瀏覽器安全:虛假的承諾 不要輕信(轉)
瀏覽器安全:虛假的承諾 不要輕信(轉)[@more@]出處:賽迪網
所有網路瀏覽器或多或少都是不安全的,因為它們都必須與作業系統中的錯誤程式碼一起工作。儘管有一些跡象表明瀏覽器安全有一定的進展,例如微軟和Mozilla公司頻繁釋出修復安全漏洞的補丁,但是如果瞬時利用成為攻擊的武器,這些動作還是顯得太遲和太微不足道。
網際網路使用者時刻遭受著攻擊——更糟糕的是,還沒有可以對付各種駭客的“防彈衣”。 與微軟、蘋果和Mozilla等公司市場部門天花亂墜的廣告相反,網路瀏覽器自身——而不僅僅是執行它們的作業系統——才是導致很多安全問題出現的原因。
任何瀏覽器內部都存在易受攻擊的安全弱點,這使得網上衝浪並不比蒙著眼睛駕駛坦克穿越一片雷區更安全:遲早你會軋到一顆雷。 網際網路使用者無法逃脫攻擊者必然的攻擊。對於那些網上衝浪的人來說,碰到密碼偷竊、釣魚攻擊和惡意軟體感染的危險總是存在的。
避開如色情網站和遊戲網站等明顯的惡意軟體集散地只能略微使得受攻擊風險降低。而不使用微軟的Internet Explorer——無論是當前的版本還是很快就要釋出的7.0版本——也同樣只能延緩這種不可避免的攻擊。
Whitehat Security的建立者及CTO Jeremiah Grossman告訴TechNewsWorld:“所有瀏覽器都有可利用的薄弱環節。現在真正重要的只是哪一個被攻擊的可能性最低。”他認為,“(Mozilla的)Firefox是避開危險的最佳選擇。”
不安全的瀏覽器
所有網路瀏覽器或多或少都是不安全的,因為它們都必須與作業系統中的錯誤程式碼一起工作。儘管有一些跡象表明瀏覽器安全有一定的進展,例如微軟和Mozilla公司頻繁釋出修復安全漏洞的補丁,但是如果瞬時利用成為攻擊的武器,這些動作還是顯得太遲和太微不足道。
Alladin eSafe商業集團技術副主管Shimon Gruper解釋說:“對於受到攻擊的可能來講,(Internet Explorer)和Firefox大約是相同的。唯一的區別是Firefox不使用ActiveX。ActiveX允許基於網路的程式在任務完成前一直在本地計算機上執行,這是非常不安全的。”
Grossman補充道:“並沒有辦法可以使得我們完全免受攻擊。短期來講, 誰也沒有辦法解決這一問題。”
那份令人沮喪的瀏覽器安全評估被Cryptography Research公司的Nate Lawson附和,這是一家評估和分析安全公司的技術與系統的公司。
當談及安全問題時,蘋果電腦使用者感受到的威脅相比之下傾向於小一些,但是使用Safari瀏覽器並無法緩解安全問題。
Grossman認為:“任何瀏覽器——無論是(Internet Explorer),Firefox還是Safari——在設計時都沒有考慮安全架構。他們在安全方面沒有什麼區別。”
使用者基礎成為導向
對瀏覽器的選擇決定了一位計算機使用者是一直處於戰爭的火線上還是略微偏離著攻擊者的瞄準鏡。微軟的Internet Explorer瀏覽器具有一個龐大的使用者基礎——佔據了大約82%的市場份額——Gruper報導說因此駭客們都向它瞄準。
Grossman指出:“壞傢伙們大多數都在跟隨最多的使用者,這正是微軟的Internet Explorer。Firefox被攻擊並不如IE那樣頻繁。但是這並不意味著它更安全——只是它較少地成為攻擊的目標。”
Gruper說,犯罪分子投入了大量時間與金錢來攻入Internet Explorer因為最多的使用者使用它。而Macintosh瀏覽器Safari的使用者基礎較小,但從技術角度講它並不更安全。Lawson補充道,Safari與Firefox的設計類似,不過它與Internet Explorer差別並不很大。
不完善的瀏覽器結構
Windows平臺中安全問題更受到熱議,因為它給予使用者完全的管理員許可權,這意味著惡意的程式程式碼和駭客都可以獲得系統完全的控制權。Lawson認為,Internet Explorer與其他瀏覽器相比更不安全,因為該瀏覽器中任何的錯誤都將危機整個系統的安全。
Gruper認為,當IE7.0執行於微軟新的作業系統上時這些問題可能會有所改觀。Vista將具有更好的安全性,因為使用者許可權的控制更加嚴格。即使執行於Windows XP上的IE7.0也會更加安全。
根據Lawson所說,所有瀏覽器的設計都是按照區塊化設計的,這意味著不同的任務——例如向螢幕遞交影像、 維持HTTP連線等——是位於被整合起來的區塊中的。 沒有一個單獨的區塊可以限制對於其他區塊的特權或訪問。
重大的罪人
Grossman建議說,使用者可以採取的降低他們被入侵風險的最有效措施之一就是在Internet Explorer中禁用Java指令碼和微軟的ActiveX特性。當然,這將使得使用者無法訪問某些網站或者使網站的可視性受到限制。
根據Lawson所說,Firefox的可配置性更好,這使得它的風險級別降低。他建議禁用那些不被使用的功能,並安裝阻止flash的擴充套件。
他說,Internet Explorer位於一個受到更多攻擊的位置,這在很大程度上是因為ActiveX和Java指令碼。它們將整個作業系統中每個可編寫的元件暴露在外。
在Grossman眼中,瀏覽器安全環境已經越來越糟糕,因為現在網路已成為那些尋找新的金錢來源的壞傢伙們的新戰場。攻擊者已經沒有必要再在作業系統中探尋。
他說:“入口位於瀏覽器的內部,那裡將是成功所在的地方。”
Windows還是Mac?
