De cette réponse sur la sécurité du navigateur :
il est temps de mettre à jour si vous vous souciez vraiment de la sécurité
Donc, si tous les autres logiciels et fonctions dont j'ai besoin peuvent fonctionner sur un système d'exploitation 32 bits, je suppose que la seule raison de la mise à niveau est la sécurité du navigateur? Pouvez-vous expliquer pourquoi la sécurité des navigateurs doit être placée en tête des priorités, lorsque:
J'espère que ce n'est pas le effet de confiance excessive . Et j'espère que je ne suis pas trop confiant que je n'ai pas d'effet de confiance excessive.
Comme toujours, une statistique ou une étude de cas peut augmenter la convaincance de la réponse.
Pouvez-vous expliquer pourquoi la sécurité du navigateur devrait être placée en tête des priorités ...
Parce que le navigateur traite de nombreux contenus non fiables provenant d'Internet.
Bien sûr, si vous utilisez d'autres programmes qui font cela (comme le client de messagerie, peut-être un programme Office, PDF), vous devez également les mettre à jour car les vulnérabilités de ces programmes sont également un vecteur d'attaque normal .
.. La plupart des sites Web que je visite ont un certificat SSL,
Un certificat SSL ne dit rien sur la confiance que vous pouvez avoir dans un site. HTTPS protège uniquement contre la modification du trafic pendant le transport. Un site HTTPS peut servir autant de logiciels malveillants qu'un site HTTP ordinaire.
En dehors de cela " La plupart des sites Web" n'est pas la même chose que " Tous des sites Web ".
Je peux sentir des sites Web louche?
Même si vous pouvez avoir confiance en votre capacité à détecter des sites Web où l'URL semble louche (ce qui pourrait en fait être une confiance excessive), je suis sûr que vous ne saurez pas d'avance si le site que vous visitez régulièrement a été piraté et sert des logiciels malveillants ( c'est-à-dire attaque de trou d'ea ou d'autres types de piratage de sites de grande réputation pour augmenter le nombre de victimes ) ou s'il diffuse des publicités malveillantes indépendantes de la volonté du site Web lui-même ( c'est à dire Malvertising ).
ÉDITER:
Après avoir écrit ma réponse, le PO a ajouté ce qui suit à la question:
La plupart d'entre eux sont soit assez grands pour que je puisse croire qu'ils ne peuvent pas être piratés, ...
Trop gros pour être piraté? Bien que les grands sites Web utilisent généralement une meilleure sécurité que les plus petits, cela ne signifie pas qu'ils ne sont pas piratables. Et les sites avec beaucoup de clients sont particulièrement une cible lucrative pour les attaquants car cela signifie également beaucoup de victimes potentielles. Quelques exemples: ... publicités malveillantes sur Forbes ... ou ... le New York Times et la BBC frappés par des malversations de "ransomwares" ou Etude: One -troisième des principaux sites Web vulnérables ou piratés .
... ou assez petit pour que je ne pense pas que ce soit rentable pour les pirates, ...
Trop petit pour être piraté? Ce n'est pas vrai non plus: les attaquants tilisez des outils automatisés pour pirater des installations CMS non sécurisées comme WordPress ou Django en masse, c'est-à-dire qu'il est très pas cher pour reprendre un site vulnérable de cette façon.
Tous les sites Web que vous visitez n'ont pas de certificats. Vous ne pouvez pas sentir les sites Web louche. Le certificat ne signifie pas que le site n'essaie pas de vous pirater.
Le navigateur est le plus grand vecteur d'attaque contre votre ordinateur. Il aura tendance à exécuter au moins du code JavaScript non vérifié, et Dieu sait quoi d'autre. Il traite en permanence les données provenant de sources non fiables.
Chacune de vos déclarations fait ici une fausse hypothèse:
C'est très bien, mais SSL/TLS ne vous protège que contre certains types d'attaques.
À peu près, un site possédant un certificat TLS (valide) signifie simplement que le propriétaire de ce site Web a en quelque sorte prouvé la propriété du nom de domaine utilisé pour accéder au site, dépensant éventuellement une très grande somme d'argent pour le faire ( ou peut-être n'en dépenser aucun). Habituellement, cela signifie que vous pouvez avoir confiance que le site est ce qu'ils prétendent être, à l'exception de l'usurpation de domaine (que je couvrirai en réponse à votre troisième point). Cependant, cela peut ne pas signifier cela (voir par exemple le fiasco qui a fait que tout ce qui a été émis par Symantec a été révoqué/non approuvé plus tôt cette année). Ainsi, un certificat TLS vérifie vraiment juste la propriété du site, pas que le site est légitime ou qu'ils font ce qu'ils disent être.
