Так какой браузер самый безопасный?
Как-то обсуждая в интернете статью, касательно браузера Google Chrome, затронулась тема безопасности браузеров. И моим оппонентом, внезапно, выступил человек, который уже скоро четыре года занимает должность Senior Software Engineer в компании Google. Анонимность этого человека я пока сохраню, если он захочет, то сам выскажется в комментариях к этой статье.
Началось все после того, как я сравнил количество уязвимостей Google Chrome и Internet Explorer 9. Мой оппонент, который, безусловно, является грамотным специалистом в своей области, написал следующее:
А про какие уязвимости речь? Разве Chrome уже не самый безопасный браузер?
Что тут можно сказать… Такое наивное заявление меня, мягко говоря, удивило, равно как и его аргументация. Свою позицию он обосновал ссылками на статьи Google Chrome — самый безопасный браузер иGoolge Chrome & Firefox самые безопасные браузеры!
Давайте подробнее рассмотрим первую статью. В ней говорится, что некая компания Accuvant LABS, оценила безопасность трех наиболее распространенных браузеров — Internet Explorer, Chrome и Firefox. Первое место эксперты отдали браузеру Google Chrome, на втором месте с небольшим отставанием оказался Internet Explorer, а замыкает тройку Mozilla Firefox.
Так неужели Google Chrome действительно самый безопасный браузер?
Почему Google Chrome не является самым безопасным
Если проанализировать это исследование подробнее, то, несмотря на громкий заголовок статьи, тестировалась вовсе не комплексная безопасность браузеров, а только эффективность работы т.н. «песочниц». На самом деле, тут все просто: у Google Chrome и Internet Explorer песочницы есть, у Mozilla Firefox и остальных браузеров (которые даже не тестировались) их просто нет. Впрочем, непонятно в чем заключается это "небольшое отставание" Internet Explorer. Можно, конечно, свести все на то, что "исследование проводилось с подачи Google". Но мы этого делать не будем, примем как есть. Вместо этого рассмотрим другие аспекты безопасности.
Например, в оценке безопасности Accuvant LABS ни слова не говорится об уязвимостях в программном обеспечении. А их в Хроме, почти в 12 раз (!) больше чем в IE. Мы знаем, что количество уязвимостей обратно пропорционально качеству программного кода. Малое количество уязвимостей во всех продуктах Microsoft объясняется использованием Microsoft Security Development Lifecycle в процессе разработки ПО. Но чем объяснить такое огромное количество “дыр” в программном обеспечении Google? Возможно, это следствие ускоренного процесса выпуска новых версий, и тестеры просто не успевают все проверить и выпускают заведомо сырой и уязвимый продукт на рынок. Впрочем, это только мое предположение, я могу и ошибаться.
Кроме уязвимостей следует также упомянуть тот факт, что Google Chrome устанавливается не в системный каталог, а в %AppData%. Это значит, что браузер совершенно не защищен при разграничении прав доступа ОС на уровне файловой системы, что позволяет любому приложению изменять компоненты Google Chrome, не требуя даже привилегий администратора. Т.е. такая важная составляющая безопасности как Integrity (Целостность) отсутствует напрочь. Конечно, это внедрялось с благородной целью обеспечить незаметное автообновление. Но, в данном случае, цель не оправдывает средства.
Также в статье умалчивается тот факт, что в Хроме откровенно слабые механизмы защиты от фишинга, слежения (вообще отсутствуют) и загрузки вредоносного ПО. Тем не менее, по данным уже другого исследования, такие механизмы эффективно работают в браузере Internet Explorer 8/9. Вот результат последнего исследования NSS Labs:
Более того, механизмы защиты в Internet Explorer работают не только в лабораториях, но действительно защищают пользователей на практике.
Я в этой статье даже не буду рассматривать особенности политики конфиденциальности Google с и их агрессивным слежением за действиями пользователей. Достаточно того, что и так есть все основания воспринимать этот браузер как самое настоящее шпионское ПО, только от известного вендора. В любом случае, все это никак не делает Google Chrome самым безопасным браузером.
Как результат вышеизложенного, на известном хакерском соревновании Pwn2Own Google Chrome взломали в течении пяти минут. Французская команда Vupen Security сумела осуществить эксплойт двух уязвимостей Chrome и полностью взломать браузер. Более того, Google Chrome был взломан российским студентом еще и на соревновании Pwnium, которое в этом году Google проводит параллельно Pwn2Own.
А существует ли самый безопасный браузер?
На мой взгляд, заявлять о том, что тот или иной программный продукт является самым безопасным нельзя. Безопасность системы необходимо оценивать комплексно, с учетом многих особенностей и с оглядкой на среду эксплуатации. Несомненно, Internet Explorer обладает многими защитными механизмами. Но, эффективность большинства из них может свестись “на нет”, например, использованием пиратской ОС Windows, или несвоевременной установкой обновлений безопасности. А некоторые возможности, как например Защиту от слежения, необходимо отдельно включить и настроить. Не уверен, что все пользователи Internet Explorer так поступают.
Исходя из этого, я не призываю никого выбирать себе браузер, основываясь только на его способности защищать от интернет-угроз. Безусловно, недостающие в браузере защитные механизмы можно компенсировать, например, усилением антивирусной защиты, либо “подкручиванием гаек” в настройках ОС. А шпионские “фичи” Google Chrome можно “отключить” перейдя на Chromium. Но, в любом случае, безопасность это тот аспект, которому все же следует уделять внимание.
Заключение
В данной статье мы увидели, что безопасность Google Chrome, на сегодняшний день, далеко не повод для гордости. Однако и в этом браузере есть множество своих преимуществ, которые для себя выбирают и ценят пользователи. К примеру, только в этом браузере полноценно работают облачные сервисы Google Docs.
А по каким критериям вы выбираете браузер для себя? Является ли безопасность для вас определяющим фактором?
Понравилась статья? Поделитесь ею с друзьями в социальных сетях!
Также по теме:
Почему в Internet Explorer не работает автозаполнение форм через HTTPS?
Как не надо ставить обновления!