Network Access Control安全公司的高階安全研究員Mark Loveless說,舊的觀點是蘋果電腦不會受到廣告軟體、間諜軟體和病毒的攻擊。他說:“所有瀏覽器都有問題。”
他讚揚了微軟公司近期安全補丁工作做得很好,但他很快又說微軟公司解決安全問題還有很長的路要走。
Loveless說:“微軟釋出關鍵補丁更新的時間太長了。”
他抱怨說:“Firefox總是很快行動並且把它的漏洞以及所提供的補丁或升級程式所解決的問題的完整資訊貼出來。 而通常,微軟釋出補丁都是悄然無聲的,因此使用者無法得知正在發生什麼。”
他說,另一方面蘋果總是傲慢地宣稱自己的Safari瀏覽器是安全的並且沒有人對它產生煩惱,但是現在駭客們已經開始對其進行攻擊。他指出:“Safari不安全的原因與任何Windows瀏覽器是相同的。Safari使用常見的蘋果程式碼,所以駭客們擁有通用的程式碼庫進行攻擊。直到最近,駭客涉足的都是大多數使用者所在的地方——裝有Windows的電腦。現在這已開始改變。”
沒有萬能的解決方案
Gruper的觀點是,現在瀏覽器安全環境已經令人感到沒有希望。
作為結論,他說:“沒有可能為了使用者修復它。唯一的選擇是軟體開發者透過可以減少暴露的第三方程式提高安全性。”Lawson對此表示同意,他認為為了解決瀏覽器面臨的威脅,整個行業需要協同的努力來重新定義執行於電腦上的軟體可操作的界限。他認為Vista對此邁出了很好的一步。
他敦促道,“應用程式作者需要使他們自己的程式程式碼更加安全,他們應該定義限制與特權。”
所有網路瀏覽器或多或少都是不安全的,因為它們都必須與作業系統中的錯誤程式碼一起工作。儘管有一些跡象表明瀏覽器安全有一定的進展,例如微軟和Mozilla公司頻繁釋出修復安全漏洞的補丁,但是如果瞬時利用成為攻擊的武器,這些動作還是顯得太遲和太微不足道。
網際網路使用者時刻遭受著攻擊——更糟糕的是,還沒有可以對付各種駭客的“防彈衣”。 與微軟、蘋果和Mozilla等公司市場部門天花亂墜的廣告相反,網路瀏覽器自身——而不僅僅是執行它們的作業系統——才是導致很多安全問題出現的原因。
任何瀏覽器內部都存在易受攻擊的安全弱點,這使得網上衝浪並不比蒙著眼睛駕駛坦克穿越一片雷區更安全:遲早你會軋到一顆雷。 網際網路使用者無法逃脫攻擊者必然的攻擊。對於那些網上衝浪的人來說,碰到密碼偷竊、釣魚攻擊和惡意軟體感染的危險總是存在的。
避開如色情網站和遊戲網站等明顯的惡意軟體集散地只能略微使得受攻擊風險降低。而不使用微軟的Internet Explorer——無論是當前的版本還是很快就要釋出的7.0版本——也同樣只能延緩這種不可避免的攻擊。
Whitehat Security的建立者及CTO Jeremiah Grossman告訴TechNewsWorld:“所有瀏覽器都有可利用的薄弱環節。現在真正重要的只是哪一個被攻擊的可能性最低。”他認為,“(Mozilla的)Firefox是避開危險的最佳選擇。”
不安全的瀏覽器
所有網路瀏覽器或多或少都是不安全的,因為它們都必須與作業系統中的錯誤程式碼一起工作。儘管有一些跡象表明瀏覽器安全有一定的進展,例如微軟和Mozilla公司頻繁釋出修復安全漏洞的補丁,但是如果瞬時利用成為攻擊的武器,這些動作還是顯得太遲和太微不足道。
Alladin eSafe商業集團技術副主管Shimon Gruper解釋說:“對於受到攻擊的可能來講,(Internet Explorer)和Firefox大約是相同的。唯一的區別是Firefox不使用ActiveX。ActiveX允許基於網路的程式在任務完成前一直在本地計算機上執行,這是非常不安全的。”