Les certificats TLS offrent un avantage de protection supplémentaire, ils vous permettent d'utiliser HTTPS. HTTPS fournit exactement deux types de protection s'il est utilisé correctement :
Cela vous laisse toujours ouvert à de nombreuses attaques. Le plus évident est que le serveur Web soit piraté (ou le CDN s'il en utilise un). Il y en a aussi d'autres, comme les attaques XSS, les publicités malveillantes (pensez à tous les sites parfaitement légitimes qui ont des redirections automatiques cachées vers des sites malveillants en raison des publicités qu'ils utilisent), et les attaques sur TLS lui-même (de telles attaques sont la raison pour laquelle aucun sensé L'opérateur utilise toujours SSLv2 ou SSLv3, les deux sont connus cassés). Ainsi, HTTPS/TLS/SSL n'est pas en soi une protection rigoureuse.
En outre, comme vous l'avez dit vous-même, la plupart des sites Web que vous visitez utilisent TLS, pas tous. Réfléchissez très à la question de savoir si vous devez vraiment faire confiance aux autres sites qui ne l'utilisent pas, s'ils ne sont pas prêts à prendre les cinq minutes pour définir leurs serveurs avec des certificats gratuits de LetsEncrypt, sur quels autres aspects de la sécurité sont-ils coupés?
N'avez-vous pas regardé de nouvelles au cours de la dernière décennie? Juste en termes de divulgations publiques , il existe des dizaines d'attaques connues sur des sites avec bien plus de 100 millions utilisateurs (c'est un gros site selon la plupart des gens, car 100 millions représentent plus de 1% de la population mondiale, et probablement plus près de 3-4% du nombre total de personnes sur Internet). Je suggère de jeter un œil à la liste des violations publiques sur Have I Been Pwned? , il y a pas mal de grands noms là-bas, y compris ceux qui gèrent très données sensibles (Experian par exemple). Donc, non, il n'est pas réaliste de s'attendre à ce que quelque chose soit "trop gros pour être piraté". En fait, les grands sites sont parmi les cibles les plus attrayantes pour les attaquants, car ils ont beaucoup d'utilisateurs. Ils ont également des antécédents notoirement mauvais en matière de divulgation publique de violations de sécurité (ils sont plus incités à ne pas le faire, car ils ont plus de clients potentiels à perdre).
D'un autre côté, les petits sites sont des cibles faciles , même s'ils ne sont pas attrayants. Si vous considérez les grands sites comme des investissements à haut risque pour les pirates, les petits sont des investissements à faible risque. Ils ne donnent peut-être pas autant en termes de rendements, mais ils donnent souvent des rendements beaucoup plus cohérents, ce sont donc des cibles attrayantes.
En outre, considérez que les attaquants ciblent assez souvent les logiciels qui sont vulnérables, pas nécessairement des sites spécifiques. WordPress est un bon exemple, car il est utilisé sur des sites grands et petits, et il a été utilisé avec succès plusieurs fois dans le passé comme vecteur d'attaque.
Tout d'abord, ce n'est pas parce qu'un site n'est pas "louche" qu'il ne constitue pas une menace. Il existe également un certain nombre de sites légitimes qui semblent "louche" selon les définitions de nombreuses personnes.
Deuxièmement, il n'est pas difficile de copier un site légitime mais de faire des choses illégitimes avec le résultat. L'usurpation de domaine, sous ses diverses formes, est souvent utilisée pour cela. Il y a quelque temps, un bon article de blog sur un grand site infosec (que je ne peux malheureusement pas trouver en ce moment, sinon je le lierais ici) le démontrait avec Apple.com.
