保护您的网络浏览器
本文将帮助您在访问Internet时更安全地配置浏览器。 该文档是为家庭计算机用户,学生,小公司的员工以及具有宽带连接(有线调制解调器,DSL,ADSL)或拨号的人员编写的,很少得到支持。 但是,本文中的信息还可以帮助了解更多有关它的人。
我,为什么保护您的浏览器
如今,Internet Explorer,Mozilla Firefox和Safari之类的浏览器。安装在大多数计算机上。由于定期使用浏览器,因此确保安全是一项重要任务的问题。通常,Web浏览器带有一个未在安全默认配置中设置的操作系统。无法确保浏览器可能会导致多种间谍软件引起的各种问题,从而损害您对计算机的控制。
理想情况下,计算机用户应评估使用软件的风险。许多计算机都使用下载的软件出售。无论是由计算机制造商,操作系统,互联网服务提供商还是零售商安装,访问计算机的第一步是找出已安装的软件。以及程序如何与其他程序进行互动。但是,大多数人没有执行此水平的分析。
如今,针对浏览器弱点的攻击数量正在增加。已经观察到,使用危险网站在浏览器中直接攻击软件。根据以下一些问题评估此问题:
最后,利用浏览器中的漏洞使攻击者损害您的计算机变得很受欢迎。
ii,了解浏览器的功能
了解浏览器功能和功能是一个重要问题。通过激活多个浏览器功能可以降低安全性。例如,ActiveX软件功能具有许多可能会极大地影响安全性的漏洞。
许多浏览器可以安装在您的计算机上。您的计算机上的其他软件应用程序(例如电子邮件软件或文本阅读器软件)可以使用另一个不是您用于访问网络的浏览器的浏览器。同样,特定的文件类型被配置为使用另一个浏览器打开。通过使用浏览器访问该站点,并不意味着其余的应用程序将自动使用相同的浏览器。因此,对于在计算机上安装的每个浏览器的安全配置非常重要。
可能需要使用支持脚本或活动组件(例如JavaScript或ActiveX控件或页面本身)的浏览器的网站也可能具有漏洞。可以将网站视为产品和与产品的用户关系,您可以联系网站管理员,并询问应该如何设计页面以不带风险。为您的计算机。
本文档中描述了某些特定浏览器的某些功能和属性。了解什么功能将帮助您知道它们如何影响浏览器和计算机安全性的功能。
来源:browserhelp.de ActiveX是Microsoft Internet Explorer在Microsoft Windows上使用的一种技术。 ActiveX允许Web浏览器使用应用程序或应用程序零件。网站可以使用位于Windows系统上的ActiveX组件,或者可以根据网站下载该组件。这使传统浏览器的功能可以扩展,但如果不及时添加,也会引起一些安全孔。
爪哇是一种面向对象的编程语言,可用于为网站开发内容。 Java虚拟机或JVM用于执行网站提供的Java或“ Applet”代码。 JVM旨在分开可执行的代码,以免影响系统的其余部分。一些操作系统支持JVM,而其他操作系统则要求在使用Java之前安装JVM。 Java小程序完全独立于操作系统。
活动内容或插件旨在在浏览器中使用。它们就像ActiveX控件一样,但不能在浏览器之外执行。 Macromedia Flash是可以作为插件提供的活动内容的示例。
JavaScript是一种动态脚本语言,用于开发页面的内容。与Java不同,JavaScript是一种由浏览器直接解释的语言。 JavaScript标准中有许多详细信息限制了诸如访问本地文件之类的功能。
vbscript是Microsoft Windows的脚本编程语言。 VBScript就像JavaScript一样,但由于与Internet Explorer不同,它与其他浏览器的兼容性并未在页面中广泛使用。
曲奇饼是放置在计算机上的文本文件以存储网页中已经使用的数据。 cookie可能会根据网站的设计目的包含任何信息。 Cookies可能包含有关您访问过的页面的信息,甚至包括访问能力。它们被设计为仅由创建它们的网站读取。
安全区和域模型Microsoft Windows方法用于建立系统的多层安全性。尽管主要目的用于Internet Explorer,但系统上的其他应用程序也可能需要使用IE组件。您可以在以下方面找到有关安全区域,域模型以及如何保护它们的更多信息:
iii,攻击的漏洞和类型
攻击者正在通过各种漏洞利用客户系统(在计算机上)。他们依靠这些漏洞来控制您的计算机,然后窃取信息,销毁文件并攻击其他计算机。攻击者增加对计算机的控制的一种轻松方法是利用网络浏览器中的漏洞。攻击者可以轻松创建一个危险的网站,然后安装特洛伊木马或间谍软件软件以从您的计算机中窃取信息。您可以在https://www.us-cert.gov/reading_room/spyware.pdf上查看有关间谍软件的更多详细信息。恶意网站比攻击系统脆弱性更危险,因此在以前访问该网站时可能会被动地损害系统。危险的HTML文件对许多受害者也可能是危险的。在这种情况下,打开电子邮件或附件可能会损坏系统。
在本节中,我们将指出已利用的网站和浏览器中的一些常见漏洞。我们不会详细介绍,但会在其他文档中为您提供链接以解释有关漏洞的更多信息。
A ActiveX控件