Grossman補充道:“並沒有辦法可以使得我們完全免受攻擊。短期來講, 誰也沒有辦法解決這一問題。”
那份令人沮喪的瀏覽器安全評估被Cryptography Research公司的Nate Lawson附和,這是一家評估和分析安全公司的技術與系統的公司。
當談及安全問題時,蘋果電腦使用者感受到的威脅相比之下傾向於小一些,但是使用Safari瀏覽器並無法緩解安全問題。
Grossman認為:“任何瀏覽器——無論是(Internet Explorer),Firefox還是Safari——在設計時都沒有考慮安全架構。他們在安全方面沒有什麼區別。”
使用者基礎成為導向
對瀏覽器的選擇決定了一位計算機使用者是一直處於戰爭的火線上還是略微偏離著攻擊者的瞄準鏡。微軟的Internet Explorer瀏覽器具有一個龐大的使用者基礎——佔據了大約82%的市場份額——Gruper報導說因此駭客們都向它瞄準。
Grossman指出:“壞傢伙們大多數都在跟隨最多的使用者,這正是微軟的Internet Explorer。Firefox被攻擊並不如IE那樣頻繁。但是這並不意味著它更安全——只是它較少地成為攻擊的目標。”
Gruper說,犯罪分子投入了大量時間與金錢來攻入Internet Explorer因為最多的使用者使用它。而Macintosh瀏覽器Safari的使用者基礎較小,但從技術角度講它並不更安全。Lawson補充道,Safari與Firefox的設計類似,不過它與Internet Explorer差別並不很大。
不完善的瀏覽器結構
Windows平臺中安全問題更受到熱議,因為它給予使用者完全的管理員許可權,這意味著惡意的程式程式碼和駭客都可以獲得系統完全的控制權。Lawson認為,Internet Explorer與其他瀏覽器相比更不安全,因為該瀏覽器中任何的錯誤都將危機整個系統的安全。
Gruper認為,當IE7.0執行於微軟新的作業系統上時這些問題可能會有所改觀。Vista將具有更好的安全性,因為使用者許可權的控制更加嚴格。即使執行於Windows XP上的IE7.0也會更加安全。
根據Lawson所說,所有瀏覽器的設計都是按照區塊化設計的,這意味著不同的任務——例如向螢幕遞交影像、 維持HTTP連線等——是位於被整合起來的區塊中的。 沒有一個單獨的區塊可以限制對於其他區塊的特權或訪問。
重大的罪人
Grossman建議說,使用者可以採取的降低他們被入侵風險的最有效措施之一就是在Internet Explorer中禁用Java指令碼和微軟的ActiveX特性。當然,這將使得使用者無法訪問某些網站或者使網站的可視性受到限制。
根據Lawson所說,Firefox的可配置性更好,這使得它的風險級別降低。他建議禁用那些不被使用的功能,並安裝阻止flash的擴充套件。
他說,Internet Explorer位於一個受到更多攻擊的位置,這在很大程度上是因為ActiveX和Java指令碼。它們將整個作業系統中每個可編寫的元件暴露在外。
在Grossman眼中,瀏覽器安全環境已經越來越糟糕,因為現在網路已成為那些尋找新的金錢來源的壞傢伙們的新戰場。攻擊者已經沒有必要再在作業系統中探尋。
他說:“入口位於瀏覽器的內部,那裡將是成功所在的地方。”
Windows還是Mac?