Comme exemple du type de chose que vous devez rechercher mais que vous ne pouvez probablement pas repérer, pouvez-vous faire la différence entre uv et υν? Non, ce n'est pas une question piège, la première est les lettres latines minuscules "u" et "v", tandis que la seconde est les lettres grecques minuscules upsilon et nu. Dans la plupart des polices sans empattement (comme celles utilisées par presque tous les navigateurs dans la barre d'adresse et la police par défaut sur la plupart des sous-sites SE), ces deux paires de caractères sont presque indiscernables. Même dans de nombreuses polices serif, elles sont difficiles à distinguer pour la plupart des gens. De même, АВ est en fait une paire de caractères cyrilliques, pas latins, et encore une fois ne se distingue pas du latin 'AB' dans la plupart des polices. Les deux cas illustrent des exemples de `` bitsquatting '', une technique par laquelle les attaquants profitent de la similitude de différents personnages semblant similaires ou identiques pour inciter les gens à suivre leurs liens en les faisant ressembler à des liens vers des sites Web légitimes.
À peu près, ne supposez pas que vous serez en mesure de reconnaître un site qui constitue une menace jusqu'à ce qu'il soit trop tard.
Puisque personne ne l'a encore souligné:
Le logiciel antivirus est beaucoup moins utile que vous ne le pensez. En fait, si vous demandez aux professionnels de la sécurité, la principale recommandation pour rester en sécurité sera de mettre à jour tous vos logiciels, au-dessus de la recommandation d'exécuter un antivirus - donc exactement ce que vous prévoyez pas de faire.
Pourquoi? Tout ce que fait un logiciel antivirus, c'est d'arrêter les anciennes pandémies connues. Cependant, la plupart des attaques généralisées réussies créent simplement de nouveaux virus et utilisent la fenêtre de temps jusqu'à ce que le logiciel antivirus soit mis à jour pour se propager. Le logiciel antivirus n'est pas une solution miracle, il ne détecte que ce qu'il sait (il existe une détection de comportement mais il n'est très efficace pour aucun des logiciels AV disponibles), donc contre les nouvelles attaques, cela n'aide qu'à avoir moins d'opportunités d'intrusion. Et de loin l'opportunité d'intrusion la moins chère pour les attaquants est un navigateur obsolète ou un système central.
Alors oui, il est essentiel que votre navigateur soit à jour si vous vous souciez des données de votre ordinateur. Que vous ayez un antivirus est en fait un peu sans importance - il le fait aider un peu, mais cela ne vous épargnera pas contre la plupart des nouvelles attaques si votre navigateur ou votre système central sont obsolètes.
Note latérale: cela pourrait être différent si vous exécutez un navigateur en bac à sable. Cependant, à moins que vous ne sachiez que c'est ce que vous faites, vous ne le faites probablement pas. Et je ne suis pas sûr pour 32 bits, aucune des solutions de sandboxing courantes comme UWP/Windows App Store n'est prise en charge. De plus, dans ce cas, les sites Web peuvent toujours être en mesure de voler des données de tous les autres sites Web ouverts, y compris l'onglet de votre site Web bancaire. Ce n'est donc pas idéal.
Vous devez vous soucier de la sécurité si vous vous souciez de la sécurité.
Si vous vous souciez suffisamment de dire des choses comme "Je peux sentir des sites Web louche" ou "La plupart des sites Web que je visite ont des certificats SSL", alors vous vous souciez de la sécurité.
Les attaques sont là-bas. Période. Ne nous leurrons pas. Ne prétendons pas que nous sommes immunisés. Prenez Stuxnet . Stuxnet est réputé avoir détruit jusqu'à 1000 centrifugeuses utilisées pour enrichir le combustible nucléaire en Iran. C'est au moins des centaines de millions de dollars de dégâts. Concrètement, une bonne évaluation des risques du point de vue du pays serait encore plus désastreuse.
Vous vous sentez invincible parce que vous visitez des sites avec des certificats SSL? Les ordinateurs touchés par Stuxnet étaient à vide . Il n'y avait aucun fil entre Internet et les ordinateurs infectés. Ils étaient toujours infectés.
La vraie question n'est donc pas "suis-je en sécurité?" Tu n'es pas. La vraie question est de savoir si vous êtes en sécurité suffisamment . Vaut-il la peine de dépenser un certain nombre de dollars et un certain nombre d'heures pour mettre à niveau? C'est une question d'équilibre. C'est beaucoup plus utile.
