三步走 學會超安全的Web浏覽 電腦技術吧

作為一個安全分析師和研究員，我發現自己常常喜歡探索互聯網的一些黑暗角落。在時刻關注網絡安全問題的過程中，我經常要浏覽那些一般人不敢靠近的網站;所以更有可能被當做攻擊的目標。這迫使我要制定一個格外有效的方法更安全的上網沖浪。

了解存在的風險

針對Web浏覽器的攻擊分為兩大類。

第一類攻擊的目標是您的浏覽器。內容包括：

◆跨站點腳本（XSS），其中非法攻擊者插入惡意代碼到一個你信任的網頁上，並使您的浏覽器自動運行它。

◆跨站點請求偽造（CSRF的），攻擊者在一個Web頁面中插入代碼，使他可以以你的名義發送命令到其他網站（比如您的網上銀行賬戶）;

◆點擊劫持(click jacking)，就是說惡意程序隱藏在一個網站上，您可能無意中按下按鈕。

針對浏覽器的攻擊，利用欺騙性的網頁或鏈接將您重定向到意想不到的地點，通過劫持浏覽會話，悄悄下載惡意軟件到計算機上，或執行交易（如您的Web郵件轉發給攻擊者）。

第二類攻擊的目標是你的整個系統。這種系統性的攻擊利用你的浏覽器或插件（如QuickTime或Flash）上安全漏洞來攻破你的電腦。這些攻擊利用了可以進行病毒、蠕蟲和遠程攻擊的緩沖區溢出和其他漏洞

為了保護自己不受到這兩種攻擊，以及一旦受到攻擊能盡快隔離，我使用了多級策略。第一步就是用1Password（密碼策略）設定並保存你的密碼。

但我也使用了多層次浏覽器系統，甚至操作系統，以使自己盡可能安全即使你沒有訪問過我的網站，這其中的一些預防措施也會對你有用的。

【第一步：使用多個浏覽器】

我的第一道防線是使用不同的Web浏覽器完成不同的活動。這樣，即使攻擊者侵入某個我正在使用的Web論壇，他或她也不能從那裡攻擊我的網上銀行，因為我使用另一個浏覽器上我的網銀。或者，我用專門的浏覽器登陸我的Facebook，那些侵入Facebook的最新的XSS（跨站腳本）蠕蟲無就法從那裡進入我的亞馬遜或Web電子郵件帳戶。

我的主要浏覽器是Firefox 3.5而且安裝了NoScript和Adblock插件。

默認情況下，NoScript禁用Java，JavaScript，Flash及其他常常可用於攻擊的動態內容。它使我可以詳細地控制，這樣我就可以永久或暫時為特定網站或網頁啟用腳本。因為浏覽器如果不運行腳本或插件，幾乎是不可能受到攻擊的。NoScript插件是極有效的，只要我不會意外授權某個包含惡意代碼的網站。

Adblock Plus插件利用網站黑名單來自動阻止網站上的內容，黑名單中包括含有惡意廣告和間諜軟件的網站。我把它留做NoScript插件的備用，以防我不小心授權了一個惡意腳本。壞家伙們越來越多地使用廣告條幅和追蹤器來散布他們的惡意代碼; Adblock Plus則給了我額外的保險。

除了這兩個插件，我也設置火狐不儲存我的密碼（工具->選項->安全設置），我使用1Password密碼管理器來管理我的所有密碼。

我使用Firefox進行一般的浏覽，但不用它來登陸那些需要輸入敏感個人信息的網站（如銀行）以及我知道會有極大風險的網站。對於這些網站，我會采用一些更嚴厲的措施。下面給你一一列出我的做法。

因為Safari相比Firefox會更難被鎖定，我使用它登陸那些既不敏感也沒風險的網站，例如維基百科，Pandora(網絡電台網站)和Apple。這些是我經常訪問的網站，上這些網站時，我用不著設置NoScript插件，因為此時用Safari要比Firefox更好一些。在“首選項”- “綜合設置”下，我禁用“下載完成後打開安全文件”選項。在“首選項”- “自動填充”，我禁用“用戶名和密碼”選項。（譯者注：可惜的是Safari在Windows下工作時中文渲染效果很差）

默認情況下，Firefox和Safari都會利用自己的黑名單來識別那些已知的欺詐網站。（在Firefox中，轉到“工具”- >“安全- >”隔離已報告的攻擊網站”；在Safari中，轉到首“選項”- >“安全- > “當訪問一個欺詐網站時發出警告”。）我把這些設置激活。

我使用NetNewsWire作為我的RSS閱讀器。在其“首選項”-> “浏覽”->“網頁設置”中，我關閉所有插件，以防止惡意代碼通過一個RSS訂閱傳播，比如一段包含一個緩沖區溢出文件的視頻。(我們一般用Google Reader，安全性很好）