專家探討浏覽器安全問題

 安全漏洞穿透用戶桌面
  2009年2月，微軟發布了廣受關注deMS09-002安全漏洞公告，並隨之馬上提供了針對該漏洞de更新補丁。當訪問者使用IE 7浏覽器訪問特定規格de網頁時，MS09-002漏洞會允許遠程惡意代碼執行，從而破壞訪問者de計算機系統。這一問題de典型性在於，面向浏覽器de惡意攻擊已經成為過去一年當中增長最為迅猛de一類桌面安全威脅。同時，在該威脅發布後de，各大防病毒產品廠商都截獲了大量基於該漏洞de攻擊。甚至一些以前流行過de惡意軟件，都開始集成針對MS09-002de攻擊機制生成新變種，試圖卷土重來。
 
其它近期值得關注de安全漏洞
  在MS09-002漏洞發布之前，還有一些值得關注de針對浏覽器de安全漏洞。比如去年年底出現de微軟0day漏洞，其影響de浏覽器版本比MS09-002還要廣泛。而目前最新爆出deAdobe安全漏洞，則利用了PDF文檔中嵌入de可執行浏覽器腳本，將會引起非常廣泛de安全影響。

 
 
安全爆炸點de輪回
  整個2008年當中，桌面安全de最主要問題集中於木馬下載器等等以Web訪問為載體de病毒程序。據不完全統計，在過去de三年間，基於Webde病毒程序每年都保持著至少翻一番de增長水平。而2008年作為病毒大爆發de一年，所出現de超過一千萬種新病毒中，有超過百分之二十都是下載器程序。其實下載器程序並不是一個新鮮產物，在很早之前就有使用這類機制de惡意計算機程序存在。但是之所以在近年來變得如此“繁榮”，核心de原因還在於桌面安全攻防兩大陣營de角力，所帶來de整個安全環境de變化。作為最古老也是最基本de互聯網應用，網頁訪問無疑擁有最龐大de用戶群體和最高de使用頻率。但是隨著浏覽器軟件de功能不斷豐富、家族成員不斷增長，反而成為在安全防護上相對薄弱de一環。與電子郵件、即時通訊等主流互聯網應用相比，網頁訪問保護工具雖然數量不少，但在深度和精度上卻難以匹敵其它專項工具。由於網頁訪問表面de簡單性，反而掩蓋了用戶誤用行為所帶來de危害，以及紛繁de技術功能所帶來de安全隱患。
 
浏覽器上de安全風險
  提供更豐富de功能，在Web頁面中使用了越來越多de客戶端腳本和組件技術。這一方面帶來了更好de功能和用戶體驗，同時也使用戶在使用浏覽器軟件時要面對更多de安全問題。木秀玉林，風必摧之，JavaScript客戶端腳本技術已經成為事實標准上de標准，自然也是被惡意軟件利用de主要對象。由於JavaScript對操作系統de使用范圍和權限受到了較為嚴格de限制，所以很難利用其直接進行破壞。但是下載器程序往往利用JavaScript到互聯網上下載實際de攻擊代碼。ActiveX作為浏覽器軟件與其它平台進行交互de重要技術，也有著悠久de安全問題歷史。由於具有比浏覽器腳本更強de系統操縱能力，基於ActiveX組件de病毒程序往往更具破壞力，而且可以直接對操作系統展開攻擊。很多企業級de軟件系統將ActiveX組件作為實現客戶端功能de核心技術，使安全保護體系de搭建變得更加復雜。除此之外，利用Windows Script HostdeVBScript以及目前已經較少使用deJava Applet小程序等等，都可以基於浏覽器開展破壞活動。同樣值得關注de是，作為桌面計算機上最常用de應用程序，浏覽器現在與操作系統de結合越來越緊密。除了與Windows操作系統緊密集成deIE浏覽器之外，其它de浏覽器同樣也利用很多操作系統de底層組件來提升自身de功能價值。這也是為什麼利用浏覽器問題de安全攻擊可以如此具有破壞力de重要原因，很多漏洞允許攻擊代碼可以直接破壞或利用操作系統核心。特別對於那些廠商尚未發布更新補丁de0day攻擊來說，桌面計算機將完全暴露在攻擊之下幾無還手之力，這也是目前雲安全技術被寄予厚望de原因。趨勢科技在截獲微軟浏覽器de0day攻擊漏洞時只花了幾分鐘時間，這給漏洞補丁de及時發布提供了良好de前提。而幾乎已經成為標准功能de基於雲設施deWeb地址過濾，則可以有效地防止用戶訪問那些帶有安全威脅de網站，這樣即使計算機在存在漏洞de情況下也有更大de幾率在面對攻擊時生存。
 
