网路浏览器使用上的安全自保笔记

tangren

作者：异尘行者
网路浏览器，意即我们平常说的IE、Firefox、Opera、Safari等等软体，透过这些软体我们才可以看到各种网站网页，也才能上网完成各种工作业务和生活娱乐。当然，网路浏览器本身都是无害的，不过当你在各种不同的网页间浏览时，你的主机其实一直的透过浏览器在和那些远端的网站互动，持续的会有资料、档案在你的主机和远端服务器之间双向传输，而这时候因为浏览器而打开的沟通出入口，就有可能带出你不应该被带出去的资料，或者也可能带进你不想带进来的档案，这时候就会危害到你的资讯安全。正所谓“病从口入”，但是我们不可能不开口吃饭讲话，我们也不可能不打开与网路沟通的窗口，所以这时候如何在这个窗口上建立起适当的防御措施，就是上网玩家不可不知的自保之道。

以下我就分享我自己认知上几种针对“浏览器使用”的安全自保方法，也欢迎各位读者提供你们自己在观念、习惯上的建议，或者推荐优秀的浏览器安全辅助软体。尤其我比较少使用电子商务，所以关于这一块其实有更大安全需求的领域，非常欢迎大家来提供意见。


浏览器使用观念与习惯：



    * 浏览器本身的安全漏洞：

虽然我说浏览器本身都是“无害的”，但不代表浏览器都是“安全的”，这个意思是说：软体的开发与设计并非完美，所有的浏览器都会在设计上出现漏洞，这些漏洞可能会被有心人利用来入侵你的电脑并进行破坏或窃密。所以我们可以看到许多浏览器都持续的在推出新版本，其中主要的原因就是要修补安全漏洞，不管你使用那一种浏览器，基本上都应该要持续的关注并升级到浏览器的最新版本。



    * 恶意的浏览器扩充插件：

有时后当我们浏览到某个网站时，会看到浏览器的上方出现一条讯息，或是弹出一个说明视窗，内容告诉你说：“浏览这个网站需要安装XXX。”在IE浏览器中，这些插件可能是叫做ActivX控制项，在Firefox中可能是Plugin，或者我们也可能在Firefox中安装各种扩充套件。这些插件有些是安全的，但是也可能有人利用提供一些恶意的插件来入侵你的电脑。

当你遇到要安装这些插件的时候，尤其是当这些插件是“自己跳出来”问你要不要安装时，你应该要很谨慎很谨慎的确认这个网站的安全性，一个基本的自保方法就是，除了“真正的”微软官网、Firefox官网和你真的知道这个插件的用途与安全，以及除了不安装该插件就无法使用但你又“不得不用”这个网站的情况外，其他所有这类型的讯息都应该要以“否决”为第一选项。

另外在IE浏览器中，你可以到“网路网路选项”→［安全性］里面，将“网际网路”的安全性调整到中高以上，来确保不知名的插件不会被自动下载。而在Firefox中，你可以到“选项”→［安全］里面，勾选“在网站试图安装附加元件时通知我”。



    * 浏览器绑架：

所谓的“流氓软体”，就是说在未经使用者允许的情况下，擅自修改使用者的首页设定、浏览器标题列，或者在使用者的浏览器中强制安装工具列，也有可能让你在上网时一直弹出一些你不喜欢的广告视窗。而且既然叫做“流氓”，就表示它们通常很难改回来、很难反安装，会把你的浏览器彻底的“绑架”。这种绑架更常的出现在IE身上，主要是因为IE是最普遍的浏览器，所以很多攻击也会针对它，而防御的方法除了不要随便逛“奇怪”的网站和安装“奇怪”的软体外，也可以靠着一些安全工具来帮你锁住或复原浏览器的设定。

什么是奇怪的网站？例如色情网站、破解网站、任何看起来充满金钱、欲望诱惑的网站，和那些你用常理判断会觉得好像不太可能但是又让你很想试试看的网站，这些网站不一定不好，但是里面出现怪东西的机率确实比较高。虽然不至于需要因噎废食，但如果没有很必要，或者是没有事前很完整的调查来证明这个网站真的安全，那么最好不要去上这些网站，因为其实还会有很多其它网站可以找娱乐，没必要为了一时的满足而以身涉险。



