关于浏览器安全 不要轻信虚假的承诺

　　所有网络浏览器或多或少都是不安全的，因为它们都必须与操作系统中的错误代码一起工作。尽管有一些迹象表明浏览器安全有一定的进展，例如微软和Mozilla公司频繁发布修复安全漏洞的补丁，但是如果瞬时利用成为攻击的武器，这些动作还是显得太迟和太微不足道。

　互联网用户时刻遭受着攻击——更糟糕的是，还没有可以对付各种黑客的“防弹衣”。 与微软、苹果和Mozilla等公司市场部门天花乱坠的广告相反，网络浏览器自身——而不仅仅是运行它们的操作系统——才是导致很多安全问题出现的原因。

　　任何浏览器内部都存在易受攻击的安全弱点，这使得网上冲浪并不比蒙着眼睛驾驶坦克穿越一片雷区更安全：迟早你会轧到一颗雷。 互联网使用者无法逃脱攻击者必然的攻击。对于那些网上冲浪的人来说，碰到密码偷窃、钓鱼攻击和恶意软件感染的危险总是存在的。

　　避开如色情网站和游戏网站等明显的恶意软件集散地只能略微使得受攻击风险降低。而不使用微软的Internet Explorer——无论是当前的版本还是很快就要发布的7.0版本——也同样只能延缓这种不可避免的攻击。

　　Whitehat Security的创建者及CTO Jeremiah Grossman告诉TechNewsWorld：“所有浏览器都有可利用的薄弱环节。现在真正重要的只是哪一个被攻击的可能性最低。”他认为，“（Mozilla的）Firefox是避开危险的最佳选择。”

　　不安全的浏览器

　　所有网络浏览器或多或少都是不安全的，因为它们都必须与操作系统中的错误代码一起工作。尽管有一些迹象表明浏览器安全有一定的进展，例如微软和Mozilla公司频繁发布修复安全漏洞的补丁，但是如果瞬时利用成为攻击的武器，这些动作还是显得太迟和太微不足道。

　　Alladin eSafe商业集团技术副主管Shimon Gruper解释说：“对于受到攻击的可能来讲，（Internet Explorer）和Firefox大约是相同的。唯一的区别是Firefox不使用ActiveX。ActiveX允许基于网络的程序在任务完成前一直在本地计算机上运行，这是非常不安全的。”

　　Grossman补充道：“并没有办法可以使得我们完全免受攻击。短期来讲， 谁也没有办法解决这一问题。”

　　那份令人沮丧的浏览器安全评估被Cryptography Research公司的Nate Lawson附和，这是一家评估和分析安全公司的技术与系统的公司。

　　当谈及安全问题时，苹果电脑用户感受到的威胁相比之下倾向于小一些，但是使用Safari浏览器并无法缓解安全问题。

　　Grossman认为：“任何浏览器——无论是（Internet Explorer），Firefox还是Safari——在设计时都没有考虑安全架构。他们在安全方面没有什么区别。”

　　用户基础成为导向

　　对浏览器的选择决定了一位计算机用户是一直处于战争的火线上还是略微偏离着攻击者的瞄准镜。微软的Internet Explorer浏览器具有一个庞大的用户基础——占据了大约82%的市场份额——Gruper报道说因此黑客们都向它瞄准。

　　Grossman指出：“坏家伙们大多数都在跟随最多的用户，这正是微软的Internet Explorer。Firefox被攻击并不如IE那样频繁。但是这并不意味着它更安全——只是它较少地成为攻击的目标。”

　　Gruper说，犯罪分子投入了大量时间与金钱来攻入Internet Explorer因为最多的用户使用它。而Macintosh浏览器Safari的用户基础较小，但从技术角度讲它并不更安全。Lawson补充道，Safari与Firefox的设计类似，不过它与Internet Explorer差别并不很大。

　　不完善的浏览器结构

　　Windows平台中安全问题更受到热议，因为它给予用户完全的管理员权限，这意味着恶意的程序代码和黑客都可以获得系统完全的控制权。Lawson认为，Internet Explorer与其他浏览器相比更不安全，因为该浏览器中任何的错误都将危机整个系统的安全。

　　Gruper认为，当IE7.0运行于微软新的操作系统上时这些问题可能会有所改观。Vista将具有更好的安全性，因为用户权限的控制更加严格。即使运行于Windows XP上的IE7.0也会更加安全。

　　根据Lawson所说，所有浏览器的设计都是按照区块化设计的，这意味着不同的任务——例如向屏幕递交图像、 维持HTTP连接等——是位于被整合起来的区块中的。 没有一个单独的区块可以限制对于其他区块的特权或访问。

　　重大的罪人

　　Grossman建议说，用户可以采取的降低他们被入侵风险的最有效措施之一就是在Internet Explorer中禁用Java脚本和微软的ActiveX特性。当然，这将使得用户无法访问某些网站或者使网站的可视性受到限制。

　　根据Lawson所说，Firefox的可配置性更好，这使得它的风险级别降低。他建议禁用那些不被使用的功能，并安装阻止flash的扩展。

　　他说，Internet Explorer位于一个受到更多攻击的位置，这在很大程度上是因为ActiveX和Java脚本。它们将整个操作系统中每个可编写的组件暴露在外。

　　在Grossman眼中，浏览器安全环境已经越来越糟糕，因为现在网络已成为那些寻找新的金钱来源的坏家伙们的新战场。攻击者已经没有必要再在操作系统中探寻。

　　他说：“入口位于浏览器的内部，那里将是成功所在的地方。”

　　Windows还是Mac？

　　Network Access Control安全公司的高级安全研究员Mark Loveless说，旧的观点是苹果电脑不会受到广告软件、间谍软件和病毒的攻击。他说：“所有浏览器都有问题。”

　　他赞扬了微软公司近期安全补丁工作做得很好，但他很快又说微软公司解决安全问题还有很长的路要走。

　　Loveless说：“微软发布关键补丁更新的时间太长了。”

　　他抱怨说：“Firefox总是很快行动并且把它的漏洞以及所提供的补丁或升级程序所解决的问题的完整信息贴出来。 而通常，微软发布补丁都是悄然无声的，因此用户无法得知正在发生什么。”

　　他说，另一方面苹果总是傲慢地宣称自己的Safari浏览器是安全的并且没有人对它产生烦恼，但是现在黑客们已经开始对其进行攻击。他指出：“Safari不安全的原因与任何Windows浏览器是相同的。Safari使用常见的苹果代码，所以黑客们拥有通用的代码库进行攻击。直到最近，黑客涉足的都是大多数用户所在的地方——装有Windows的电脑。现在这已开始改变。”

　　没有万能的解决方案

　　Gruper的观点是，现在浏览器安全环境已经令人感到没有希望。

　　作为结论，他说：“没有可能为了用户修复它。唯一的选择是软件开发者通过可以减少暴露的第三方程序提高安全性。”Lawson对此表示同意，他认为为了解决浏览器面临的威胁，整个行业需要协同的努力来重新定义运行于电脑上的软件可操作的界限。他认为Vista对此迈出了很好的一步。

　　他敦促道，“应用程序作者需要使他们自己的程序代码更加安全，他们应该定义限制与特权。”