Браузер (0,80%) і Microsoft Edge. Є відгалуженням WebKit.

Нижче коротко розглянемо історію кожного движка.

Blink і WebKit

Blink є найпопулярнішим браузерних движком. Використовується Google Chrome і в браузерах на його базі, наприклад, Opera і Яндекс.Браузер. Один з основних розробників Google, але розробка підтримується з допомогою десятка компаній.

У 2019 році Microsoft вирішила не винаходити велосипед і анонсувала запуск Edge на движку Blink в рамках проекту Chronium. Раніше частина сервісів могли відсіювати користувачів браузера від Microsoft User Agent, тому виникали деякі відмінності в поведінці браузерів, і частина особливостей поведінки та функцій, які зустрічаються у Chronium, могли впроваджуватись Edge із запізненням.

Так як відмінності движка позначалися на комфорті кінцевих користувачів і розробників, Microsoft вирішила впровадити в Edge Chronium. Також це дозволить встановлювати користувачам розширення для Edge, сумісні з тим же Google Chrome, а інтерфейс наблизиться до браузера від Google.

Blink витік з іншого популярного движка — WebKit. Його розробили Apple в 2000 році на основі движка KHTML, який використовувався в браузері для Nokia Series 60. Google Chrome з 2008 по 2013 рік працював на WebKit. Але в 2013 році Google з деякими змінами скопіювали ядро у Apple для подальшої його модифікації, оптимізації та в результаті впровадження в Chrome. Поява нового движка ускладнила життя веб-розробників, але змусила ринок розвиватися більш швидкими темпами.

Зараз на Webkit працює браузер Apple Safari як MacOS, так і на мобільного iOS.

Trident і EdgeHTML

У Microsoft є два браузерних движка: Trident і EdgeHTML, більш пильний погляд можна кинути тільки на останній, т. к. Trident був закритий ще в 2015 році. Але для історії:

Trident був розроблений Microsoft Internet Explorer 4.0 в 1997 році і підтримувався аж до виходу Windows 10. Для користувачів вважався самим невдалим движком. Він не міг похвалитися підтримкою сторонніх розширень, некоректно відображає веб-сторінки, а його швидкість роботи залишала бажати кращого. Крім того, постійні зависання не давали плюсів браузера.

Хоч Microsoft більше не підтримує Trident, користувацька база Internet Explorer майже 7%. Але адаптувати сайти для нього все важче і важче.

У Windows 10, Edge Microsoft взяли базу Trident і вже на її основі розробили EdgeHTML. Над движком попрацювали на славу: за даними результатів деяких тестів продуктивності, браузер, Edge перегнав Chrome і Firefox. Але варто сказати, що завантаження сторінок Edge дійсно була миттєва, і це вражало.

У 2019 році Microsoft відмовляються від подальшої розробки EdgeHTML на догоду Blink і Chromuim.

Gecko і Quantum

Движок Gecko призначений для браузера Firefox, досить популярного, але нині не лідируючого браузера. Поштовхом до розробки послужила перша війна браузерів, де змагалися Internet Explorer і Netscape Navigator (практично лідер на ринку в 90-х). Перемога була за IE, він зайняв близько 90% ринку. А розробники NN опублікували вихідні коди, які опинилися в дуже поганому стані.

На основі цього було вирішено переписати движок з нуля. На старті носив назву «Raptor», потім «NGLayout» і в підсумку знайшов свою остаточну назву «Gecko».

Firefox обіймав свою частку на ринку, але не хотів бути відстаючим від Chrome. За деякими дослідженнями, до 2010 року Firefox володів третю ринку (31,6%), в 2010 кількість установок знизилася до 23,2%, а в 2017 і зовсім до 13%. Порівняно з Google Chrome (67,2%), це мізерні цифри.

Тому в Mozilla постало завдання про залучення нових користувачів. І першим кроком був анонс нового проекту — Quantum, в рамках якого почалася розробка вдосконаленого енергоємного движка.

У листопаді 2017 року Firefox оновився до 57 версії, яка привнесла серйозні зміни. У назві красувалося «Firefox Quantum», браузер став використовувати переваги багатоядерних систем за аналогією з Chrome, отримав новий інтерфейс, який, до речі, став «легше» та інтуїтивніше.

