活动内容的应用
许多网民在浏览网页时,只是特别关注浏览器显示的内容,而对浏览器内部究竟发生了什么没有过多的想法,从而很容易给自己的计算机带来安全危险。当浏览网页或者用E-mail客户端收发E-mail时,活动内容(Active content)和Cookies是常见的两种容易导致安全威胁的因素。
什么是活动内容?
为了给自己的网页增加功能或装饰,网站往往依赖可以在Web浏览器中执行的脚本程序。这种活动内容,可以用来制造各种漂亮的页面,也可以制作下拉式选择选单。不幸的是,这些脚本往往给恶意攻击者提供了在用户的计算机里下载或执行恶意代码的机会。
JavaScript——JavaScript是一种被广泛认可并被使用的Web脚本,当然Web脚本不止JavaScript一种,例如VBScript、ECMAScript和Jscript也都是Web脚本,JavaScript和其它脚本几乎用在所有的Web站点上。JavaScript和其它Web脚本之所以会这么流行,是因为用户期望它们所提供的功能及视觉效果,而且它们与浏览器能够很好的结合,目前大多数建立Web站点的工具都能够提供JavaScript的特性。正因为JavaScript和其它脚本如此的流行及其强大的功能,恶意攻击者能够利用它们达到自己的非法目的。最常见的一个攻击手段是网站的重定向,即攻击者使用户正在访问的正常的站点重定向到一个非法的恶意站点,并且从此恶意站点下载病毒木马或者流氓软件到用户的机器里。
Java 和 ActiveX控件——与JavaScript不同,Java和ActiveX控件是存放在用户机器里实际的程序,或者可以通过网络下载到用户的浏览器中。如果某些不可信任的ActiveX控件被恶意攻击者执行,那么恶意攻击者可以在用户的机器里执行任何操作,例如运行间谍软件收集用户的敏感信息,将用户的机器通过网络连接到其他的计算机上,或者删除用户的一些重要资料等等。一般来说,Java的小程序运行在受限的环境中运行,但是如果那个环境是不安全的,那么就会给恶意的Java程序提供了攻击的机会。
JavaScript和其它形式的活动内容并不总是危险的,但它们的确是恶意攻击者的攻击工具。用户可以在大多数的情况下阻止活动内容的运行,不过在保证了安全的同时,也一定程度上限制了站点原有的功能,用户可能无法完全体验网站原有的面貌。当用户点击浏览一个陌生或者自己不信任的站点时,为了保证自身的安全,最好阻止一切活动内容。
网友评论