Сравнение эффективности работы защитных механизмов в браузерах
Вебкаст: сравнение эффективности работы защитных механизмов в различных интернет-браузерах
Вебкаст: использование Secunia PSI для контроля актуальности версий установленного ПО
Что нужно знать пользователям Microsoft Security Essentials. FAQ
Социальная инженерия в действии
Защита домашних ПК от компьютерных угроз. Часть 1 – актуальность
Защита домашнего ПК от компьютерных угроз. Часть 2 – основные виды угроз
Защита домашнего ПК от компьютерных угроз. Часть 3 – основные методы защиты
Раздаем интернет по WiFi встроенными средствами Windows
Как вручную контролировать отображаемые изображения на плитке современного приложения Фотографии в Windows 8.1
Есть ко мне вопросы?
Недавние комментарии
| Что лучше windows 7… к записи Выбор редакции Windows 7 или п… | |
 | Олександр к записи Ошибка в Windows при добавлени… |
| Артём Бибик к записи Ошибка в Windows при добавлени… | |
 | Ліля к записи Ошибка в Windows при добавлени… |
 | Роман к записи Ошибка в Windows при добавлени… |
 | Teh к записи Настраиваем Брандмауэр в … |
 | Bernardhof к записи Что нужно знать пользователям… |
 | AmberHor к записи Что нужно знать пользователям… |
 | Daisyhelry к записи Что нужно знать пользователям… |
 | Vanessaarope к записи Что нужно знать пользователям… |
Blog statistic
Вадим Гаевой 
Опера и та безопаснее хрума.
А кто ей пользуется?
В мире у Оперы 1.71% рынка, однако она очень популярна в странах СНГ 😉
1). Считать уязвимости — это тот ещё ФГМ. Считать надо открытые уязвимости, а не абстрактное количество когда-то найденных дырок, о которых чаще всего становится известно только после официальной публикации отчёта на блоге Гугла. По открытым уязвимостям ситуация вполне показательная у Secunia: IE9 — 1 открытая непатченная дырка. В ГК17 — 0. Думаю, суду всё ясно.
2). Касательно механизмов защиты от слежения, то они что в ИЕ 9, что в ГК17 сделаны одинаково — загрузкой списков блокировки следящих куки от разных поставщиков. Всё. Гонору до небес, а толку чуть. В этом плане даже Фаерфокс лучше благодаря Ghostery и NotScripts.
3). Касательно защиты от фишинга — то это тоже бред. Без труда подберу несколько сайтов, в котором ИЕ9 покажет 0% эффективности. Все эти исследования предлагают огромный простор для манипуляций, потому что NSS подобрала набор каких-то сайтов, на которые ИЕ реагирует.
1) Я с тобой согласен. Но, если бы уязвимостей в Хроме было хоть на 50% больше, то я бы эту тему даже не затрагивал. Но, извини, их в нем больше на порядок.
В IE9, на данный момент, нет непропатченных дыр. Есть только одна незакрытая Secunia advisory с приоритетом Not critical. Однако, я понимаю, что можно подловить момент времени, когда в ИЕ больше незакрытых уязвимостей, чем в Хроме. Равно как и наоборот. Поэтому я и сравниваю суммарное количество уязвимостей.
2) И все же Tracking Protection в IE9 способен блокировать элементы слежения на странице, в отличии от того же Мозилловского Do Not Track, который просто просит «не следите за мной, пожалуйста», при этом сайты, в том числе и Гугловские, просто игнорят его.
3) Не согласен. Известный аналитик информационной безопасности Владимир Безмалый тоже проводил свое собственное исследование механизмов защиты от фишинга в браузерах, при этом его результаты хоть и отличались, но были сопоставимыми с NSS Labs. Или его тоже обвиним в предвзятости? 😉
1). Дык, проблема в том, что в Хроме ты не найдёшь открытой дырки любой серьёзности в течение недели. Ты узнаешь о ней постфактум, когда Гугл выпустит пресс-релиз. 🙂
2). TPL, повтрюсь, полная херня, которая немногим лучше DNT, потому что эффективность схожая. Лучше NotScripts ничего не придумали против слежки. Потому что блокировка по списку всегда имеет фатальный недостаток — список никогда не может быть полным. Это же касается фишинга. Поэтому на Chrome я использую ScriptNo+WebofTrust.
3). Я не знаю, кто такой Владимир, но, повторюсь, блокировка по списку сайтов имеет недостаток — он не может быть полным. Можно подобрать набор сайтов, в котором все браузеры покажут эффективность 0%. Об этом, кстати, в своем пиар-исследовании заявила Accuvant, сказав, что фишинг-защита есть у всех браузеров, но у всех она говно.
Но смысла это не меняет — ГК17 РЕШЕТО после Pwn2Own 2012.
1) Вот прямо сейчас в Хроме есть, как минимум, 2 critical уязвимости, через которые его вчера хакнули.
2) Докажи, что TPL неэффективен. Как по мне это громкое заявление требующее аргументации. Я согласен, что «список никогда не может быть полным», равно как и не существует 100% защиты.
3) Вот советую подписаться на его блог 😉 Я ссылку дал 😉
1). Ну, дык, эту дырку уже пофиксили, мне только что апдейт прилетел.
2). А что доказывать? Принцип белого списка всегда надёжнее принципа чёрного. «Блокировать всё, кроме…» предполагает значительно больший уровень безопасности, чем «Разрешать всё, кроме…». TPL работает именно по последнему принципу. ScriptNo в Chrome работает по первому принципу.
3).Окей.
Считать уязвимости вполне жизнеспособный подход оценки качества разработки и защищенности того или иного ПО. Про 0-day уязвимости вы разве не слыхали? Про покупку таких уязвимостей на открытом рынке компаниями Zdi, Vupen и прочими не слышали? А перепродажа этих уязвимостей разным агентствам вас ни на какие печальные мысли не наводит?
Или история со Stuxnet ничему не научила?
Любителям подхода пишем кривой код зато быстро патчим рекомендую читать вот эту книгу
В ней как раз объясняют почему с точки зрения инженерного искусства создавать продукты с огромным количеством уязвимостей это все равно что делать некачественные машины. Вы предпочитаете BMW которая просто работает или АвтоВАЗ постоянно ломающийся, зато быстро чинящийся при наличии запчастей и знания базовых технологий?
Фишка в том, что, согласно анализу компании PVS, проект Chromium один из лучших крупномастшабных проектов с точки зрения качества кода. (Смотреть тут.
Но Google тратит просто огромные деньги на привлечение сообщества в исследование кода. Для некоторых специалистов, того же Глазунова, $60 тыс. — это, фактически, годовая зарплата в России. И это за нахождение 1 уязвимости.
