Browsers patchen zonder de gebruiker te informeren, heeft ervoor gezorgd dat Chrome de veiligste browser is. Dit zegt Google, die voor die claim verwijst naar onderzoek dat het heeft uitgevoerd in samenwerking met het Zwitserse Federale Instituut voor Technologie (ETH). Daaruit blijkt dat updaten zonder melding, zorgt voor veiligere en stabielere browsers.

Security-fixes en verbeteringen voor functies hebben geen nut voor de eindgebruiker als het updatemechanisme niet effectief is, stellen onderzoekers Thomas Duebendorfer en Stefan Frei. Eerstgenoemde is in dienst van Google Zwitserland. Zij hebben de effectiviteit van systemen voor browserupdates geanalyseerd. "Van Google Chrome's stille updatemechanisme tot Opera's update die een volledige herinstallatie vereist." Naast de eigen browser en Opera zijn ook Mozilla Firefox, Apple Safari en Microsoft Internet Explorer (IE) getest.

Safari en Opera scoren slecht

Volgens de onderzoekers doen Apple en Opera het niet goed met de beveiliging van hun browsers. "De slechte update-effectiviteit van Safari en Opera geven kwaadwillenden flink de tijd om bekende exploits te benutten om gebruikers van verouderde browsers aan te vallen", schrijven Duebendorfer en Frei.

Slechts 53 procent van de Safari 3.x-gebruikers installeert een nieuwe update binnen drie weken. Bovendien moeten mensen die Safari 3.2 draaien, eerst een update voor OS X (versie Tiger of Leopard) installeren voordat ze nieuwe browserupdates kunnen krijgen. Dat vertraagt de vlotheid van het patchproces voor de browser, aldus de Google-onderzoekers. In de drie weken na de release van Safari 3.2.1 was die update door slechts 33 procent van de gebruikers geïnstalleerd.

De browser van Opera checkt één keer per week of er nog patches zijn. Een update vereist echter een volledige herinstallatie van de browser. Volgens de onderzoekers hindert dat omslachtige proces de patch-snelheid. Ongeveer een kwart (24 procent) van de Opera 9,x-gebruikers heeft een nieuwe versie geïnstalleerd in de drie weken na de release daarvan. Opera wil met ingang van versie 10 een auto-update invoeren.

Firefox tweede

Mozilla Firefox staat op de tweede plaats, met 85 procent van de gebruikers die binnen drie weken hebben geüpdate. Firefox geeft meldingen dat er updates zijn en dringt aan op het installeren daarvan.

Internet Explorer is niet zo volledig gemeten als de andere browsers, omdat het (de user agent-string) uit beveiligingsoverwegingen niet de exacte subversies meldt aan websites. Toch komt IE redelijk uit het onderzoek; het wordt ingeschaald tussen Firefox (nummer twee) en Safari (nummer drie).

Updates voor Microsofts browser komen automatisch mee met die voor het besturingssysteem. Gebruikers kunnen dat uitschakelen. De onderzoekers hebben echter kritiek op Patch Tuesday van Microsoft. Die geeft kwaadwillenden te veel tijd. De Windows-producent wijkt een enkele keer af van zijn maandelijkse patchronde om een heel kritiek beveiligingsgat te dichten.

"Een vast patch-schema is voornamelijk voordelig voor de patch-beheerprocessen van grotere organisaties. Dat zijn organisaties die over het algemeen al beter beschermd zijn tegen internetdreigingen dan de massa van individuele gebruikers", stellen de onderzoekers. Zij pleiten voor sneller updaten van browsers en plugins daarvoor omdat online-dreigingen steeds meer gericht zijn op webapplicaties bij eindgebruikers.

Kan niet uit

Chrome gebruikt de Google Updater om te kijken of er updates zijn, ook als de browser zelf niet aanstaat. Uit het onderzoek blijkt dat 97 procent van de Chrome 1.x-gebruikers binnen drie weken na release op de nieuwste versie zit. Het updatemechanisme van Chrome is nu ook net als open source beschikbaar gesteld.

De Google-browser staat default ingesteld om elke 5 uur te controleren op updates. Als er een update is, wordt die automatisch gedownload en geïnstalleerd bij de volgende keer dat de browser wordt gestart. Deze praktijk is ook apart genoemd in de eindgebruikersovereenkomst (eula, punt 11). Dit is om gebruikers zo veilig mogelijk te houden. De stille auto-update is niet uit te schakelen. Gebruikers en beheerders hebben daar wel herhaaldelijk om gevraagd.

45,2 procent surft onveilig

Dit onderzoek is gebaseerd op geanonimiseerde logs van de wereldwijd verspreide webservers van de marktdominante zoekmachine. In juli vorig jaar hebben Google en ETH al een soortgelijk onderzoek gedaan naar de patch-levels van browsers. Daaruit bleek dat miljoenen mensen hun browsers - en plugins daarvoor - niet patchen. Zo'n 40 procent van de websurfers, ongeveer 600 miljoen mensen, gebruikt een verouderde versie van browsers als IE en Firefox.

De uitvoerders van dat onderzoek, waaronder Stefan Frei van het ETH, spraken al van een 'onveiligheidsijsberg'. Slechts een klein aandeel van websurfers is veilig, terwijl de grootste dreiging onder water zit. Dat blijkt nu nog steeds het geval. Duebendorfer en Frei zeggen nu dat 45,2 procent van alle websurfers niet de nieuwste versie van hun browser gebruiken.

Beheer

Automatisch updaten is dus goed voor de thuisgebruiker. Maar Chrome kan ook worden gebruikt binnen bedrijven. En de beheerder heeft het wat minder op automatische updates. Met dit onderzoek lijkt Google zich vast te bijten in het standpunt dat automatisch updaten goed is, zonder dat je die update uit kunt zetten of zelf kunt regelen.

Bron: Techworld