    * 下载档案：

这是最传统最传统的中毒途径，以前靠着磁碟片传递，现在靠着网路下载来传递。那么在你透过浏览器来下载档案时可以如何确认其安全呢？除了和前面一样避免去使用“奇怪”的网站，并且安装防毒、扫毒软体外，像我自己下载档案也会有些基本的原则：例如任何软体我一定是到官方网站去下载，或者到Cnet Download、阿荣福利味、绿色工厂等知名的软体收集网站去下载，并且要利用Google查询一下这个软体在网路上普遍没有被回报成恶意软体后才下载。

还有对于被其它用户自行打包成一个压缩档的软体，我通常不会去下载；因为我使用的大多是免费软体，既然官方网站都提供了直接下载安装档了，实在没必要冒险去下载别人打包成压缩档的档案。当然，有些值得信任的软体提供者例外（例如阿荣福利味等网站就辛苦的帮大家检查、制作并打包好了许多安全的免安装、中文化软体包），不过大多陌生人打包的压缩档，或者论坛上面提供的私人压缩包，因为你不知道里面装了什么，所以我会觉得还是下载原始的官方档比较保险。

这也是为什么电脑玩物中提供的软体下载点一定是官方网页，而且除非万不得已不会直接放上“下载点”，而是放上“可以找到下载点的官方网页”的原因。一方面我自己电脑也存在中毒风险性，我上传提供的档案说不定有因此被感染的风险，这样反而害了读者；另一方面我觉得任何人下载档案前都应该阅读一下说明，所以提供官方的网页也有其必要性。



    * 钓鱼网站：

所谓的钓鱼网站就是伪装成某些正常或知名的网站，然后诱骗你在上面输入你的帐号资料，并藉此窃取你的机密资讯；也就是说透过伪造网页来进行网路诈骗。通常这些伪造网站在外观上会很像官方网页，而且在网址上也可能只有一两个字母的差别，所以当我们浏览到电子商务型网站时，务必一再的确认网址无误后，才进行一些需要输入机密资讯的动作。

在“最新型”的浏览器中，例如IE7、Firefox2.0以上，都包含了防范钓鱼网站的功能，当然这只能达到部份防御的功效，不过为了安全着想还是应该使用这些新版的浏览器。



    * 网页上的恶意连结或程式码：

即使你都很小心的避免奇怪的网站，或是不去下载奇怪的档案，也都有检查网址以避免钓鱼，但是有些正常的、官方的网页上，也有可能被入侵植入一些恶意的连结或程式码，而且这些藏在网页里的恶意程式有可能是“主动式”的，只要你一连上网页，就会在背后有入侵的行为，通常是在你电脑中植入木马和间谍类的软体，以窃取机密为主。

这大概是浏览器使用上目前最难防范的一块，前面所有的习惯和观念都会有助于这一个资安危机的防范，尤其是浏览器本身更新的漏洞修补；但是你可能还会需要安装防毒、防火墙或特定功能的安全软体来挡掉恶意的入侵和窃密。



    * 个人的帐密隐私－自动填表：

不管是IE或Firefox，使用这些网路浏览器时，都要对个人的隐私资料有一定程度的谨慎。我的意思是，首先你应该要想清楚，目前这台电脑除了你自己，有没有可能被别人使用？假设是公用的电脑，当你利用浏览器中自动填表的功能记录了你的帐号密码，那么其他人“非常容易”的就可以透过使用同一台电脑来登入你的帐户。这种危机可大可小，不过在公用的电脑里面，甚至是在个人的电脑中，你都应该要将“清理隐私资料”这件事当作最重要的安全工作。

你可以在IE的“网际网路选项”→［内容］里的“个人资讯”选择［自动完成］来进行设定或清理，如果是公用电脑最好不要使用自动完成的功能，或是用完后要记得清理（如果你临时去使用公用电脑，首先更应该先检查这项设定）。

如果在Firefox中则可以选择“选项”，进入［安全］中取消勾选“记住每个网站的密码”；并且进入［个人隐私］中，取消勾选“储存我输入的表单与个人搜寻列的内容”。或者也可以在［个人隐私］的下方勾选“结束Firefox时清除隐私资料”，并进入［设定］里勾选你想要抹除的资料。