Браузер отримав новий API-інтерфейс розробки додатків, Firefox 57 підтримує тільки розширення, створені з допомогою WebExtension. Це новий метод розробки, який повинен уніфікувати процес створення плагінів і оптимізувати роботу багатоядерних системах.

Хоч більшості користувачів сподобалася нова версія «вогняної лисиці», частка Firefox в червні 2019 року склала 8,9%.

Безсумнівно, браузерний двигун — це серце будь-якого браузера, але, як мовиться, не движком єдиним. Для більшості користувачів важливо щоб їх дані залишалися конфіденційними, а самі користувачі відчували себе в безпеці. Тому розробники безперервно шукають лазівки, посилюють безпеку своїх продуктів, але все ж рекомендують спільно з браузером використовувати хороший антивірус.

Нижче ми розглянемо, що можуть запропонувати найбільш популярні браузери для безпеки свого користувача.

Safari

Компанія Apple дуже стурбована безпекою користувачів. Вона постійно розвиває Safari і робить великий акцент на функції захищеного перегляду. У цьому режимі Safari не веде запис історії відвідувань, завантажуваних додатків і документів, не зберігає cookies і пошукові запити.

У браузері від Apple є вбудована функція блокування спливаючих вікон. Також в браузері вбудовані технології, які не допускають відкриття спаму, фішингових сайтів, що поширюють шкідливе ПЗ, а підтримка EV-сертифікатів маркує легітимні сайти.

У браузері є підтримка технології безпечного шифрування. Це потрібно для запобігання перехоплення сеансу з’єднання і спроби шахрайства при роботі в мережі. Також є підтримка аутентифікації на основі реєстрації на безпечних сайтах і найбільш популярних проксі-протоколів.

Навесні 2019 року Apple анонсувала вхід з допомогою Apple ID на різних сайтах, де веб-розробник визнає за необхідне додати таку функцію. Особисті дані користувача залишаться в безпеці, адже замість його адреси електронної пошти генерується одноразовий спеціальний адресу. За заявами Apple, вона не буде використовувати дані про те, хто які сайти відвідує. Користувач сам зможе відключити обліковий запис від будь-якого сайту або програми.

Google Chrome

Одна з головних особливостей Chrome — це багатозадачність, тобто кожна вкладка створює окремий процес, щоб убезпечити вкладку сусідню. В разі чого, несправну вкладку можна закрити окремо і не втратити незбережені дані в інших.

Але в цій особливості криється проблема для слабких ПК. Кожна вкладка — це окремий процес, і, якщо відкрито багато вкладок, відбувається велике навантаження на оперативну пам’ять. У такому разі ПК може не справлятися, а браузер підвішувати.

У 2010 році Google вбудувала Adobe Flash в браузер, щоб позбавити користувача від необхідності завантажувати його окремо.

З травня 2018 року Chrome почав позначати небезпечними все HTTP сайти і порекомендував переключитися на HTTPS.

Також Chrome періодично завантажує оновлення двох чорних списків, які складаються з фішинг-сайтів та сайтів, на яких може перебувати шкідливе ПО. При спробі зайти на сайт одного з списків, висвічується відповідне попередження.

Пропонуємо пройти тест, ви зможете розпізнати фішингову атаку.

Автоматичного завантаження виконуваних файлів компанія Google сказала ні. Перш ніж завантажити виконуваний файл, необхідно натиснути кнопку «зберегти». Зроблено це для того, щоб убезпечити користувачів від автозагрузок шкідливого ПО. Також в Chrome присутній режим «інкогніто». За заявами Google, популярні сторінки, паролі, cookie автоматично зникнуть після закриття вкладок.

У 2019 році вийшло 76-е оновлення браузера, в якому вдалося усунути уразливість, яка дозволяла сайтів визначати при заході на сайт, використовується режим інкогніто чи ні. Ця проблема ґрунтувалася на перевірці наявності Chrome FileSystem API, який був відключений в новій версії, щоб дії користувача на пристрої не залишали слідів.

