今天的Web浏览器有不同的安全优点和缺点,和提供了一个神奇的子弹没有威胁。下面是如何保持你的上网安全
Web浏览器是保证让你的网络浏览体验绝对安全吗?当然,答案是没有。如果你有需要高度安全的电脑管理,那么你不应该允许它在公共网上冲浪。就是这么简单。安全并不极端,但如果你需要你可以做的事情有很多,使您的浏览器更安全,你的上网安全。让这个深潜水成为你的向导。
互联网浏览器是非常复杂的软件与高度复杂的交互的编程代码,大部分不太友好。没有“超级安全”浏览器。已知漏洞的数量与一个特定的浏览器完全跟踪它的受欢迎程度。没有惊喜。甚至安全的Internet Explorer的替代品,所有新浏览器似乎声称,通常已经被数十个有针对性的利用。(即使是最新的,Google Chrome,已经有一打。)
(得到完整的勺在保护你的浏览器在信息世界”Web浏览器安全深度潜水”PDF的特别报道。|更好地管理你的公司与我们的信息安全安全中心通讯。]
今天,很大一部分的计算机攻击来自合法网站被恶意修改。简而言之,限制你冲浪只知名,合法网站不能确保一个安全的网络浏览体验。这个问题只会变得更糟,而不是更好,在短期的未来。
浏览器安全的战争大约一年前,我花了几个月的运行五个最流行的浏览器ie, Firefox, Safari和Opera——Google Chrome通过安全测试的电池。最让我惊讶的是,没有一个浏览器默默地允许恶意软件安装在我的测试系统。换句话说,如果一个完全修补浏览器运行在一个完全修补Windows系统(Windows XP SP3,在我的测试中),那么恶意软件成功的最佳机会就是在欺骗用户自愿执行它。这就是为什么社会工程特洛伊木马——假的浏览器插件,假冒反病毒程序,等等——是如此常见。要小心了。
是的,总会有零日漏洞可以通过浏览器默默地感染,但在测试中,我发现在每一个恶意网站,我参观了(我相信这是一个很好的代表性)提供了一个可执行的安装或试图使用的开发软件,已经被修补。使用一个完全修补系统(所有的软件,而不仅仅是浏览器)阻止所有沉默的攻击在我真实的测试。
我花了几个星期的时间寻找零日攻击测试,我发现这些网站的时候,他们已经被修补或洞。这并不是说零日攻击不会被一些人。很明显,他们所做的。但他们是一个非常小的少数民族。普通用户更有可能(99.999%概率)遇到利用试图利用漏洞补丁可用。
几乎所有的恶意网站我遇到提供了一个可执行的安装,通常在形式的虚假的反恶意软件播放器软件或某种形式的内容。为了被感染,我不得不故意运行提供了可执行的,而不是总是,但这么近。有少数的网站试图利用畸形或不匹配的内容欺骗第三方软件默默地执行代码,但它是罕见的;当我的系统完全修补,它默默地从未成功。反过来也是如此。当我故意提供安装了恶意软件,每个浏览器允许底层主机系统成为妥协。
结果回来一切我一直说在过去的几年里。你最好的防御恶意攻击是一个完全修补系统(操作系统,浏览器,浏览器插件,和所有其他的软件),和教育用户没有安装提供的虚假的可执行(这往往看起来很合理)。
几乎所有现实生活中的利用使用JavaScript来启动可执行。很容易在所有的浏览器中禁用JavaScript支持,除了铬,但是这样做也会导致高百分比的合法网站的问题(把婴儿和洗澡水一起倒掉了)。禁用JavaScript是有意义的,当一个应用补丁的零日启动和快速传播(偶尔也有)。但是最严重的零日漏洞打补丁的几天之内,因此风险敞口的日子被最小化。
我的浏览器安全审查的另一个有趣的结果:我感到惊讶有多少每个浏览器共享安全特性(钓鱼、饼干控制anti-XSS处理,弹出窗口拦截、文件下载检测、数字证书处理,等等)。每个浏览器也提出了一定的优势,对不同的用户的吸引力。
做一个安全的浏览器许多安全专家推荐任何浏览器,但是ie作为最好的安全防御。虽然有一些安全使用较少攻击软件,一个更好的问题是,这是最安全的选择最流行的浏览器?什么是最重要的安全特性在浏览器中寻找,小心的弱点是什么?
每个新的浏览器条目通常更安全的浏览体验的承诺,只是为了证明,使一个真正安全的Web浏览器是很困难的。每个最流行的浏览器都有几十个修补漏洞。即使是最新的,谷歌的Chrome, 2008年9月,在beta发布形式十多个。也许最有力的证明有多难做一个安全的网络浏览器是文本猞猁浏览器,这么简单一个浏览器可以(它甚至不能显示照片或视频没有外部程序),五个漏洞。如果攻击者可以造成缓冲区溢出的一种基于文本的浏览器,任何浏览器会有它的问题更加复杂。
一般来说,管理者必须考虑每一个网络浏览器为高风险。在高度安全的环境中,Web浏览器不允许或不允许运行从互联网上呈现内容。但假设你的企业需要浏览互联网和寻求一个Web浏览器与一个可接受的安全水平,继续阅读。一个安全的浏览器必须包括以下特征作为最低限度:
- 它是编码使用SDL(安全开发生命周期)技术。
- 它经历了代码评审和起毛。
- 它在逻辑上分开的网络和当地的安全域。
- 它可以防止简单的恶意的远程控制。
- 它可以防止恶意重定向。
- 它有安全的默认值。
- 它允许用户确认任何文件下载或执行。
- 它可以防止URL默默无闻。
- 它包含anti-buffer-overflow特性。
- 它支持公共安全协议(SSL, TLS等)和密码(3 des、AES、RSA等)。
- 它支持扩展验证,或电动汽车,数字证书。浏览器,支持电动汽车证书显示一个特殊的图标,或阴影地址栏,当用户冲浪网站获得。
- 它自动补丁和更新(与用户的同意)。
- 它有一个弹出阻止器。
- 它使用一个钓鱼过滤器。
- 它可以防止网站饼干滥用。
- 它可以防止简单的URL欺骗。
- 它提供了安全区域/域隔离信任和功能。
- 它可以保护用户的网站登录凭证在存储和使用。
- 它允许浏览器附加组件很容易启用和禁用。
- 它可以防止有害的窗口使用。
- 它提供了隐私控制。
- 它已经被黑客进行战斗在一个足够的时间。
另一个好地方开始学习的详细基本Web浏览器安全的第2部分浏览器安全手册,由米甲Zalewski维护。浏览器安全手册提供了一个伟大的介绍的许多幕后安全策略构成今天的大多数浏览器和表示支持哪些特性在不同的浏览器。
阅读更多关于如何确保您的Web浏览器在信息世界”是免费的PDF报告,“Web浏览器安全深度潜水”,包括:
- 如何衡量一个浏览器的安全吗
- 每个浏览器如何表现对我们的安全测试
- 浏览器的安全提示
- 浏览背后强制数据完整性控制
- 安全的浏览连接的秘密
- 浏览器和XSS攻击
这篇文章中,“信息世界专家Web浏览器安全指南”,最初发表在InfoWorld.com。遵循的最新发展信息安全在InfoWorld.com上。
阅读更多关于安全中心在信息世界”的中央通道的安全。
这个故事,“信息世界”的Web浏览器安全专家指南》最初发表的信息世界 。