注册
登录
| 关键词: 浏览器 微软 安全 Lawrence 问题 Flash 插件 一个 攻击者 而且 |
微软Internet Explorer团队的安全项目主管Eric Lawrence在一次网络直播上称微软不应当因为浏览器的安全问题而受到指责。Lawrence声称,实际上是浏览器加载项造成了诸多安全问题。 国际观点 你是否也担心Internet Explorer比其他浏览器不安全?微软Internet Explorer团队的安全项目主管Eric Lawrence在一次网络直播上称微软不应当因为浏览器的安全问题而受到指责。Lawrence声称,实际上是浏览器加载项造成了诸多安全问题。 “在过去两年中我们得到的一个事实是,黑客攻击者不再追踪浏览器自身。浏览器变成了难以攻陷的目标而且浏览器的种类众多攻击目标太广,” Lawrence说,“所以黑客攻击者的目标变成了浏览器的加载项。” 他接着表示,黑客攻击者找到拥有很高市场占有率的加载项,寻找漏洞然后通过加载项在各个浏览器中实施攻击。所以在Lawrence看来:无论你是使用IE,Firefox还是Safari、Chrome,只要在Flash、PDF、QuickTime还有其他主流的加载项(有时也称插件)中存在安全漏洞,你的浏览器就会处在不安全的环境中。 然而有一个我很了解的事实是:浏览器制造商如何使用加载项同样影响着潜在漏洞的安全性。一个很好的例子是,Mozilla修复了与QuickTime相关的认证问题,所以在Firefox配置时就不会再有问题。 现在微软在这个方面已经有了自己的打算并将付诸实践于IE 8:“我们已经对IE 8做了很多以增强系统抵御加载项漏洞的能力,” Lawrence称,“在IE 8中有一个叫做per-site ActiveX的新特性,举例来说如果你到Yahoo!中并安装了Yahoo音乐引擎,那么默认除了导向Yahoo之外不会导向其他站点。通过这种方法可以缓解恶意的IFRAME攻击。” 这些听起来都很棒,但是仍然有一个非常大的潜在问题。微软用户有Microsoft Update、Firefox用户有整合的升级……但并不是所有人们使用的加载项都有升级机制。 所以在此我建议所有的浏览器制造商:增加一个加载项认证脚本,当用户使用的是过时版本的Flash、PDF、QuickTime时,使用红色警告来告诉他们浏览器存在危险。 本文原文引起了读者的很多评论,以下择选部分: 88.96.23.134说:避免这些恼人的加载项漏洞除了增加更多的机制之外,还有更安全的方法:干脆不安装和运行加载项。 我根本就不安装Flash、Adobe's Acrobat以及 Quicktime。Flash通常在网上被用来传播广告,它是你在线隐私的直接威胁(通过它的cookie-type系统在你的网络上实际安装了窥探隐私的软件)。Acrobat很臃肿且慢得吓人,即便是在最快的电脑上。 Mozilla做了一些扩展来选择加载项(点击运行),但即便如此我仍然不选择安装那些主流的插件。查看about:plugins会发现我只安装了Real Alternative。我还从FF卸载了Windows Media Playe,因为WMP中的DRM真的很讨厌,而且WMP的安全信誉度并不好。 而且我可以向你保证不安装flash并不影响你什么。如果你想看youtube视频,我会通过keepvid.com下载并在MPlayer/VLC上播放。 Dov Grobgeld 说: 指责插件就像指责小猫溜进你家偷食。插件就像小猫,它们有动物的野性,你不可能要求它们理智。在浏览器的早期就有一个很简单的解决方法,它正是沙盒的概念。如果插件可连接的API不包含磁盘存取或者常见的存储存取或者不在线时的网络存取,那么所有的加载项都是无害的,因为当你离开网页的时候它们从你的电脑卸载了。所以如果要指责,微软也应当指责他自己赋予插件的权力。 Charles 说: 我不会使用流行的加载项如Adobe reader,还有flash我也根本不会安装。 我不运行flash是因为:它总是成为那些炫目广告的载体。Flash已经成为存储cookies的新方法,而且要移除这些cookies不是容易的事。这些cookies不但不容易找到,而且没有特殊程序几乎无从删除,它使得大型数据和更多的数据被存储,从而可以清楚地知道你去哪儿、你干什么、你喜欢什么…… 微软从不从自身的角度考虑问题直到Firefox的出现来竞争了它的市场占有率。十年之后,也许微软会后悔为什么当初不在浏览器里多修补安全漏洞以至于被Mozilla或者Firefox抢夺了市场占有率。 |
|
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系
[邮箱地址] 删除
|