Network Access Control安全公司的高階安全研究員Mark Loveless說,舊的觀點是蘋果電腦不會受到廣告軟體、間諜軟體和病毒的攻擊。他說:“所有瀏覽器都有問題。”
他讚揚了微軟公司近期安全補丁工作做得很好,但他很快又說微軟公司解決安全問題還有很長的路要走。
Loveless說:“微軟釋出關鍵補丁更新的時間太長了。”
他抱怨說:“Firefox總是很快行動並且把它的漏洞以及所提供的補丁或升級程式所解決的問題的完整資訊貼出來。 而通常,微軟釋出補丁都是悄然無聲的,因此使用者無法得知正在發生什麼。”
他說,另一方面蘋果總是傲慢地宣稱自己的Safari瀏覽器是安全的並且沒有人對它產生煩惱,但是現在駭客們已經開始對其進行攻擊。他指出:“Safari不安全的原因與任何Windows瀏覽器是相同的。Safari使用常見的蘋果程式碼,所以駭客們擁有通用的程式碼庫進行攻擊。直到最近,駭客涉足的都是大多數使用者所在的地方——裝有Windows的電腦。現在這已開始改變。”
沒有萬能的解決方案
Gruper的觀點是,現在瀏覽器安全環境已經令人感到沒有希望。
作為結論,他說:“沒有可能為了使用者修復它。唯一的選擇是軟體開發者透過可以減少暴露的第三方程式提高安全性。”Lawson對此表示同意,他認為為了解決瀏覽器面臨的威脅,整個行業需要協同的努力來重新定義執行於電腦上的軟體可操作的界限。他認為Vista對此邁出了很好的一步。
他敦促道,“應用程式作者需要使他們自己的程式程式碼更加安全,他們應該定義限制與特權。”
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/10617542/viewspace-961586/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 微信跳轉瀏覽器提示,微信瀏覽器中直接跳轉手機預設瀏覽器是怎麼實現的瀏覽器
- Min瀏覽器: 更快更輕量瀏覽器瀏覽器
- 微信跳轉瀏覽器如何解決!瀏覽器
- 瀏覽器的安全管理瀏覽器
- 微信跳轉外部瀏覽器有哪些功效?瀏覽器
- 瀏覽器安全(一)瀏覽器
- BIM輕量化——瀏覽器展示瀏覽器
- 不要混淆nodejs和瀏覽器中的event loopNodeJS瀏覽器OOP
- 判斷當前瀏覽器是不是微信瀏覽器瀏覽器
- 微信跳轉外部瀏覽器下載app詳解瀏覽器APP
- 微信如何直接跳轉外部瀏覽器技術揭秘瀏覽器
- 不安全的瀏覽器密碼瀏覽器密碼
- 微信跳轉wap外部瀏覽器介面如何實現瀏覽器
- Playwright 模擬微信瀏覽器瀏覽器
- Midori:輕量級開源 Web 瀏覽器Web瀏覽器
- 使用瀏覽器的 Local Storage 真的安全嗎?瀏覽器
- Ios、Android微信瀏覽器後退跳轉實現,及遇到的bugiOSAndroid瀏覽器
- 詳述微信自動跳轉外部瀏覽器是如何實現的瀏覽器
- 微信域名防封系統之微信跳轉外部瀏覽器實現方案瀏覽器
- 【瀏覽器】瀏覽器基本工作原理瀏覽器
- 微信開發:清除微信瀏覽器快取瀏覽器快取
- 微信瀏覽器除錯微信js-sdk瀏覽器除錯JS
- 輕量級影像瀏覽器和檢視器:Lyn for mac瀏覽器Mac
- win10 360瀏覽器的字型很虛怎麼辦 win10 360瀏覽器字型模糊發虛修復方法Win10瀏覽器
- Rtsp轉Flv在瀏覽器中播放瀏覽器
- 手機瀏覽器通過Scheme跳轉APP,相容各種手機瀏覽器瀏覽器SchemeAPP
- 密碼學承諾原理與應用 - 概覽密碼學
- Chrome 瀏覽器修改 UA 模擬其它瀏覽器,包括移動瀏覽器Chrome瀏覽器
- 瀏覽器瀏覽器
- [求助]如何讓pc瀏覽器和手機瀏覽器自動識別並跳轉瀏覽器
- 淺析GoogleChrome2.0瀏覽器安全效能GoChrome瀏覽器
- Edge瀏覽器被搜狗瀏覽器篡改的解決方法瀏覽器
- 基石-初見瀏覽器(一):瀏覽器渲染瀏覽器
- 主流瀏覽器廠商承認HTML5是Web的未來瀏覽器HTMLWeb
- PC微信逆向) 定位微信瀏覽器開啟連結的call瀏覽器
- 微信瀏覽器內禁止頁面回退返回瀏覽器
- microsoft edge是ie瀏覽器嗎 edge瀏覽器和ie瀏覽器一樣嗎ROS瀏覽器
- Edge瀏覽器的前世今生 史上最全Edge瀏覽器介紹瀏覽器
- 前端面試瀏覽器系列:瀏覽器快取前端面試瀏覽器快取