Тепер сайтів, у яких є лічильник безкоштовного контенту, необхідно було шукати нові способи блокування після певної кількості відвідувань. Але навіть після вищеописаної заходи знайшли новий спосіб, який дозволяє відстежити, в якому режимі користувач заходить на сайт.

Стало відомо, що Chrome для файлової системи виділяє сховище у внутрішній пам’яті, максимальний об’єм якого складає 120 мбайт. Це дозволяє відстежувати режим інкогніто з високою швидкістю.

Microsoft Edge

Microsoft запевняє, що браузер Edge більш безпечний інших оглядачів. Засноване це на дослідженні NSS Labs — організації, що оцінює рішення в області безпеки. 304 фішингових сайтів і шкідливого соціально-інженерного софта були вивчені. Було виявлено, що SmartScreen — опція захищеності Edge — заблокувала 99% атак на основі методів соціальної інженерії, Firefox впорався на 78,3%, а Chrome заблокував 85,8%.

Як раз SmartScreen — основний вектор Microsoft в області безпеки. SmartScreen з’явився ще в Internet Explorer 7 і з тих часів тільки розвивався. Але SM не є гарант безпеки, Microsoft рекомендує використовувати Edge в зв’язці з хорошим антивірусом.

В Edge, як і Chrome, реалізована технологія пісочниці, тобто всі вкладки утворюють окремі процеси, що дозволяє жити вкладок окремо один від одного.

За аналогією з іншими браузерами, Edge є функція «InPrivate», вона дозволяє при використанні вкладок або вікон у режимі InPrivate не зберігати дані браузера на комп’ютері після завершення перегляду.

Opera

Головною фішкою в Opera Opera mini, за заявою самих Opera Software, є вбудований безкоштовний VPN, який дозволяє працювати з розширеними налаштуваннями конфіденційності. Але польський дослідник Міхал Шпачек з’ясував, що вбудований в Opera VPN не є ним, це лише переконфігурований HTTPS проксі.

Коротка витримка російською з посиланням на оригінал.

Також зручно, що Opera Opera mini для Android використовує вбудований блокувальник реклами. Користувачеві немає необхідності витрачати час і шукати потрібне розширення в магазині аддонов. Opera піклується про своїх користувачів, тому вбудований блокувальник реклами також запобігає майнінг кріптовалюти з комп’ютера користувача.

Як і у всіх сучасних браузерах, в Opera є приватний перегляд. Після закриття приватної вкладки браузер очистить всі відомості про мережевої активності користувача. Закриту вкладку неможливо відновити за допомогою списку «нещодавно закритих» вкладок. Але якщо є необхідність, то самостійно можна зберегти пароль, файл або сайт на початковому екрані.

Opera, як і Chrome, періодично завантажує чорні списки фішингових або сайтів-шахраїв і при відвідуванні одного з сайтів зі списку показує відповідний значок.

У браузері також можна вручну налаштувати уподобання і визначити тип інформації, яку користувач бажає ділитися з тим або іншим сайтом.

Firefox

Якщо по цифрам браузер від Mozilla і відстає від того ж Chome, але з безпеки він як мінімум рівня. У Firefox передбачено і внутрішній блокувальник вмісту, і функція «не відстежувати», і визначають безпеку сайту значки, і попередження про небезпечний введенні пароля, коли сторінка не використовує захищене з’єднання. Mozilla робить все, щоб користувач відчував себе в безпеці, коли використовує Firefox.

Особливістю даного браузера є дуже докладні інструменти розробника, які допомагають усунути помилки в коді.

Також на сторінці допомоги є величезний FAQ з безпеки в Firefox і не тільки. Рекомендуємо до ознайомлення.

Tor

І якщо ми заговорили про безпеку, то, звичайно ж, варто відзначити браузер Tor і внутрішні Onion мережі. Безумовно, ниженаписанное не гарантує повну безпеку користувача і його пристрою, але на частку забезпечити зможе.

Сам браузер з’явився в 2008 році. Хоча розробка системи почалася ще в 1995 році. Система має вільну ліцензію, а відкритий вихідний код.

