轻松配置IE浏览器安全(4)
造成此问题的位置在java小程序脚本。
Java小程序脚本和ActiveX的地位可以说是平等的,Java脚本可以被用来做小到更改一下浏览器的背景,大到格式化你的硬盘,有些人认为java脚本不能做到像ActiveX那样下载程序而认为危害比ActiveX要小,那就大错特错了。事实上,使用java脚本对注册表进行修改比利用ActiveX方便得多,而且利用java脚本进行的跨站脚本攻击(CSS或者XSS)可以轻易截获你的个人信息,盗取个人账户。更有甚者,在禁用了活动脚本的情况下,使用java脚本在关闭浏览器的时候打开新的页面并下载得到伪装的可执行程序!
由于多数使用java脚本的网站多将其用于特效显示或者制作投票窗口这种小程序上,所以关闭它并不会对浏览绝大多数网站造成太大影响。同样地,鉴于它的危害,在你充分信任网站之前,请务必禁用这个选项。
现象五:浏览器自动跳转至其他页面
造成此问题的位置在这是一个在论坛中常用到的功能,用来提示和防止刷屏,当然这个功能在任何一个页面也都可以用到。虽然代码很简单 然而,即使是这样简单的功能,也会被攻击者利用成为类似活动脚本似的攻击方式,所以……不用我说了,除非相信这个页面,否则禁用。顺便说一下,如果是类似论坛cookie提示中使用的meta refresh可以通过手动刷新代替。
最后需要提醒大家注意的是曾经有一个攻击建立在“通过与访问数据资源”这个选项上,利用MSXML的强大功能夺取权限,不过这个漏洞已经于早些时候被MS发出的补丁堵上了。真不知道安全设置中的哪个选项又会成为攻击着手的目标,反正update是要常去的。
综上所述,我们已经了解了几乎所有利用浏览器弱点和程序特性针对浏览器发生的攻击了。很显然,如果我们想获得绝对的安全,那么同时我们也将丧失几乎所有的正常功能。所以在上网浏览的时候,我们需要一部分网站成为我们可以信赖的网站,比如搜狐、网易等等,我们大可以将这些网站置入“受信任的站点”列表中,给与它们更高的权限,虽然这些网站会带来令我们反感的商业插件和广告,但我们可以通过简单的手段屏蔽。而在某些情况下,我们就特别需要提高警惕,尤其是当你在浏览一些属于危险内容(尤其是成人内容)的网站、和在公共聊天室时,就需要格外的提高警惕了,在这些场合下,一些经过伪装的文件通过你的下载和安装会使我们针对浏览器的一切配置形同废纸一张。最后我还要特别提醒那些沉溺于QQ或网游的人们,由于这些虚拟世界也存在着巨大的利润,针对它们的攻击多种多样,并且攻击更多的利用了这些软件本身的诸多漏洞,所以在浏览这些领域的网站的时候,我也强烈建议这些玩家们使用更为谨慎的浏览策略,这样才能保证自己的利益不被侵害。
我的建议安全设置策略是:
对于可信赖的网站:直接将其放入信赖站点中,并允许浏览器使用受信任的站点策略。
对于危险站点:将上述更改施加于“中”级安全配置中即可。
最后还要提醒那些习惯使用第三方修改器(IE助手、超级兔仔)的朋友们,由于这些软件并没有通过微软官方的测试,所以它们对浏览器和注册表键值直接进行修改的行为可能导致不可预知的错误,并且由于它们不能做到治本,所以针对有伪装和传播特性的恶意程序和病毒不能做到完全清除,这会导致系统继续受到侵害而用户没有发觉,这样损失更大。所以我提醒大家慎用第三方修改器,科学和完整的解决将在第二篇中为大家详细介绍。
网友评论