浏览器安全矛盾
如果贵企业正在考虑使用Firefox或者IE来运行关键应用,此举是不是在招致灾难?本文分析了浏览器安全方面有助于确保数据安全的最新技术,如反网络钓鱼技术和扩展验证证书。
可以这么说,浏览器是不安全的。如果说每看到一次有人利用漏洞让恶意软件得以在网络上肆虐,我们就有一块钱进账,那么也许有足够资金来支付清理漏洞项目所需费用了。据赛门铁克公司声称,06年,单单针对设计糟糕的ActiveX控件的漏洞就有51种,比2005年的15种大幅上升。没错,在默认状态下,ActiveX在Internet Explorer 7中是禁用的,但如果你的最终用户需要Adobe Reader或者Flash的功能,你又回到了易受攻击的位置。
而用户需要每一项功能。信息员工已经使网络浏览器成了手中交换知识的重要工具。Gartner公司估计,对软件即服务(SaaS)的需求每年会以20%以上的速度增长,这种情况一直会持续到2010年;而最近有关SOA/Web服务的读者调查显示,近80%的调查对象表示,他们企业目前在使用Web服务——不过保护面向企业内外的服务安全的却不到一半。
IT能够解决这个矛盾体吗?
与自由一样,获得网络浏览器安全的代价就是需要永远警惕,另外还需要风险管理策略、关注安全功能方面的进展、对最终用户进行教育,以及强有力的集中管理。
幸好,安全厂商们无论是合作还是单干,都在加大力度。举例说,反网络钓鱼工作组(APWG)就联合了100余家厂商——看到通常相互竞争的软件行业这回摈弃前嫌,并且以开放、积极的工作方式来应对网络空间犯罪化的严峻势态,这确实令人振奋。可验证网站是合法网站的扩展验证(EV)证书也让我们感到谨慎的鼓舞。证书管理机构/浏览器论坛(CA/Browser Forum)定义的EV SSL审查过程需要全面的独立审查,而这些证书不仅限于标准的x.509证书:可以对有些浏览器里面的地址栏标上不同颜色。
至于个体方面,较新款的浏览器、尤其是IE7和Mozilla Firefox 2.0致力于积极预防欺诈、保护个人信息。举例说,清除历史和缓存文件的一项增强功能让用户和管理员都从中得益,反欺诈措施、国际化域名(IDN)支持、地址栏可见性以及更容易控制ActiveX组件集成的机制也是如此。而厂商们正在另辟蹊径——微软的Strider HoneyMonkey漏洞检测项目就表明了这点。微软的互联网安全执行团队利用该项目来跟踪垃圾邮件发送者和网络钓鱼者。
共同的主题就是:厂商们正积极主动地识别可疑网站,而不是等用户偶然遇到这些网站。
网友评论