作為一個安全分析師和研究員,我發現自己常常喜歡探索互聯網的一些黑暗角落。在時刻關注網絡安全問題的過程中,我經常要浏覽那些一般人不敢靠近的網站;所以更有可能被當做攻擊的目標。這迫使我要制定一個格外有效的方法更安全的上網沖浪。
了解存在的風險
針對Web浏覽器的攻擊分為兩大類。
第一類攻擊的目標是您的浏覽器。內容包括:
◆跨站點腳本(XSS),其中非法攻擊者插入惡意代碼到一個你信任的網頁上,並使您的浏覽器自動運行它。
◆跨站點請求偽造(CSRF的),攻擊者在一個Web頁面中插入代碼,使他可以以你的名義發送命令到其他網站(比如您的網上銀行賬戶);
◆點擊劫持(click jacking),就是說惡意程序隱藏在一個網站上,您可能無意中按下按鈕。
針對浏覽器的攻擊,利用欺騙性的網頁或鏈接將您重定向到意想不到的地點,通過劫持浏覽會話,悄悄下載惡意軟件到計算機上,或執行交易(如您的Web郵件轉發給攻擊者)。
第二類攻擊的目標是你的整個系統。這種系統性的攻擊利用你的浏覽器或插件(如QuickTime或Flash)上安全漏洞來攻破你的電腦。這些攻擊利用了可以進行病毒、蠕蟲和遠程攻擊的緩沖區溢出和其他漏洞
為了保護自己不受到這兩種攻擊,以及一旦受到攻擊能盡快隔離,我使用了多級策略。第一步就是用1Password(密碼策略)設定並保存你的密碼。
但我也使用了多層次浏覽器系統,甚至操作系統,以使自己盡可能安全即使你沒有訪問過我的網站,這其中的一些預防措施也會對你有用的。
【第一步:使用多個浏覽器】
我的第一道防線是使用不同的Web浏覽器完成不同的活動。這樣,即使攻擊者侵入某個我正在使用的Web論壇,他或她也不能從那裡攻擊我的網上銀行,因為我使用另一個浏覽器上我的網銀。或者,我用專門的浏覽器登陸我的Facebook,那些侵入Facebook的最新的XSS(跨站腳本)蠕蟲無就法從那裡進入我的亞馬遜或Web電子郵件帳戶。
我的主要浏覽器是Firefox 3.5而且安裝了NoScript和Adblock插件。
默認情況下,NoScript禁用Java,JavaScript,Flash及其他常常可用於攻擊的動態內容。它使我可以詳細地控制,這樣我就可以永久或暫時為特定網站或網頁啟用腳本。因為浏覽器如果不運行腳本或插件,幾乎是不可能受到攻擊的。NoScript插件是極有效的,只要我不會意外授權某個包含惡意代碼的網站。
Adblock Plus插件利用網站黑名單來自動阻止網站上的內容,黑名單中包括含有惡意廣告和間諜軟件的網站。我把它留做NoScript插件的備用,以防我不小心授權了一個惡意腳本。壞家伙們越來越多地使用廣告條幅和追蹤器來散布他們的惡意代碼; Adblock Plus則給了我額外的保險。
除了這兩個插件,我也設置火狐不儲存我的密碼(工具->選項->安全設置),我使用1Password密碼管理器來管理我的所有密碼。
我使用Firefox進行一般的浏覽,但不用它來登陸那些需要輸入敏感個人信息的網站(如銀行)以及我知道會有極大風險的網站。對於這些網站,我會采用一些更嚴厲的措施。下面給你一一列出我的做法。
因為Safari相比Firefox會更難被鎖定,我使用它登陸那些既不敏感也沒風險的網站,例如維基百科,Pandora(網絡電台網站)和Apple。這些是我經常訪問的網站,上這些網站時,我用不著設置NoScript插件,因為此時用Safari要比Firefox更好一些。在“首選項”- “綜合設置”下,我禁用“下載完成後打開安全文件”選項。在“首選項”- “自動填充”,我禁用“用戶名和密碼”選項。(譯者注:可惜的是Safari在Windows下工作時中文渲染效果很差)
默認情況下,Firefox和Safari都會利用自己的黑名單來識別那些已知的欺詐網站。(在Firefox中,轉到“工具”- >“安全- >”隔離已報告的攻擊網站”;在Safari中,轉到首“選項”- >“安全- > “當訪問一個欺詐網站時發出警告”。)我把這些設置激活。
我使用NetNewsWire作為我的RSS閱讀器。在其“首選項”-> “浏覽”->“網頁設置”中,我關閉所有插件,以防止惡意代碼通過一個RSS訂閱傳播,比如一段包含一個緩沖區溢出文件的視頻。(我們一般用Google Reader,安全性很好)