А ведь по технологиям, реализованным в браузере, Chromium на шаг впереди любого конкурента из числа «оппозиционных» к IE браузеров. Ни у кого нет поддержки DEP, ASLR, StackCheck, NX и других, не говоря о полной реализации SELinux и AppArmor. И если в Chromium находят по 100500 уязвимостей, то сколько таких дырок при таком анализе мощном найдут, скажем, в Opera? Боюсь, что не меньше.
Я вот помню, что Chromium до 10 версии постоянно радовал какой-то убер-фичой, а теперь, что не релиз, то рефакторинг кода и ковыряние под капотом, то вырезая, то вставляя целые пласты кода.
Если бы подход с привлечением сообщества к поиску уязвимостей работал, то наблюдалась бы тенденция снижения количества уязвимостей в Chrome.
А ее что то не видно.
GOOGLE CHROME ВСЯКО РУЛИТ 😀
Когда доводов нет остаются фанатские выкрики. Только в ИТ как в точной науке слепая вера не работает.
Баньте фанбоев, пожалуйста.
1) Я рад что одну дырку уже пофиксили. Но, это совершенно ничего не меняет.
2) Анжел, пойми, что задача TPL не заключается в том, чтобы полностью блокировать скрипты. Он нужен, чтобы защититься от слежки со стороны сайтов. И свою задачу он выполняет. От Гугла пользователь скрыться сможет 🙂
Подавляющее большинство счетчиков и других сторонних элементов TPL блокирует успешно. Более того, кроме готовых списков блокировки, он ещё умеет дополнительно настраиваться пользователем, и он всегда сможет заблокировать тот или иной элемент.
А параноики могут использовать другие механизмы в ИЕ, чтобы отключать скрипты на тех или иных сайтах, в т.ч. и используя принцип белого списка. Но, я не уверен, что это полезно делать на практике.
Являюсь лисоводом со стажем, пока ни один другой браузер не сумел убедить меня в том, что он безоговорочно лучший. Опера, имхо, тяжеловата стала со временем, разрослась. Хром… цитируя автора, «самое настоящее шпионское ПО, только от известного вендора». ИЕ9 в принципе неплох, видно, что работа проведена серьезная, но все-таки пока не убедил. Так что мой выбор схож с описанным выше — Firefox NIghtly + Ghostery + NoScript.
Я бы сказал что отсутствие песочницы это довод не в пользу Firefox.
Хотя Песочница не панацея. Если она была бы серебряной пулей Java была бы безупречна.
Но все же песочница помогает бороться с многими угрозами, делая эксплуатацию уязвимостей труднее на порядок.
Вадим,
1). Меняет многое. Какая компания может себе позволить в течение дня исследовать уязвимость, исправить её, провести тройное тестирование, накатить в уатафол-билд, собрать и выкинуть в апстрим? И в течение недели 100% пользователей уже не будут подвержены уязвимости. Напомни мне количество человек, у которых до сих пор IE8.
2). А вот плохо. Потому что на сервер-сайде гугл даже без куки может узнать, откуда я, с каким браузером, с какой системой, и на каком языке у меня ОС. Блокировка скрипта в разы полезнее, чем блокировка кукис. По-моему это настолько прописная истина, что мне даже странно её объяснять.
Касательно блокировки куки на основе списков, то те же самые поставщики списков для TPL дают такие же списки и для Google. Только реализовано это в виде расширений. Например, Abine предоставляет список для IE9, а также два расширения для Chromium — Abine TACO и Abine DNT+. Но это всё малоэффективно. Например, ScriptNo автоматически блокирует все скрипты на странице, даёт оценку каждому домену на основе Web of Trust, а также помечает как нежелаетельные. Чтобы не рассуждать о чём-то в вакууме, приложу скриншот:
То есть защита и так включает в себя TPL, но также дополнительные слои защиты, которые настраиваются в параметрах.
Я-то своё мнение не изменил — я считаю IE9 самым защищённым браузером для корпоративного и рабочего окружения из-за гибких политик, которых в Chromium мало, но на пользовательских компьютерах, извиняйте, но до Chrome три дня лесом идти. Потому что у него модель защиты похожа на IE, но имеет 100500 костылей в виде расширений.
Блин, похоже WordPress запрещает использование html-кода, поэтому добавлю просто ссылки.
1). Про качество кода — http://habrahabr.ru/blogs/google_chrome/119815/
2). Скриншот — http://min.us/mAgxTE8BG#1o
Ключевая фраза лучший из того что проверяли PVS Studio. Они проверили все на планете и Тверь могут хвалить?
Если в этом лучшем продукте находят в 12 раз больше ошибок чем в IE то наверно это повод задуматься.
Разработчики PVS-Studio сами признались, что после проведенной оптимизации в работе алгоритмов своего анализатора, они еще дополнительно обнаружили огромное количество ошибок и потенциальных проблем в коде Chromium
http://www.viva64.com/ru/b/0113/
А откуда мне знать, сколько ошибок находят в IE и находят ли все? Как видно из Secunia в Microsoft даже не все закрывают, что уж говорить о находить?
100500 костылей Chrome это как раз минус. Каноническое утверждение — сложность враг безопасности.
Расширения без NPAPI-модуля могут… ничего не могут. А с NPAPI проверяются модераторами прежде, чем попасть в магазин приложений.
1) Откуда ты знаешь, что весь цикл выпуска обновления к уязвимости занял один день? Вспомни, в прошлом году Google закрыла уязвимости практически перед самым соревнованием, и хакер отказался его взламывать. Вполне резонно предположить, что в этом году они просто не успели выпустить фикс «вовремя», и он вышел только на следующий день.
Что касается Internet Explorer 8, то этот браузер по-прежнему поддерживается компанией Microsoft, и пользователь совершенно не рискует своей безопасностью используя эту версию браузера.
2) Еще раз:
Tracking Protection эффективно защищает пользователя от слежения блокируя разного рода счетчики, неправомерны сбор куки и прочие сторонние элементы. Этот инструмент гибко настраивается. И причем тут поставщики списков для TPL? Мне достаточно просто включить Tracking Protection и он уже будет все это блокировать. А списки TPL от разных поставщиков я могу загрузить дополнительно, если это мне надо. Они просто будут более точно указывать какой контент блокировать, но при этом браузер все равно сможет блокировать и другие сторонние элементы, которые не указаны в списках поставщиков.
Кроме того, в Internet Explorer еще есть
— защита от XSS-атак
— защита от ClickJacking
— Pop-up Blocker и т.п.