ActiveX是一种导致许多不同漏洞的技术。在浏览器中使用ActiveX的一个问题是,它增加了系统的攻击表面或“攻击能力”。即使该对象不是用于浏览器中使用的,即使对象不是设计对象,ActiveX对象中的漏洞也可以通过Internet Explorer利用。在2000年,CERT / CC在ActiveX中帮助了一个用于安全分析的研讨会。该分析的结果可以在https://www.cert.org/reports/activex_report.pdf上找到。许多漏洞与ActiveX控件有关。在这里利用这些漏洞的攻击者可以增加计算机的控制。您可以在以下链接中找到有关ActiveX漏洞的页面https://search.us-cert.gov/query.html?qt=activex and https://search.cert.cert.org/query.html? QT = ActiveX。
B,Java
Java是一种由Sun Microsystems开发的面向对象的编程语言。 Java applet是完全独立的,需要在客户端上使用Java虚拟机(JVM),因此可以执行它。 Java小程序通常在“位置”中执行,其中与系统其余部分相互作用受到限制。但是,JVM包含许多漏洞,可以克服这些限制。已验证的Java小程序也可以克服许多此类限制,但总的来说,它们在执行前提示用户。 You can search on US-CERT and CERT / CC pages to see more about these vulnerabilities at https://search.us-cert.gov/query.html?qt=java and https:/// search.cert.org/query.html?col=certadv&col=vulnotes&qt=java.
C,跨站点脚本
跨站点脚本允许攻击者嵌入恶意代码:JavaScript,VBScript,ActiveX,HTML或Flash中的可攻击动态页面中,以欺骗用户在其计算机上激活代码以收集。数据收集。
黑客始终正在尝试涉及黑客技术的狡猾脚本来损害网站和网络应用程序,并窃取包括信用卡号码(信用卡号码)无用的脆弱数据宝藏。和其他个人信息。
跨站点脚本(也称为XSS或CSS)被认为是黑客陷阱技术的最受欢迎的应用之一。
总体而言,跨站点脚本是Web应用程序代码中脆弱功能的杠杆,允许攻击者从用户对象发送恶意内容并检索受害者的数据。
D,跨区域和跨域漏洞
大多数浏览器都使用安全模型来防止数据访问网站对另一个域的访问。这些安全模型在很大程度上依赖相同的原点策略Netscape:http://www.mozilla.org/projects/security/components/same-origin.html。 Internet Explorer还具有将此安全区域分开的措施:http://msdn.microsoft.com/workshop/security/szone/szone/overview/overview/overview.asp。
此安全模型中的漏洞可用于执行异常动作。影响可能与跨站点脚本漏洞相同。但是,如果漏洞允许攻击者入侵局部区域或其他保护区,则攻击者可以在系统上执行任意命令。您可以在以下地址中在US-CERT和CERT/CC页面中找到更多信息:http://search.us-cert.gov/query.html?qt=cross-domain和http:/// http:// search .cert.org/cool.org/query.html? QT =跨域。
E,脚本脚本的威胁,活动和HTML组件
许多页面可能包含危险的脚本代码,即活动或HTM组件。他们将试图欺骗访客,以提供良好的信息来实施网络钓鱼技术(社会工程:信息技术界的术语,指的是计算机用户和互联网披露的欺骗)。为了使黑客访问系统,这样做的最常见方法是通过聊天或电子邮件与受害者联系,假装是安全官员。正在检查并要求用户声明其密码以身份验证其身份,或者其帐户将被关闭,从而使攻击者可以增加特权。在这个机会中,攻击者依靠网络钓鱼技术来访问受害者的信息。此外,可以利用浏览器中的漏洞来提高特权。以下是通过使用恶意代码在浏览器中可能漏洞的列表。在2000年,CERT / CC提出了一系列有关恶意脚本的答案。您可以参考https://www.cert.org/tech_tips/malicious_code_faq.html。并在https://search.us-cert.gov/query.html?qt=malice+scripting+active+content和https://search.cert.cert.org/query.html上查看有关此问题的更多文章? QT =恶意 +脚本 +活动 +内容。
F,网络钓鱼型骗局(欺骗)
当涉及浏览器时,欺骗是一个用来描述浏览器接口欺骗方法的术语。这包括地址或位置栏,状态栏,钥匙扣或其他用户界面组件。信息盗窃攻击,尤其是信用卡信息,通常会使用一些虚假表格供用户信任和提供个人信息。如果浏览器缺乏此错误,则用户将成为这种网络钓鱼攻击的受害者。这是一种简单但相当有效的攻击方法,因此请小心在发送给您的任何不可靠的链接都需要更新您的帐户信息。
![如何在不使用Apple ID的情况下下载应用程序[Ultimate Guide!]](https://ksfboa.com/tech/jacki/wp-content/uploads/cache/2025/05/disable-password-for-itunes-and-app-store-1.jpg)
