Đánh giá mức độ bảo mật các trình duyệt web

Có một sự thật phải chấp nhận đó là - không có trình duyệt nào được coi là “an toàn” tuyệt đối. Theo báo cáo năm 2015 của Cơ quan Liên minh châu Âu về mạng và bảo mật thông tin (ENISA), các cuộc tấn công trên Website như sử dụng URL độc hại, khai thác lỗ hổng trình duyệt là mối đe dọa rất lớn, đứng top đầu trong các mối đe dọa an ninh mạng hiện nay.  Tuy nhiên, điều đó không có nghĩa là việc đảm bảo an toàn cho trình duyệt của bạn là điều không thể. Hằng năm, các trình duyệt web phổ biến như Chrome, Firefox, Internet Explorer, Safari, Opera… đều đưa ra những phiên bản nâng cấp của mình, ngoài các tính năng được bổ sung thêm thì phần rất được chú trọng đó là bản vá lỗi cho các lỗ hổng được phát hiện.

Tiêu chí đánh giá mức độ bảo mật của một trình duyệt

Số lượng và tần suất các tổn thương được công bố chiếm phần lớn trong việc đánh giá tổng thể mức độ an toàn của một trình duyệt web, tuy nhiên đó không phải là yếu tố duy nhất. Một số yếu tố cần xem xét để đánh giá mức độ bảo mật của một trình duyệt web như:

Mô hình bảo mật

Thực tế, hầu hết người dùng không biết trình duyệt web đóng vai trò quan trọng trong việc xác định các thuật toán mã hóa được sử dụng giữa người dùng và các website thông qua giao thức SSL/TSL như thuật toán mã hóa không đối xứng (asymmetric ciphers), mã hóa đối xứng (symmetric ciphers), các thuật toán trao đổi khóa (key exchange) và các hàm băm (hash). Mỗi thuật toán khác nhau sẽ có mức độ an toàn khác nhau. Dữ liệu trên mỗi trình duyệt được mã hóa dựa vào sức mạnh của mô hình bảo mật mà nhà cung cấp lựa chọn. Điều đó sẽ tách vùng mạng không đáng tin cậy khỏi khu vực an ninh đáng tin cậy hơn mà người dùng tương tác trong đó.

 Chrome, Safari, và Internet Explorer (các phiên bản mới) đều áp dụng sandbox, trong khi đó Firefox thì không. Việc sử dụng sandbox giống như một “tấm khiên” ngăn cách, cô lập nội dung trên mỗi tab trong trình duyệt với các thành phần khác của hệ thống máy tính. Bằng cách này, khi tin tặc tấn công được vào trình duyệt, chúng cũng không thể thâm nhập sâu vào hệ thống để ăn cắp các thông tin khác của người dùng. Điều này đồng nghĩa với việc khi tin tặc tìm và lợi dụng được 1 lỗ hổng bảo mật trên Firefox, chúng có thể truy cập hoàn toàn vào máy tính của nạn nhân từ đó thực hiện các phá hoại khác.

Tính năng và độ phức tạp

Trình duyệt có ít tính năng khiến người dùng có xu hướng chuyển sang trình duyệt khác phong phú hơn hoặc cài đặt thêm add-ons không an toàn. Các cuộc tấn công gần đây cho thấy, những phần mở rộng đó là công cụ phổ biến trong tay tội phạm mạng. Mã độc sẽ được cài đặt tự động vào máy của nạn nhân, thông qua việc cài đặt và sử dụng bất kỳ add-ons, plug-ins hay phần mở rộng nào.

Độ phức tạp của các tính năng có thể là thách thức cho bảo mật; nhiều tính năng bổ sung đồng nghĩa với nhiều đoạn code hơn -  nhiều code nghĩa là có nhiều rủi ro mà tin tặc có thể khai thác. Đảm bảo việc cân bằng giữa các tính năng tích hợp sẵn và giữ an toàn cho trình duyệt khi cài đặt thêm phần mở rộng vẫn luôn là thách thức lớn đối với mỗi trình duyệt.

Các lỗ hổng được công bố và các cuộc tấn công

Các lỗ hổng là một thực tế của bất kỳ ứng dụng hay phần mềm nào. Một câu hỏi quan trọng cho các trình duyệt là bao nhiêu và bao lâu thì lỗ hổng nghiêm trọng được tìm thấy và công bố công khai. Mức độ tổn thương sẽ tăng hay giảm khi các nhà cung cấp bản vá lỗi cho trình duyệt của mình- nhất là với những lỗ hổng được phát hiện bởi những nhà nghiên cứu độc lập (hoặc tệ hơn là các tin tặc).