Зачем пользователю нужны еще какие-то плагины блокирующие скрипты? Опять же, параноики могут более жестко настроить Интернет-зону в настройках безопасности Internet Explorer, если им это надо.
Чем модель защиты Chrome похожа на IE?
Если мы говорим о пользовательской защите, то напомню, что аналитики ИБ главной угрозой в Интернете, на сегодняшний день, называют совсем не вредоносные скрипты. А социальную инженерию, и, в частности, фишинг. А защита от фишинга, опять таки, лучше всего реализована именно в IE.
1). Оттуда, что время, прошедшее от демонстрации взлома до выпуска патча, составило около 24 часов. Сегодня произошло тоже самое — демонстрация дырки — 24 часа — патч. Теории заговора, конечно, очень популярны, и я их очень люблю, но обычно они недоказуемы и основываются на спекуляциях %)
Как не рискует? А как же 8 непатченных рекомендаций от Secunia? Не говоря уж о куче дыр в поддерживаемой Майкрософт XP? Непонятный ход.
2). TPL без списков и того хуже. Если он со списками полная фигня, то без них — без комментариев. Это мне напоминает опцию в айфоне «блокировать сторонние куки и нежелательное содержимое». Блокируется и обходится с полпинка.
Касательно дополнительных фич, то всё это есть и в Chrome. А защита от XSS-атак никогда не может быть эффективна по понятным причинам.
Касательно фишинга, то меня не удивляет, что в проспонсированном Майкрософт исследовании (http://www.computerworld.com/s/article/9130342/IE8_best_at_blocking_malware_sites_says_study?intsrc=news_ts_head) лучшим был Internet Explorer, а в проспонсированном Гуглом исследовании лучшим оказался Chrome. Повторюсь, исследование антифишинга абсолютно неблагодарное занятие. Я могу провести исследование по нескольким сайтам, продемонстировать 0% эффективность любого браузера и поугарать, что никто не умеет делать антифишинговые фильтры. А потом все энторнеты будут пестреть жёлтыми заголовками.
Похожа на то, что так же реализуется модель песочницы, разделение вкладок на процессы, используются DEP/ASLR и т.п.
Пользовался Chromium почти с момента его появлеия (разница около 1мес). Недавно перешел с него на Firefox. Причина простая — при равной функциональности (примерно равной, с перевесом в сторону Firefox), место занимаемое на винчестере у Chromium 93мб против около 40мб Firefox. Конечно, сегодня какие-то 50мб не играют роли в отношении места на винчестере. Но очень играют роль в другом — НА ЧТО ушли эти 50мб? ЧТО гугл вписал туда? Хотя лично я перешел по причине того, что Chromium все больше и больше, а толку — меньше и меньше, плюс еще и с увеличением размера приложения, он начинает вести себя подобно ОС. При загрузке Chromium одной страницы он расходует с ОС около 180мб ОЗУ (ОС около 100мб берет), при загрузке 2 и более страниц от 250мб ОЗУ и более. При этом Firefox 120-130мб, Opera 116-130мб. Разница — более чем очевидна.
А безопасность — это не привелегия браузера, а пользователя. Если пользователь дурак — никакая безопасность не поможет.
Даже не знаю, не смотря на всю свою относительную параноидальность, никогда не занимался изучением вопроса безопасности браузера (не той стороны девелопер)) ).
Тем не менее был приятно удивлен уровню работы SmartScreen в ИЕ и Safe Browsing в хроме. (Лису вообще не воспринимаю за ее тупость и тормознутость, по крайней мере у меня, хотя Safe Browsing у нее тоже появился, а Опера отжила свое, не успевает…)
Вообще эти все фичи приятно удивили меня при первом своем возникновении))
Небезопасная песочница? А кто гарантирует ее безопасность, хорошо что она вообще есть. Это ж не серебряная пуля.
Из плюсов хрома могу отметить автообновление. Баги закрываются автоматом, ты даже не подозреваешь, для большинства енд-юзеров это большой плюс, не хотят они лишнее знать, а если и хотят, то мало людей которые смогут дать адекватную, без особого личного мнения, консультацию.
Все равно я считаю что проблема: подхвачу/не подхвачу в основном зависит от пользователя: сам думай куда ты лезешь, что качаешь и что из этого может получиться.
Да и один только браузер не обеспечит тебе полную безопасность. Надо связка: голова, антивир, фаервол, браузер 😉 Причем расставлено все в порядке важности.
Шпионинг браузера? Дорогие вы мои. Исходники Хрома открыты. Качайте, вырезайте, радуйтесь. Как по мне у меня не так много берут деперсонализированной инфы, чтобы я перестал его использовать.
Если вернуться к вопросу чем я вообще пользуюсь. То тут ответ довольно прост: в семерке юзаю ИЕ9, как по мне он достаточно удобен, я не испытываю с нем никакого дискомфорта, тогда вопрос: зачем менять паракмахера;) , и для некоторых вопросов иногда использую хром, и то только в инкогнито)) Так как сейчас, по долгу службы, установлена 8рка, а там превью версия 10го ИЕ немножко подглючивает на некоторых сайтах (Дуров, привет!), поэтому больше юзаю хром. Вообще на той же семерке установлены и фокс и опера, но запускаю я их только когда балуюсь с версткой, для обеспечения кроссплатформенности.
Не хочу холиварить, так что буду игнорировать «националистические» комменты 😉
Хм, ну что сказать…. Мне, как и компилятору особо скрывать нечего. Гугл не тащит у меня так много конф. инфы. Я лично юзаю ИЕ9. Меня поражает ее скорость и хорошая поддержка ХТМЛ5. Радует работа смартскрина. На счет автоапдейтов… А разве МС не выпускает апдейты на ИЕ9?
Антивирь у меня настроен, брандмауэр тоже. Что мне еще нужно для полного счастья? Я как то вообще могу обходиться без этих прелестей и прекрасно защищаю свою машину сам.
А, действительно, как сказал Кирилл, в семерке стоит ИЕ9. Он сверхудобен и отлично справляется со всем. Зачем же его менять?