另外要注意的是，虽然有许多系统清理软体看起来可以清除这些浏览器留下的帐密资讯，但是它们通常无法真正抹除干净由浏览器纪录的表单资料，所以我还是建议自己进入浏览器设定来清除田表资料比较保险。



    * 个人的帐密隐私－Cookie：

关于浏览器的帐密隐私问题，还有一个比较有疑虑的就是“cookie”的使用，cookie是拿来干麻的？不清楚的人我想看一下这份Yahoo的隐私声明应该就可以瞭解cookie的用途。cookie会伴随着你去浏览网站而存进你的电脑主机，并自动保存一段时间，它让你以后进入网站时网站可以认出你，并让网站可以纪录你的某些使用行为（例如流量统计、电子卖场的购物车资料、直接用之前的帐密登入网站等等）。它本意没有什么不好，事实上网站运用cookie 还可以优化使用者的体验（或是让网站获得优化使用者体验的数据）。然而就像前面说的，你可以信任cookie本身，但是你无法信任某些奇怪的网站，你不知道它们会利用由cookie所获得的资料来干麻，而且就和前面的自动填表功能一样，你让电脑中保留着这些帐密与隐私，就有可能让其他使用这台电脑的人，或是入侵这台电脑的间谍软体有机会窃取你的机密。

所以我们可以在IE浏览器中，进入“网际网路选项”的［隐私权］，将设定值调整到［中］以上，来避免一些有疑虑的cookie进入你的电脑；另外你可以在［一般］标签页面里按下［删除cookie］来清除资料。而在Firefox浏览器中，你可以到“选项”的［个人隐私］里面，决定是否要允许网站设定cookie，这部份通常还是允许会比较方便（除非你在很不安全的电脑使用环境中），不过你可以在［例外］中设定不想允许其cookie的网站，并在下方设定cookie过期的期限，例如设定为【关闭firefox】后；不过更好的方法和前面一样，就是设定当你结束firefox时清除所有的隐私资料。


针对浏览器使用安全的辅助软体：

P.S.下面我是“列举”所有可以“辅助浏览器使用”的安全软体，而非是要读者全部安装，所以使用时请注意搭配上的相容性。




    * 判断每个网站的安全性：
    * McAfee SiteAdvisor：http://www.siteadvisor.com/

前面在基本观念与习惯里讲了那么多，其中很重要的一点就是不要去浏览问题网站，可是我们要如何去过滤掉有问题的网站呢？这时候McAfee的SiteAdvisor是很好的小助手，它可以用不同的安全等级来标示网站，其庞大资料库中还包含了许多网站可能存在的危安因素，让用户可以有一个判断和使用上的依据。



    * 写入恶意网站黑名单：
    * SpywareBlaster：http://www.javacoolsoftware.com/spywareblaster.html
    * SpywareBlaster 4.0预防恶意入侵，打一针浏览器安全疫苗
http://playpcesor.blogspot.com/2008/03/spywareblaster-40.html
你也可以透过事先在浏览器里面写入黑名单，禁止去浏览特定的网址，或者不允许某些网址的cookie或档案安装到电脑中。而SpywareBlaster可以帮你完成这样的工作。



    * 进入或下载前扫瞄连结：
    * Dr.Web Link Checker：http://www.freedrweb.com/browser/
    * 帮浏览器装上Dr.Web的网页连结安全扫瞄功能
http://playpcesor.blogspot.com/2007/09/drweb.html
适合IE、Firefox、Opera三种浏览器的安全扫瞄外挂，让你可以在进入连结前手动扫瞄其网页的安全性，或是下载档案前扫瞄档案是否安全。像是论坛或讨论区常常有一些连结和载点，但是我们不知道那是不是安全的，因此对于有疑虑或不知名的连结，使用前多检查一下总是好的。