Đánh giá mức độ bảo mật một số trình duyệt web phổ biến hiện nay

Google Chrome

Trình duyệt Chrome được đánh giá cao nhất trong các trình duyệt trong việc đảm bảo an ninh. Tuy nhiên, nó cũng có tỷ lệ phát hiện các lỗ hổng cao thứ 2, ngay sau Internet Explorer (IE).   Chrome được phát triển bởi Google, chính vì vậy, mức độ đảm bảo sự riêng tư của Chrome rất nghi ngờ.

Mozilla Firefox

Cộng đồng phát triển Firefox (mang tên “Mozilla”) là một tổ chức phi lợi nhuận chuyên sản xuất phần mềm miễn phí chất lượng. Mức độ đảm bảo an ninh của Firefox không được đánh giá quá cao. Tuy nhiên, việc đảm bảo sự riêng tư của Firefox lại được đánh giá tốt. Firefox là trình duyệt duy nhất có đầy đủ mã nguồn mở, và họ không thể che giấu điều gì trong trình duyệt mà người dùng không mong muốn (ví dụ phần mềm theo dõi).

Microsoft Internet Explorer (IE)

Trong quá khứ, IE đã có tiếng xấu trong việc đảm bảo an ninh, tỷ lệ phát hiện lỗ hổng bảo mật của IE vẫn cao nhất. Microsoft đã thực hiện rất nhiều cải tiến trong những năm qua, minh chứng là sự ra đời của Microsoft Edge. Đây là trình duyệt được Microsoft đánh giá có độ bảo mật tốt hơn IE rất nhiều, tuy nhiên trong khoảng thời gian ngắn được đưa ra đã có nhiều bản vá lỗi được cập nhật. Microsoft Edge cần thêm thời gian để chứng minh khả năng của mình. Về khả năng đảm bảo quyền riêng tư, IE là trình duyệt có mã nguồn đóng hoàn toàn, chính vì vậy chúng ta không thể biết được trong trình duyệt của họ thu thập những thông tin gì về người dùng.

Opera

Opera có thời điểm hoàng kim vào những năm 1996, với khả năng đảm bảo an ninh và tốc độ vá lỗ hổng bảo mật rất nhanh so với các trình duyệt tên tuổi. Opera cũng được biết đến thông qua nhiều tính năng bảo mật được tích hợp đầu tiên so với tất cả các trình duyệt. Tuy nhiên, thị phần của Opera hiện tại quá nhỏ, chủ yếu trên nền tảng di động nên dù là phần mềm mã nguồn đóng, nên khả năng đảm bảo quyền riêng tư cũng không được người dùng quan tâm nhiều.

Apple Safari

Từng phát triển cho nền tảng Windows nhưng đã từ lâu không được hỗ trợ, phiên bản gần nhất là 5.1.7 từ năm 2012. Tuy nhiên, Safari vẫn là một lựa chọn tốt nếu bạn đang sử dụng OSX, được đánh giá tốt về khả năng đảm bảo an ninh và đảm bảo cập nhật các giải pháp mới so với các trình duyệt lớn khác. Thị phần của Safari không nhiều nên mức độ riêng tư cũng không được quan tâm nhiều.

Đảm bảo an toàn khi sử dụng trình duyệt web

Thay vì so sánh trình duyệt nào bảo mật mạnh hơn hay yếu hơn, người dùng nên chọn một trình duyệt có tính năng bảo mật và các chức năng theo nhu cầu mà họ mọng muốn, có thể tham khảo một số gợi ý sau:

• Không nên đăng nhập bằng quyền admin hoặc root trên thiết bị khi chạy một trình duyệt Internet.
• Đảm bảo trình duyệt, hệ điều hành và tất cả các add-ons, plug-ins trên thiết bị của bạn được cập nhật đầy đủ các bản vá lỗi.
• Cẩn thận với các trang web hoặc phần mềm cố gắng lừa bạn chạy mã độc. Nếu bạn bất ngờ bị nhắc cài đặt phần mềm của bên thứ ba trong khi duyệt một trang web, nhất định không được đồng ý; nên tải về và cài đặt các phần mềm trực tiếp từ website của nhà cung cấp.
• Hạn chế cài thêm plug-ins, add-ons trên trình duyệt trừ khi bạn thực sự cần chúng. Khá nhiều trong số đó là không an toàn, một số chính là phần mềm độc hại được giả dạng.

Ngoài các yếu tố khách quan liên quan đến trình duyệt thì phần lớn nguyên nhân không đảm bảo an toàn đều do thói quen, cách sử dụng của người sử dụng. Tuy nhiên, không phải người sử dụng nào cũng có khả năng cập nhật đầy đủ kiến thức, vì vậy các trình duyệt web vẫn không ngừng nâng cao khả năng bảo mật trong các phiên bản cập nhật tiếp theo.