Я остаюсь при мнении: все зависит от юзера и большинство проблем связаны с пользователем. Если есть хоть немножко мозгов — можешь и смартскрин выключать — все равно ты сможешь обойти ловушки и прочую гадость.. Если же речь идет о рядовом пользователе, который вчера себе купил компьютер и сегодня научился его включать… в чем же проблема? В ие9 все параметры безопасности отлично работают, все лишнее блокируют. Незнающий пользователь сможет отдаться ему и прекрасно будет работать в интернете. К тому же, МС предоставляет разного рода службы безопасного браузинга. Онляндия для малышей чего только стоит:) К слову, я использую ИЕ9, при этом я не опирался от технической части и кодов. Я просто исользую его за удобность, скорость и мировой статистики. До недавнего времени, он был первым почти на всех таблоидах. Я остаюсь верен ему.
Как бы внезапно Secunia опубликовала годовой отчет по уязвимостям вендоров. Она это делает каждые полгода и результатов не скрывает.
Более того можно по любому продукту легко посмотреть список уязвимостей.
Например IE9 — 35 уязвимостей
http://secunia.com/advisories/product/34591/
Google Chrome 9 — 58 уязвимостей
http://secunia.com/advisories/product/34150/
Google Chrome 17 — 35 уязвимостей
http://secunia.com/advisories/product/39702/
Так что про незакрытые уязвимости не надо рассказывать. Они в MS очень оперативно закрываются. Я как раз за этот процесс отвечаю.
Если посмотреть рейтинг вендоров Secunia с наибольшим количество уязвимостей то список возглавляют Novell, RedHat, Canonical, Oracle, Apple, Google. И только потом уже MS со своим почетным 9-м местом.
Так что об инженерной культуре и защищенности ПО можно судить не только по словам MS но и по сторонним весомым доказательствам.
Нажмите для доступа к
И они показывают что MS в этом вопросе впереди многих старательно называющих себя безопасными.
«Например IE9 – 35 уязвимостей http://secunia.com/advisories/product/34591/»
И при этом одна непатченная. У Кроума все закрыты.
«Так что об инженерной культуре и защищенности ПО можно судить не только по словам MS но и по сторонним весомым доказательствам.»
Бла-бла-бла, бред евангелиста. О каких весомых доказательствах идёт речь, если даже по данным Secunia у Internet Explorer 9 одна незакрытая рекомендация (http://secunia.com/advisories/47129/)? Про Internet Explorer 8 я вообще молчу. Google поддерживает только и исключительно самую актуальную версию браузера из канала обновлений Stable, всё что раньше — автоматически дропается из поддержки.
Анжел, мне кажется ты неумышленно путаешь уязвимости с рекомендациями Secunia. Все уязвимости Microsoft закрывает. Вовремя. Рекомендации Secunia же Microsoft может как закрывать, так и не закрывать. На свое усмотрение. Аналитики и специалисты ИБ в Microsoft не менее компетентны, чем в Secunia, я думаю.
То, что Google поддерживает только последнюю версию браузера для корпоративного сегмента не есть хорошо. Я думаю, всем понятно почему.
Ну и последнее. Андрей уже давно работает не на позиции евангелиста 😉 Это так, на всякий случай 😉
«Рекомендации Secunia же Microsoft может как закрывать, так и не закрывать. На свое усмотрение. Аналитики и специалисты ИБ в Microsoft не менее компетентны, чем в Secunia, я думаю».
Но каким-то образом у Кроума даже рекомендации исправлены. Парадокс.
«То, что Google поддерживает только последнюю версию браузера для корпоративного сегмента не есть хорошо»
Браузер Гугла корпоративному сегменту интересен чуть более чем никак. Гуглу, видимо, тоже не особо сегмент интересен. Видимо, в Гугле сообразили, что от корпоративщиков бабла не дождёшься, поэтому положили МПХ на корпоративщиков.
Касательно Андрея я в курсе, но риторика осталась той же.
Молодцы, я ж не говорю, что это плохо 🙂 Но, это явно не пример для подражания 😉
Ох, если бы IE не задирал пользователя какбэ устрашающими предупреждениями по любому поводу.
Например? Я вот в повседневной работе никаких предупреждений не получаю 😉
Типа таких, бухгалтера пугает зазря: http://cs302510.userapi.com/u30412909/76798801/y_e62c08ff.jpg
Список уязвимостей в различных продуктах : http://www.cve.mitre.org/cve/cve.html , обновляется ежедневно 😉
лолд
о какой безопасности может идти речь, когда в ie до сих пор не заблочен банальный nimp.org
А в Chrome заблочен ) А что вообще по тому адресу?
http://lurkmore.to/GNAA
SmartScreen успешно заблокировал этот сайт:
а в ie8 почему-то нет.
поддерживаю. еще можно промолчать о том, что IE8 небезопасен и содержит критические неустраненные уязвимости и исправить их нельзя — IE9 не встанет например на XP (пока все еще самой распространенной оси!!), не говоря уже о висте.
На счет профессионализма специалистов из секунии можно не волноваться — они спецы именно в сфере информационной безопасности, и их бюллетеням можно доверять.
Оценить безопасность личного своего браузера со всеми плагинами (не забывайте, что они так же очень сильно могут влиять на безопасность, почти у всех установлен хотя бы адоб флеш, но почему-то при сравнительных обзорах это не учитывают) тут http://www.surfpatrol.ru Чем больше красного — тем более тщетны усилия разработчиков браузеров по повышению уровня безопасности.
Ни в Internet Explorer 8, ни в Internet Explorer 9 нет ни одной известной незакрытой уязвимости. Internet Explorer 8 — в свое время был единственным браузером, который получил награду от Online Trust Alliance за высокий уровень безопасности.
Я нисколько не сомневаюсь в уровне компетенции специалистов из Secunia, поверьте 🙂
И да, я всегда говорил, что плагины — это потенциальный источник новых угроз. Но, это больше камень в огород как раз ФФ и Хрома, не правда ли? 🙂
это почему же =) плагины на IE такие же дырявые, как и для всех других и обновлять их нужно с такой же периодичностью
это не так http://secunia.com/advisories/product/21625/ (Unpatched 28% (8 of 29 Secunia advisories) а почему микрософт их не закрывает — это уже другой разговор
Потому, что пользователи ФФ и Хром используют плагины для своих задач чаще, чем это делают пользователи ИЕ. Многие возможности в нем есть уже «из коробки» и ставить лишние плагины просто нет необходимости.
Secunia четко разделяет уязвимости и свои рекомендации. Поэтому я и вам предлагаю не путать эти два понятия.
>>>Многие возможности в нем есть уже “из коробки” и ставить лишние плагины просто нет необходимости.
Не перехвалите IE ) Почему-то никому особо никогда и не хотелось писать под него плагины, видимо не от большого удобства написания. С появлением так называемых «акселераторов» IE процесс пошел лучше.
Недавно один товарищ делал интересный вебсервис, для него он написал плагин для Chrome, затем скрипя зубами сделал акселератор для IE, а для остальных браузеров вообще пришлось обойтись букмарклетами.
В точку! Сложность написания плагинов под ИЕ, несомненно является большим недостатком.
вот уж нет. http://habrahabr.ru/post/114002/ adobe flash установлен у 9 из 10 пользователей
Я имел ввиду количество установленных плагинов. Прошу прощение, некорректно выразился.
Ах! Вадим, Вы меня убедили, IE самый крутой браузер в нашей деревне. 😉
Только непонятно почему сравниваются «голые» браузеры без дополнений? Ни один нормальный пользователь уже давно по сети так не ходит…
Я готова перейти на него уже сегодня, при условии, что Вы мне сообщите аналоги плагинов FF для IE (желательно (!) бесплатные):
Adblock Plus
BetterPrivacy
Cookie Monster
Flashblock
FlashGot
FoxLingo
HTTPS-Everywhere
ImgLikeOpera
NoScript
RefControl
RequestPolicy (заблокировал 14 запросов на сторонние ресурсы)
Tab Mix Plus (не обязательно, но желательно его наличие)
Torbutton (аналогов нет и не будет, но надежда умирает последней ;))
User Agent Switcher
С нетерпением жду ответа =^_^=
Простите, вам важна безопасность или просто нравится играться с плагинами?
Лично мне, как пользователю, важно иметь быстрый, стабильный и безопасный инструмент для доступа к веб ресурсам и сервисам. Internet Explorer «из коробки» обладает всеми этими качествами. А если вам важно количество установленных плагинов — используйте себе ФФ на здоровье 😉
Но напомню, что каждый установленный плагин — это еще одна потенциальная дыра в безопасности. Поэтому я для себя стараюсь свести их использование к минимуму.
Вы путаете плагины (флеш, ява) с аддонами. Аддоны — это XPI-файлы, которые расширяют функционал браузера. Аналога NoScript в IE не будет никогда, т.к. это не для домохозяек.
http://ru.wikipedia.org/wiki/NoScript
Да нет, я как раз ничего не путаю. Каждый аддон ФФ — это такая же потенциальная дыра в безопасности как и любой другой плагин.
Если, по вашим словам, NoScript не нужен «домохозяйкам», то технически грамотным пользователям он и подавно не нужен, т.к. необученные пользователи несомненно представляют более уязвимую мишень для злоумышленников, и задача защитных механизмов и технологий в первую очередь защищать именно их.
В любом случае, ИТ-специалисту Internet Explorer предоставляет встроенные гибкие средства по настройке блокирования JavaScript и других потенциально опасных элементов веб-страниц.
Столько фанатизма в одном посте я давно не видел, лол, а вроде не блог Карманова. Конечно, ие куда удобнее настраивать через диалог настроек времен царя Гороха, чем через удобные интерфейсы и хоткеи.
«…Несомненно, Internet Explorer обладает многими защитными механизмами. Но, эффективность большинства из них может свестись “на нет”, например, использованием пиратской ОС Windows…»
Вадим, будьте добры, скажите пожалуйста, почему именно использование пиратской ОС Windows может свести » на нет » многие защитные механизмы браузера Internet Explorer ?
Элементарно, Ватсон — на пиратской оси гугл обновится, а осел нет в большинстве случаев. Просто пользователь боясь слета взлома оси выключит обновления. Но тут как то забывают — и гугл и лиса разрабатываются под разные платформы, а 9 осел точат под одну единственную ось и то увы не до конца.
А еще пиратская сборка может содержать руткит или любой другой вредоносный код. Равно как и активатор при «патчинге» тоже может внести код злоумышленника в вашу систему. Но в таком случае все меры достижения безопасности до лампочки вне зависимости от используемого браузера 😉
Подскажите, пожалуйста, есть или нет смысл дополнительно к имеющемуся у IE 9 Фильтру SmartScreen, а также к установленному WOT на Windows 7 x 64 устанавливать бесплатный плагин для проверки интернет-страниц и файлов, скачиваемых из сети Интернет, например Dr.Web LinkCheckers или что-либо другое ? А также что можно поставить дополнительно к IE 9 на Windows 7 x 64 для проверки URL-адресов, проверку которых Фильтр SmartScreen вроде бы как не осуществляет ?
К сожалению, ни одна технология защиты, в т.ч. и SmartScreen, не в состоянии обеспечить гарантию 100% защищенности. Поэтому, при условии отсутствия конфликтов, комбинирование технологий и механизмов защиты несомненно повысит общий уровень защиты системы. Однако, за все надо платить, в данном случае системными ресурсами 😉
Что Вы скажите про SRWare Iron и PaleMoon?
Iron неплох, но он урезан по сравнению с полноценным хромом, того же pdf-вьювера нет. А для стабильного firefox я могу порекомендовать сборку японца tete009, а если хочется дикой скорости и новшеств — то тогда nightly x64 — рвет waterfox и palemoon 64 легко.
Безопасный IE — даже не смешно. Какая разница сколько уязвимостей если их не спешат закрывать даже при наличии эксплоитов. CVE2012-1889 и эксплоиты под неё http://dev.metasploit.com/redmine/projects/framework/repository/entry/modules/exploits/windows/browser/msxml_get_definition_code_exec.rb http://www.symantec.com/connect/blogs/cve-2012-1889-action . А что MS молчит, да нет всё нормально заплатка будет недели через две- три, месяц… ждите, а пока есть чудная фикса 50897, только вот многие ли о ней знают. Люди отказываются от IE даже статистика говорит об этом, а жаль мне нравится этот браузер. Но согласитесь когда вас хакнули через этот браузер вы предпочтёте что нибудь иное, например хром, оперу, лису… так сказал один мой знакомый, который не настолько сильно погружён в it мир, что бы читать technet перед сном.
Мда и тут ещё недавно этот flame…
Проекту Singularity скоро 10 лет стукнет, а выходит очередная NT 6.2 — печально.
Internet Explorer такой безопасный браузер http://www.securitylab.ru/news/430209.php?page=post&blog=comments&id=24386&commentId=342959#342959
Ха-ха-ха!!!
И что? Устранили уязвимость за три дня. Покажите мне браузер без уязвимостей. Вон у Хрома их в 12 раз больше чем у ИЕ 😉
Не понимаю как с Вами связаться, уважаемый автор. Посему вопроса два:
1. Как с вами связаться? чтобы не писать как сейчас не по теме.
2. Меня интересует вот какой момент. Может быть IE действительно стал замечательным браузером, НО! я не могу перейти на него после долгих лет использования мозиллы по причине… громадного количества рекламы в IE. Можете что-то посоветовать, может статью написать на эту тему?
Комментарий в виду несвязности с темой статьи можно и удалить.
Спасибо за блог!
1) Как со мной связаться я ответил на своей странице в сервисе ask.fm: http://ask.fm/vadymg
2) Резать рекламу в IE9/10 возможность есть, даже без установки сторонних плагинов. Как это делать я, наверное, и правда напишу статью, а то мало кто об этом знает.
> а то мало кто об этом знает.
Да бросьте, о hosts знают все 🙂
Я понял, значит надо писать 🙂
Вот, написал статью:
Как блокировать рекламу в Internet Explorer
Добый день.Выскажу свое мнение по данному вопросу.В браузерах всегда были, есть и будут уязвимости, вопрос не в их количестве, а в критичности для системы и возможности компроментации пользовательских данных.В этом смысле пользоваться IE категорически не рекомендую, он интегрирован в windows, имеет привилегии system и уязвимости позволяют напрямую получать доступ к ядру операционной системы.В этом смысле запуск из chroma того же калькулятора или игры, не трубующих повышенных привилегий под win.7, я считаю детской шалостью и удивляюсь, за что google в этом случае вообще платит. И сам пользуюсь портабл версиями google chrome opera и firefox запуская их в песочнице выставляя на максимум UAC и не работая с учетной записью пользователя.Вопросы относительно безопасности плагинов, например adobe flash — это отдельная большая тема, где не так все просто и где IE тоже существенно проигрывает.
Ну, во-первых, я соглашусь с вами, что само по себе количество уязвимостей в программном продукте еще ни о чем не говорит. Однако, большое количество этих самых уязвимостей, как минимум, говорит о низком качестве программного кода, и потенциально является угрозой с точки зрения ИБ. В продуктах Майкрософт находят относительно мало уязвимостей (хотя ищут их очень активно, я думаю это для вас не секрет) благодаря применению подхода Security Development Lifecycle. И то, что в браузере Google Chrome находят в 12 раз больше уязвимостей, чем в IE9, я думаю характеризует инженеров Google не с самой лучшей стороны.
Что же касается вашей рекомендации не пользоваться IE, то она ничем не обоснована, поскольку приведенная аргументация является технически безграмотной, причем абсолютно полностью. Для начала почитайте хотя бы об Integrity Levels в Windows 7. И, кстати, тут как раз Google Chrome тоже сильно проигрывает IE 😉
>И то, что в браузере Google Chrome находят в 12 раз больше уязвимостей
Так это же наооборот хорошо, не? Больше находят = больше закрывают. А вот китайцы через ваш IE воруют данные у корпораций только так, и не думаю, что там стояли пиратки без обновлений. Что-то разу не видел новостей о взломе, чтобы там фигурировал фокс, хром или опера.
Простите, но у вас какая-то детская логика.
По-вашему, получается что человек, у которого обнаружили и вылечили 36 болезней здоровее того, у кого обнаружили и вылечили лишь 3. Так получается? 😉
Где это у вас китайцы данные то воруют через ИЕ? Где ссылки на статистику регулярной кражи данных у корпораций, ссылки на используемые эксплойты, незакрытые уязвимости, которые при этом используются? Где пруф того, что эти самые корпорации используют не пиратский софт и регулярно ставят апдейты? Детский сад какой-то, честное слово.
Ошибся в тексте- работая только под учетной записью обычного пользователя.
Вот когда microsoft начнет выплачивать как google солидные денежные призы за взлом своего браузера, тогда и можно будет разговаривать про эффективность Security Development Lifecycle.А пока Vupen уже продает новый эксплоит для IE10 + Windows 8.И конечно же эксперты Федерального ведомства по безопасности в области информационных технологий Германии, которые недавно рекомендовали не использовать IE, тоже являются не грамотными в IT?Вообще дело вкуса.Еще раз выскажу свое мнение — проблема IE в глубокой интеграции с ОС.Механизмы изоляции пока не эффективны и легко взламываются, доказательства тому эксплоиты в свободной продаже.И с моей точки зрения лучше наличие 100 уязвимостей, которые при работе с гостевой учеткой не дают возможность доступа к ядру системы, чем одна, дающая возможность модификации ядра.В этом случае установят руткит и Вы даже не заметите проблему.Более того сам по себе с моей точки зрения IE проигрывает firefox с noscript+request policy.А по настройкам для конкретных сайтов(sniffer+ad охотник) и работе с видео Maxthon 3 с моей точки зрения вообще вне конкуренции.
1) Какое отношение имеет выплата денег за нахождение уязвимостей к SDL?
2) Как показывает практика, в подавляющем большинстве случаев МС закрывает уязвимости задолго до появления эксплоитов. Если вы что-то знаете о незакрытых эксплоитах, дайте ссылку на пруф, иначе с вашей стороны это не более чем просто трёп.
3) Это когда же эксперты Федерального ведомства по безопасности в области информационных технологий Германии рекомендовали не использовать IE, да еще и недавно? Вы либо а) врете; б) слышал звон да не знаете где он
4) Про интеграцию вы пишите бред
5) Разберитесь с механизмами изоляции и их работой, а уж потом только определяйте их эффективность
6) Дайте ка ссылку на незакрытую уязвимость, дающую возможность модификации ядра.
7) Что там кому в чем проигрывает — это, действительно, лишь ваш сугубо субъективное мнение. Но, поскольку вы не являетесь экспертом в области ИБ, то мы ваше мнение просто пропустим.
Кстати, по поводу эффективности работы майкрософта над безопасностью — http://www.anti-malware.ru/news/2012-11-14/10563
Как подаётся-то:
> Windows 8 едва появилась на прилавках магазинов, однако ее уже активно латают разработчики
Аж целое обновление.
За то же время в одном только ядре Линукса — не считая приложений — более 110 уязвимостей, но это, понятно, опускается.
Ссылка не проблема — http://www.anti-malware.ru/news/2012-11-02/10462.Обратите внимание на то ,что подобный эксплоит использует множество уязвимостей в IE10 и Windows 8.И, кстати,Вадим, я не переходил на личности, научитесь быть немного вежливей.Я не слышу звон, а читаю и давно увлекаюсь вопросами безопасности.Насчет другого вопроса-http://www.nakanune.ru/news/2012/9/19/22286461/.И я хочу заметить, что Windows — платная ось, а линукс — free.Как то большего хочется за свои деньги, и мы здесь не сравниваем операционные системы, или я ошибаюсь?Теперь по поводу безопасности помимо наличия уязвимостей — очень часто вредоносный код внедряется именно на вполне легитимные ресурсы, и лично я пока не вижу в этом смысле альтернативы firefox с noscript+request policy,которые предоставляют возможность полностью контролировать межсайтовые запросы, шифровать куки, принудительно включать для сайтов https, да и многое другое.В IE я подобного функционала к сожалению не нашел.Насчет Google Chrome — отчасти с Вами согласен, однако именно этот браузер рекомендую для просмотра флеша, т.к. он поддерживает PPAPI flash с песочницей.По поводу реализации приватности данных у Chroma явная проблема,однако никто не запрещает использовать для этого firefox как я написал чуть выше.
Простите.
Касательно вашей ссылки.
> соединив цепочку из множества 0-day уязвимостей в Windows 8 и браузере Internet Explorer 10.
> Как видим, хакерам Vupen удалось преодолеть защитные механизмы Address Space Layout Randomization (ASLR) и Data Execution Protection (DEP), а также методы AntiROP, которые ориентированы на блокирование техники обхода ASLR и DEP
Теперь про Германию. «Рекомендовали временно воздержаться от использования Microsoft Internet Explorer» и «рекомендовали не использовать IE» — все же разные вещи, не так ли? Я вообще-то живу сейчас в Германии, и мне, наверное, виднее каким браузером пользуются тут в государственных ведомствах.
Плагин noscript — вещь, несомненно, полезная. И его использование это явный плюс к безопасности. Однако, это всего лишь плагин. А значит, далеко не все пользователи ФФ себе его установят. Кроме того, далеко не все пользователи смогут с ним работать. А ведь обеспечение безопасности пользователей, специальность которых далека от ИТ является задачей куда более приоритетной. Ну и наконец, безопасность надо рассматривать более многогранно, с разных аспектов.
И еще подумав скажу следующее — самый распространенный вид атак на сегодняшний день — это xss — http://ru.wikipedia.org/wiki/%D0%9C%D0%B5%D0%B6%D1%81%D0%B0%D0%B9%D1%82%D0%BE%D0%B2%D1%8B%D0%B9_%D1%81%D0%BA%D1%80%D0%B8%D0%BF%D1%82%D0%B8%D0%BD%D0%B3 .Метод обхода xss- фильтра в IE 9 — http://www.securitylab.ru/analytics/407785.php .Про уязвимости веб-ресурсов — http://www.securelist.com/ru/blog?topic=199192946 .Включит ли пользователь скрипты для полного отображения сайта? — думаю да.Выводы, думаю, писать лишнее.Кстати,именно поэтому в firefox желательно использовать помимо noscript request policy.
Многие аналитики ИБ с вами не согласятся. На сегодняшний день наиболее распространенный вид атак это социальная инженерия, и фишинг в частности. Эффективные антифишинговые средства для Internet Explorer Майкрософт предоставила еще в начале 2009 года. Догнать SmartScreen по эффективности в Mozilla смогли только в конце 2012 года. Показательно, не правда ли?
Что касается XSS, то вы правы — это действительно достаточно распространённый и опасный класс угроз. Однако, основная ответственность за защиту от XSS все же ложится на разработчиков веб-технологий и платформ (WordPress, SharePoint) и администраторов веб-узлов. Тем не менее, в Internet Explorer еще с 8-й версии встроен достаточно эффективный XSS фильтр, который блокирует большинство атак и постоянно улучшается. Конечно, есть варианты обхода этого фильтра, ни кто не говорит о полной безопасности. Однако, в приведенной вами статье некоторые примеры обхода достаточно сомнительны с точки зрения практической реализации,
Ну такое,в общем, это можно долго обсуждать, если было бы все так однозначно, пользователи делали бы и однозначный выбор.Мне лично удобней настраивать noscript + request policy, но соглашусь, что в плане автомата IE лучше Однако никто не мешает использовать разные браузера для разных задач
Есть еще один важный аспект, почему я пользуюсь портативными версиями браузеров firefox и google chrome dev в гостевой учетке — возможность полного управления IE через реестр(я это имел ввиду про интеграцию). Теоретически можно наставить hips или задать соответствующие разрешения веткам реестра, но это явно не для обычного пользователя.
Интересно, что вы думаете о браузере comodo dragon?
Если брать линейку chromium, то я предпочитаю google chrome dev с расширением scriptsafe. Comodo Dragon несколько урезанный вариант с запаздывающими версиями chromiuma и отсутствием ppapi плагинов flash и pdf.
Я думаю, что самый безопасный браузер Mozilla Firefox
Тоже решился заняться защитой и скачать браузер побезопасней. Ни хочу никого расстроить, но судя по браузерной таблице с Браузермании, самые безопасные браузеры — это Хромы и Интернет Эксплорер. Мой любимый браузер — Опера, оказался самым небезопасным вместе Лисёнком 😦
Но сегодня есть ещё и такой безопасный браузер, как Comodo IceDragon на основе Mozilla Firefox! Но он со своими noscript + request policy не очень удобен в обычном просмотре сайтов, поэтому я прошу уважаемых Вадима Гаевого и Дмитрия, пожалуйста, сделать обзор этого браузера, чтобы простые пользователи могли научиться использовать его безопасные функции.
т.е. результат тестирования NSS который полностью проплачивает мелкософт можно считать авторитетным? даже не смешно.
Пока его не оспорил ни один из вендоров-конкурентов — да, можно. И подобные тестирование проводили не только NSS Labs:
http://www.osp.ru/pcworld/2011/07/13009498/
Вивальди- лучший браузер! Скачать можно тут : http://failzoma.ru/file/3902c4
Ждём с нетерпением.
——
https://www.madhousedc.com/18-year-old-college-girl-tinder-date-with-big-tits/ | https://www.madhousedc.com/
С…Р°-С…Р°-С…Р° Рто просто нереально….
——
https://www.daylyporn.com/cheating-wife-angela-white-fucking-stranger/ | https://www.daylyporn.com/