互聯網入口de安全變革
  依賴，對於浏覽器這個最重要de互聯網訪問入口，用戶主要依賴於安全廠商提供de軟件產品來獲得安全保護。不過可以看到，浏覽器廠商們也在不斷補充自身產品de安全特性，這可以給用戶帶來層次更豐富de保護。對於各種利用客戶端腳本de安全攻擊，特別是利用ActiveX這樣可能直接實現安全攻擊de惡意程序，浏覽器產品以及操作系統本身de安全機制往往顯得更加重要。微軟在新推出deIE8浏覽器當中，會對傳統deActiveX控件機制作出調整。在新de浏覽器版本中，ActiveX控件de安裝將不再需要管理員權限，而使用當前登錄用戶de權限安裝。這樣可以實現更符合邏輯de權限分割，一旦當惡意程序利用了ActiveX感染了計算機，也不會輕易de獲得管理權限。而且如果一個ActiveX插件不在該機制de白名單中，其操作本地系統de功能將受到很大de限制，這可以很好de緩解利用ActiveX機制破壞操作系統de問題。這一改變de衍生意義在於，用戶和廠商都可以更好地對Flex、Silverlight等流行de富客戶端訪問插件進行控制，從而在一定程度上避免浏覽器上不斷增加de可執行能力所帶來de安全風險。不過，這項改進也存在一些限制，比如目前只有在Vista或更高版本de操作系統中才能使用該機制，而目前占有率還比較高deXP操作系統則無法使用。
以網絡釣魚為代表de各種網絡欺詐，也是目前主要de安全威脅之一。浏覽器軟件正在廣泛地集成各種識別欺騙性網址de功能，其中較為典型de當屬FireFox。由於提供插件開發機制，用戶除了可以使用FireFox自身提供de防網絡釣魚功能，還可以下載很多提供類似功能de插件，從而獲得較為適合自己de防欺詐保護。在微軟deIE8浏覽器當中，還提供了一項獨特de功能改進。用戶在浏覽器de地址欄輸入網址之後，IE8會識別網址中de頂級域名部分並將其用高亮de形式顯示。雖然這項改進看起來非常de小，但是在實際使用過程中de效果缺出乎意料de有效。這能夠明顯地提高用戶de注意力，從而判別自己是否正確輸入了網址。同時，在IE8中提供de增強de安全過濾器，也可以完成對網址de分析。最重要de是，通過設置安全策略，可以將這個安全過濾器de防護等級提高，從而更大限度de屏蔽可疑網址。http://.
 
 
上網行為安全袖珍指南
    事實上除了注意更新操作系統漏洞和使用有效de安全防護產品等技術手段之外，想提高訪問互聯網時de安全性，要重點控制上網時de用戶行為。注意應用情景是首要de原則，雖然在自己de個人計算機上記憶密碼相對比較安全，但是養成不使用記憶密碼功能de習慣還是更加穩妥。如果是在公共場合上網，即使沒有使用密碼記憶，也建議對訪問歷史進行清除。不要注冊帳號時使用相同de信息是另一個好習慣，這樣可以避免一點被突破破層層被突破。同時，對於不需要提供真實信息de網絡服務，在注冊de時候還是應該適當de保留個人信息。

 
 
 浏覽器de明日危機
 
    隨著客戶端技術de不斷發展，越來越多de應用使用浏覽器作為訪問媒介，包括很多企業級應用。據此分析，浏覽器軟件de安全功能還會不斷增加，新增功能和插件可能會爆出de安全漏洞也會隨之增加。由於浏覽器de遍布性和應用規范de不統一，希望通過簡單de方式獲得高安全性是非常困難de。除了各個方面要密切配合之外，在系統層面實現更加強大de安全模型才能夠讓浏覽器獲得足夠de安全動力。一個好消息是當前de互聯網用戶群體已經在使用習慣和警惕性上有了很大提升，不過還需要在系統平台上更好de固化和管理用戶上網行為。即將發布deWindows 7等新系統平台，將帶給我們新一輪答案。

專家探討浏覽器安全問題.