Voici un test. Connectez-vous à votre ordinateur. Connectez-vous à quelques sites qui vous intéressent. Maintenant, donnez-moi votre ordinateur. Je vais m'en aller avec. Comment vous sentez-vous? Comment êtes-vous nerveux que j'ai vos données? Si tout ce que vous avez est un disque dur plein de jolies photos de chaton, alors vous allez probablement être plus en colère que je suis parti avec votre ordinateur portable. Les ordinateurs portables sont coûteux à remplacer. Mais si vous avez vos informations bancaires sur cet ordinateur, vous allez probablement être plus inquiet de ce que je peux faire avec ces informations. Votre SSN est-il sur cet ordinateur?
Une fois que vous comprenez combien de dégâts peuvent être causés, par rapport au coût de la prévention des dommages, vous pouvez émettre un jugement.
Les mises à jour du navigateur incluent des mises à jour des données de l'autorité de certification et en fait son propre certificat. Ces deux choses ont des dates d'expiration et il existe de nombreux sites Web qui ne sont pas accessibles pas du tout par des navigateurs trop anciens car le certificat SSL ne peut pas être vérifié par ce navigateur trop ancien OR ce navigateur trop ancien ne peut pas vérifier son propre certificat auprès du serveur distant. Donc, même si vous ne vous souciez pas de la sécurité, vous pourriez vous soucier de l'accès et des fonctionnalités que la validation de sécurité vous apporte .
De plus, au moment où vous "sentez" le caractère louche d'un site Web que vous consultez, il est déjà trop tard pour de nombreux types d'attaques. Espérons que votre ancien système d'exploitation 32 bits ne soit pas également en mesure d'obtenir des mises à jour de son logiciel antivirus.
En plus des excellents points dans d'autres réponses:
Votre logiciel 32 bits est-il toujours régulièrement mis à jour ou s'agit-il d'une ancienne version obsolète?
Une fois qu'un logiciel connecté à Internet cesse de recevoir de nouveaux correctifs de sécurité, il devient sensible à chaque nouveau bogue ou piratage par la suite.
- La plupart des sites Web que je visite ont un certificat SSL,
- La plupart d'entre eux sont soit assez grands pour que je puisse croire qu'ils ne peuvent pas être piratés, soit assez petits pour que je ne pense pas que ce soit rentable pour les pirates
- Je peux sentir des sites Web louche?
Tout y est faux.
La sécurité du navigateur, comme vous l'avez deviné, est importante car sur la plupart des systèmes, aucun autre logiciel ne rencontre régulièrement des données provenant de l'extérieur de la frontière de confiance qui
SSL vous protège contre certains types d'attaques, dont la plupart ne sont pas pertinentes si le but des attaquants est de compromettre votre machine. Comme son nom le plus courant - TLS - l'indique, son activité est sécurité des transports, sans protéger votre navigateur ou votre machine.
Les sites Web de tous types sont piratés en permanence. Les plus petits par des robots automatisés. Le bruit de fond ici est assez étonnant. Si vous avez votre propre serveur, montez vos fichiers journaux pendant une journée et émerveillez-vous devant la quantité de tentatives de connexion à pratiquement tous les ports intéressants, 24 heures sur 24, 7 jours sur 7. Montez vos fichiers journaux de serveur Web et parcourez les chemins étranges et les itinéraires standard vers des progiciels populaires et non sécurisés. Ce truc ne serait pas là-bas s'il ne fonctionnait pas, du moins parfois.
Les grands sites Web, quant à eux, ne sont pas plus sûrs simplement en étant plus grands. Dans le règne animal, il faut être le plus gros pour être à l'abri des prédateurs. Si vous êtes juste gros, cela signifie simplement que vous êtes chassé par des lions au lieu de renards. Même chose sur Internet, être un grand site Web signifie simplement que vos acteurs de la menace sont des activistes dévoués, le crime organisé, peut-être des États-nations (selon votre entreprise), etc. Le profil de la menace change en fonction de votre taille, mais il est tout à fait naïf d'affirmer carrément qu'il change pour le mieux.
Vous pouvez probablement sentir des sites Web louche, mais un certain nombre de logiciels malveillants ont été déposés par le biais du chargement latéral, par exemple via un réseau publicitaire au lieu des sites Web directement. Ce pourrait être par le biais d'un CDN compromis que votre site Web ne dégage aucune odeur.
Donc, en résumé: la sécurité du navigateur est importante car c'est l'un des plus grands sinon trous les plus grands de votre périmètre, et vous pouvez pas protégez-vous adéquatement par des habitudes de navigation ou des outils anti-malware, bien que les deux aident.