    * 阻挡恶意连结：
    * FireKeeper：http://firekeeper.mozdev.org/index.html
    * 为 Firefox 上的网页浏览添加恶意程序防护套件：FireKeeper 0.2.10
http://playpcesor.blogspot.com/2 ... irekeeper-0210.html
    * NoScript：http://noscript.net/
    * 值得一提的火狐套件更新：NoScript、Locationbar
http://playpcesor.blogspot.com/2007/03/noscriptlocationbar.html

前面也提到了在一些网站中可能存在或被植入恶意的连结、程式码，而上述两个Firefox专用的扩充套件，可以帮你阻挡过滤有疑虑的连结或程式。被它们过滤的连结不代表一定有问题，因为它们是采取“可疑”即阻挡的方式，尤其是NoScript更是可以过滤掉所有网页上JavaScript的执行。有的使用者会认为这种先行过滤，我觉得没问题再手动放行的机制比较安全。



    * 扫瞄清除有问题的浏览器资料：
    * Ad-Aware 2007 Free：http://www.lavasoftusa.com/products/ad-aware_se_personal.php
    * Spybot-S&D：http://www.safer-networking.org/ct/index.html
   .............
    * a-squared Free & HiJackFree“高效”、“简单”恶意软体扫除工具
http://playpcesor.blogspot.com/2 ... ree-hijackfree.html
    * 亡羊补牢犹未晚，手动安全扫瞄软体特集－Scan and Remove
http://playpcesor.blogspot.com/2007/05/scan-and-remove.html

即使我们很注意网路浏览时的安全，也很难确保不会有些奇怪的东西从浏览器跑入电脑中，所以记得定期的对电脑进行一些手动的扫瞄，尤其如果你也是安装免费的防毒软体，它们通常没有反间谍功能，所以更应该常常进行手动的反间谍扫瞄清理。



    * 锁住你的浏览器设定：
    * Arovax Shield：http://www.arovaxshield.com/
    * Arovax Shield 2.1.103 ：即时阻绝间谍、流氓软体的绑架
http://playpcesor.blogspot.com/2007/05/arovax-shield-21103.html
这是一个简单型的HIPS防护软体，特别针对浏览器在使用时可能遇到的安全威胁而设计，它可以阻挡针对IE浏览器的绑架行为，也可以封锁有问题的cookie写入，并保护你的host file等等，详细的功能可以参考我之前文章的介绍。

要注意的是，这个软体因为有HIPS的功能，所以可能会和其他包含HIPS功能的软体相冲突，例如Comodo Firewall Peo 3.0、ThreatFire，许多商业版的安全中心也具有HIPS功能，例如卡巴斯基，有需要的用户只要在这些软体中择一使用即可。另外所谓的HIPS（主机入侵防御），就是说把所有可疑的系统写入都预设阻挡，需要使用者自行来判断其是否应该放行，也可以说是“系统的”防火墙，而和一般的网路防火墙、防毒软体有所区别。



    * 特殊的浏览器安全辅助工具：
    * Haute Secure：http://hautesecure.com/index.aspx
    * 社群防御、主动封锁网路的恶意入侵：Haute Secure 2.0
http://playpcesor.blogspot.com/2008/03/haute-secure-20.html
一个专门为现代浏览器使用而开发的安全工具，详细的内容可以参考我之前的文章。Haute Secure也具有一定程度的HIPS功能，所以请注意和同类型软体可能发生的相容性问题。



    * 防毒软体和防火墙：

当然，防毒软体不只可以用在浏览器，也可以用在许多的电脑安全防御上。在浏览器使用上，免费的
Avast！http://www.avast.com/index.html
或
Avira Antivir  http://www.free-av.com/
都具有一定程度上帮你阻挡网页上主动执行的恶意程式的功能，另外当然很重要的就是防毒软体可以帮你扫瞄下载档案的安全性。

至于防火墙的功能，则是在过滤你的网路连出或连入，当你不幸真的“中镖”时，防火墙或许可以帮你挡掉恶意软体在你电脑中打开的入侵或窃密通道。



小结：

这篇文章是针对“浏览器使用上”应该注意的安全事项，和可以辅助使用的安全工具来做介绍的。欢迎大家针对这样的主题提供更多的意见和回馈。

[ 本帖最后由 tangren 于 2008-10-15 14:48 编辑 ]

tangren

这篇文章是去年的，还是能解决不少问题的。