Ідея браузера — дати користувачеві реальну свободу і анонімність. Але нерідко цим користуються заради злих намірів. Раз браузер забезпечує повну анонімність і свободу, значить, там можна робити те, чого не можна в інших браузерах.

Наприклад, в onion мережі багато майданчиків для продажу і розповсюдження заборонених речовин, зброї, контенту, який не дозволено у багатьох країнах. Трьома словами — величезний чорний ринок. Також Tor дозволяє переходити на ресурси, доступ до яких заблоковано по тим або іншим причинам. Через цей браузер можна заходити на всі сайти, які занесені до єдиного реєстру заборонених інтернет-ресурсів в РФ.

Браузером користуються журналісти, соціальні працівники, громадські організації і спецслужби. Часто через Tor проводяться транзакції по криптовалютам, т. к. IP-адреса прихована, а адреса крипто-гаманця не змінюється.

Зовсім коротко описати принцип роботи можна так: перш ніж даними потрапити через вихідний сервер у зовнішній світ, дані проходять через три власних вузла (нода). Дані між вузлами зашифровані, а ключі від шифрів знають тільки самі вузли. У результаті на виході користувач не залишає на сайті ніяких слідів відвідування.

Важливо розуміти, що Tor — аномайзер трафіку, а не його шифровщик. Щоб залишитися захищеним, до доповнення до Tor бажано користуватися VPN, а також застосовувати протокол HTTPS, коли це можливо.

Варто пам’ятати і про те, що швидкість передачі інформації залишає бажати кращого. Справа в тому, що IP користувача шифрується, проходячи через безліч проксі-серверів, розташованих по всьому світу. Постійна переадресація і призводить до зниження швидкості завантаження сторінок.

Правда про Onion доменах

Згідно Вікіпедії, .onion — псевдо-домен верхнього рівня. Створений для забезпечення доступу до анонімним або псевдо-анонімними адресами Tor мережі. Подібні адреси не можуть бути повноцінними записами DNS, і інформація про них відсутня в кореневих DNS серверах. Але якщо встановити додаткове ПО для виходу в мережу Tor, програми, що працюють з інтернетом, отримують доступ до сайтів у доменній зоні .onion, відправляючи запит через мережу серверів Tor.

Згідно Вікіпедії, .onion — псевдо-домен верхнього рівня. Створений для забезпечення доступу до анонімним або псевдо-анонімними адресами Tor мережі. Подібні адреси не можуть бути повноцінними записами DNS, і інформація про них відсутня в кореневих DNS серверах. Але якщо встановити додаткове ПО для виходу в мережу Tor, програми, що працюють з інтернетом, отримують доступ до сайтів у доменній зоні .onion, відправляючи запит через мережу серверів Tor.

Але Tor не є гарантом безпеки. Тому для забезпечення цілковитої анонімності і секьюрності існують операційні системи, які захищені від витоку IP і DNS. Найвідоміші — це Whonix і Tails.

Якщо вам цікава тема Тора і даркнета в цілому або є запитання, відповіді на які бажаєте отримати, залишайте ваші коментарі — ми напишемо статтю на цю тему.

Підсумок

Крім тих браузерів, що описані в статті, існує ще величезна кількість на будь-який смак і колір, і перерахування може зайняти не одну годину. Але більшість з них або нічим не відрізняються один від одного, або були створені для вузьконаправлених цілей. У статті лише озвучені монстри, які міцно зайняли свою позицію і полюбилися мільйонам користувачів. Вибирайте той, який вам зручніше.

Хочете, щоб перевірили сайт на помилки, які можуть бути критичними? Повідомте нам — проведемо аудит сайту, складемо докладний звіт про помилки і дамо рекомендації по їх виправленню або виправимо самі.

Степан Лютий

Обожнюю технології в сучасному світі. Хоча частенько і замислююся над тим, як далеко вони нас заведуть. Не те, щоб я прям і знаюся на ядрах, пікселях, коллайдерах і інших парсеках. Просто приходжу в захват від того, що може в творчому пориві вигадати людський розум.

Вам також сподобається...

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *