Tiché aktualizace prohlížečů: zlo nebo komfort?

Mozilla Firefox 13 zavedl tiché aktualizace (Chrome je má od počátku). Funkce má své kladné dopady na bezpečnost, ale najdou se i její kritici…

Tiché aktualizace jsou jedním ze způsobů automatické aktualizace počítačového softwaru, který se nyní za značné uživatelské i mediální pozornosti stále více prosazuje na poli webových prohlížečů a některých jejich doplňků v čele s rozšířeným plug-inem Flash Player od Adobe. Princip tichých aktualizací spočívá v tom, že k instalaci aktualizace dochází bez nutnosti jakékoliv součinnosti s uživatelem.

O aktualizaci se stará služba či proces běžící na pozadí. Vše proběhne plně automaticky od zjištění dostupnosti aktualizace přes její stažení až po její aplikování. Aktualizace jsou tak distribuovány a instalovány prakticky neprodleně po svém uvolnění (samozřejmě záleží, jak je distribuce rozložena, aby nedošlo k přetížení zdrojových serverů). Nečeká se na souhlas uživatele s jejich instalací.

Uživatel se o probíhajícím aktualizačním procesu vůbec nemusí dozvědět a v krajním případě se nedozví ani o úspěšném dokončení instalace aktualizace či o opravách a novinkách, které přinesla. A právě to je jedna z věcí, která kritikům vadí, ale nejdříve si povězme, proč vlastně tvůrci různých prohlížečů po tomto systému distribuce a instalace aktualizací přišli.

Tiché aktualizace přicházejí kvůli lajdáctví uživatelů

Tiché aktualizace si našly jak své zastánce, tak kritiky a jak už to tak bývá, tak právě kritici jsou poněkud hlasitější a viditelnější. Nicméně pro tiché aktualizace hovoří jeden silný argument: bezpečnost. Letitá praxe ukazuje, že ani sebejednodušší a sebedůmyslnější aktualizační mechanismus závislý na uživateli není dostatečně efektivní při šíření bezpečnostních aktualizací.

Technické inovace (automatické nabízení aktualizací nebo jejich automatická inkrementální instalace) a minimálně dvě dekády trvající osvěta nevedou ke kýženému cíli. Řada uživatelů stále ignoruje bezpečnostní aktualizace, přestože jim jsou naservírovány až pod nos. Nezáplatovaný webový prohlížeč je přitom velkým bezpečnostním rizikem.

K úspěšné infiltraci systému může dojít pouhým načtením webových stránek. Uživatel se přitom nemusí pohybovat na stránkách, které jsou všeobecně považovány za rizikové. Nejnovější pozorování ukazují, že se například nebezpečnost webů s pornem stala jenom rozšířeným klišé. Symantec například uvádí, že mnohem nebezpečnější jsou weby s náboženskou tématikou.

Útočníci napadají legitimní a dosud plně důvěryhodné weby a umisťují na ně ve vší tichosti kód pro šíření malwarové nákazy. Nezřídka využívají známých bezpečnostních chyb v oblíbených open source publikačních systémem, které ke svému chodu využívají řádově miliony webů (jako je třeba WordPress a Drupal), případně v oblíbených doplňcích a šablonách pro ně.

Infikování jednoho počítače přitom není soukromým problémem jeho vlastníka resp. uživatele. Infikované počítače se skládají do tzv. botnetů a jejich společná síla je zneužívána k nejrůznějším nekalým účelům od různých forem útoků na konkrétní služby a servery po masivní šíření nevyžádaných a podvodných zpráv nejen prostřednictvím e-mailu, ale dnes stále častěji i prostřednictvím sociálních sítí.

Libovolný infikovaný počítač s přístupem na Internet tak lze z určitého úhlu pohledu považovat za problém každého z uživatelů Internetu a samozřejmě firem na něm nabízejících či provozujících své služby. Nemluvě o útocích povahy mezinárodní či průmyslové špionáže (viz z poslední doby např. červ Flame). Proto je bezpečnostním aktualizacím přikládán takový význam a proto se (nejen) webové prohlížeče uchylují k co nejefektivnějším řešením jejich distribuce. Špičkou mezi nimi jsou právě tiché aktualizace.

Kritici si stěžují, že ztrácí kontrolu nad svým počítačem

Kritici často důvody zavádění tzv. tichých aktualizací chápou, ale na druhou stranu namítají, že ztrácejí kontrolu nad svým počítačem, což se jim vůbec nelíbí. Nepřejí si, aby jakýkoliv software cokoliv instaloval bez jejich vědomí a to včetně bezpečnostních aktualizací.

Kritici tichý aktualizací namítají, že i bezpečnostní aktualizace nezřídka způsobují problémy se spolehlivostí nebo kompatibilitou a chtějí proto mít kontrolu nad jejich instalací. Nelíbí se jim chybějící možnost tiché aktualizace vypnout (což ovšem není případ všech prohlížečů) a nelíbí se jim ani to, že nejsou vždy informováni jaké úpravy či novinky aktualizace přinesla.

Nad problémy spojenými se spolehlivostí nebo kompatibilitou nelze zavírat oči. Znám je nejeden případ, kdy se bezpečnostní aktualizace například Microsoftu nebo Mozille nepovedla a muselo dojít na její stažení z distribuce anebo vysmívanou opravu opravy. Na druhou stranu bezpečnost je silným argumentem, který se jen těžko přebíjí příležitostnými excesy.

Prohlížeče skutečně mohou vyjít kritikům vstříc a umožnit jim tiché aktualizace vypnout. To nyní nabízí Mozilla Firefox i Internet Explorer. Otázkou je, jestli všichni tito kritici přistupují k bezpečnosti adekvátně zodpovědně a jestli s vypnutím bezpečnostních aktualizací se nevrátíme zase k elementárnímu problému včasné instalace bezpečnostních aktualizací, kterým je samotný uživatel.

Může se jevit jako rozumnější stav, kdy k blokování tichých aktualizací jsou třeba pokročilé postupy vyžadující určitý vyšší stupeň erudovanosti uživatele, kdy lze s vyšší mírou pravděpodobnosti předpokládat zodpovědný přístup k zabezpečení systému. Tím pokročilým postupem může být třeba blokování aktualizací aplikačním firewallem zablokováním procesu nebo služby zajišťující tiché aktualizace.

Které prohlížeče a jak tiché aktualizace nyní podporují

O tichých aktualizacích se mluví a píše jako o nové technologii, za jejíhož průkopníka je považována společnost Google se svým prohlížečem Google Chrome, ale tiché aktualizace svým způsobem dávno před příchodem prohlížeče od Googlu zavedl Microsoft pro svůj Internet Explorer.

S příchodem SP2 pro Windows XP operační systému od Microsoftu ve výchozí instalaci automaticky vyhledávají, stahují a instalují bezpečnostní aktualizace bez přičinění uživatele. V rámci tohoto procesu je aktualizován i Internet Explorer coby nedílná součást systému. Lze jej tak označit za vůbec první prohlížeč využívající proces tichých aktualizací.

Teprve několik let po něm přišel Google Chrome se svým osobitým přístupem k instalaci aktualizací, o kterou se stará utilita běžící na pozadí. Google je však při aktualizaci prohlížeče nekompromisní a na rozdíl od Microsoftu neumožňuje vypnout automatickou instalaci aktualizací bez jakéhokoliv zásahu uživatele.

Jedinou možností je aplikačním firewallem blokovat utilitu provádějící aktualizaci prohlížeče. Proto jako určitý projev vzdoru vznikl prohlížeč Iron, který stejně jako Google Chrome staví na základech open source projektu Chromium, ovšem vypouští kontroverzní funkce, mezi něž právě tiché aktualizace patří.

To Mozilla Firefox po dlouhých přípravách zavedl ve výchozím stavu automaticky aktivní tiché aktualizace, ale uživateli je umožňuje vypnout z okna s možnostmi nastavení prohlížeče. Uživatel se tak může vrátit ke klasickému systému automatických aktualizací, kdy prohlížeč pouze upozorní na dostupnost nové aktualizace (ať už jde o servisní minor verzi nebo novou major verzi).

Tvůrci prohlížečů chtějí dohlédnout na Flash Player

Tiché aktualizace se přitom nesoustředí vždy jen na samotný prohlížeč. Google se rozhodl k prohlížeči Google Chrome přibalit plug-in Flash Player mimo jiné právě proto, aby se systém tichých aktualizací postaral i o jeho aktualizování. Společnost Adobe, která technologii Flash před lety koupila, totiž i přes všechny své sliby a snahy není schopna zajistit efektivní distribuci (bezpečnostní) aktualizací.

Výsledkem pak je, že mnozí uživatelé ohrožují bezpečnost svého systému surfováním se zastaralou verzí tohoto klíčového plug-inu pro funkčnost řady webových stránek. Tvůrci prohlížečů proto čas od času sáhnou ke krajním řešením. Apple například relativně nedávno uživatelům svého Safari dálkově zablokoval zastaralé verze zmíněného plug-inu a uživatele vyzval k jejich aktualizaci.

Mozilla krátce na to zvolila podobný krok, ovšem ne tak razantní: zastaralý Flash Player ve Firefoxu tentokrát zablokován nebyl, ale jeho uživatelé obdrželi výzvu k instalaci aktualizace. Bohužel nejsou známa čísla, která by prozrazovala efektivnost tohoto měkčího přístupu. Tedy: kolik uživatelů na výzvu zareagovalo kladně a nejnovější Flash Player si skutečně stáhlo.

Samotný Flash Player letos zavedl tiché aktualizace, ale s jejich využitím musí uživatel explicitně souhlasit, což opět naráží na problematičnost součinnosti s uživatelem. Efektivnější by bylo, kdyby Flash Player přinesl tiché aktualizace ve výchozím stavu jako aktivní bez nutnosti souhlasu či zásahu uživatele (tak to Mozilla Firefox od zmiňované verze verze 13).

Právě Flash Player je díky častému výskytu bezpečnostních chyb doslova slavobránou pro malware při jeho cestě do uživatelova systému. Ten přitom mnohdy netuší, že samotná aktualizace prohlížeče nestačí, ale že rovněž musí aktualizovat všechny v něm používané plug-iny třetích stran. Mozilla proto před časem rozjela informační kampaň spojenou se službou Plug-in Check, která zkontroluje aktuálnost nejznámějších rozšíření napříč prohlížeči.

Ze všech plug-inů je to ale Flash Player, který je útočníky nejvyhledávanější cestičkou do systému. Důvodem je jeho rozšířenost. Mezi českými uživateli Flash Player nemají ve svém prohlížeči nainstalována jen necelá tři procenta z nich. Vyplývá to z dlouhodobých dat poskytovaných službou Ranking.cz, kterou provozované analytickou společnosti Gemius. Ranking.cz monitoruje nejnavštěvovanější české weby v čele s portálovou jedničkou Seznam.cz.

Je tedy vcelku pochopitelné, že se Google rozhodl převzít odpovědnost za aktualizaci Flash Playeru na svá bedra. Stejnou cestou jde i Microsoft. Flash Player bude součástí chystaného operačního systému Windows 8, který vyjde na podzim. A jako jeho součást se bude aktualizovat přes službu Windows Update, která má přednastavené automatické instalování aktualizací. Jestli Microsoft přibalí Flash Player i k prohlížeči Internet Explorer 10 pro starší systémy není zatím známo.

Co si o tichých aktualizacích myslet? Zlo nebo dobro?

Na tiché aktualizace se nelze dívat černobíle. Pravdu mají jak jejich zastánci (vážné bezpečnostní důvody pro aplikování systému tichých aktualizací existují) i jejich odpůrci (je to ztráta kontroly nad softwarem počítače, problémy se spolehlivostí a kompatibilitou při aktualizaci čehokoliv nikdy nelze vyloučit).

Odstřihnout řadového uživatele od procesu aktualizace tak klíčové součásti systému jakou je dnes webový prohlížeč, není špatný nápad a z bezpečnostního hlediska je to dokonce více než žádoucí, jak ukazuje letitá praxe. Otázkou je provedení. Google Chrome se do tichých aktualizací pustil nekompromisně. U Googlu obecně platí, že když si něco usmyslí, tak to prostě zrealizuje a kritiku přehlíží nebo bagatelizuje.

Jeho nekompromisní přístup udělat tichým aktualizacím medvědí službu: funkce, které mohla být prezentována jako zvýšení uživatelského komfortu a posílení bezpečnosti se mnohým vryla do paměti jako cosi nechtěného, co se bez diskuse instaluje s prohlížečem a bez zásahů nástrojů třetích stran (např. zmiňovaný aplikační firewall) si dělá naprosto co si dělá cokoliv, co se mu zlíbí. Takřka jako záškodnický program.

Mozilla nastavila vstřícnější tvář. Pro řadové uživatele z mas technicky nezdatných lidí přednastavila tiché aktualizace jako aktivní. Pro ty, kteří vědí, co dělají, připravila možnost je jednoduše vypnout. Pravda, může vzniknout skupina uživatelů hrdých na své technické schopnosti, kteří tiché aktualizace sice svéhlavě vypnou, ale posléze dál budou ledabyle přistupovat k instalaci aktualizací. To je se ovšem jeví jako riziko, které je vhodné (anebo i nutné) přijmout.

V této formě lze tiché aktualizace považovat za rozumný kompromis a nebylo by vůbec na škodu, kdyby alespoň volitelně byl Firefox též schopný provádět tiché aktualizace alespoň vybraných nejkritičtějších plug-inů jako se Internet Explorer 10 (minimálně ve Windows 8) nebo Google Chrome od verze 5.0 již z roku 2010 starají o aktualizaci Flash Playeru.