首先纠正一个谣传,帮助正确认知而不是迷信软件,Firefox本身绝对不是最安全的浏览器。而且除了基于扫描器的反挂马,浏览安全还有很多事情可做。
1、事实上除了IE特有的activex之外,flash执行及javascript,adobe air,cookies,referer等存在于各个浏览器中,这些第三方软件 的漏洞及可利用的访问规范经常被通用,而有些是杀软的网页防护不会去管的。
2、除了挂马外,还有多种方式攻破浏览器或危及浏览人群的安全,比如腾讯的小甜饼(cooikes)就有着深意,还有曾经号称会影响全 浏览器的clicking hijack。
3、firefox本身也爆出过漏洞,如貌似有现在还未修复的一个后台自动获取漏洞,mozilla表示将确认后再下个小版本(3.0.6)修复。
但是,Firefox加上强大的扩展后一定是自定义度最高的安全浏览器。
1、Firefox扩展很多很强大,但是sociz中国 http://www.sociz.org/firefox 很年轻,其插件非常少且缺少整合,建议去Mozilla@USA找扩展: https://addons.mozilla.org/zh-CN/firefox/recommended ,网页地图都是中文界面,有些扩展也有中文介绍。
2、Firefox跨入3后,其软体本身同扩展的兼容已经不是在2那时了——现在不会加几个扩展就启动奇慢,建议不要使用集成扩展的中国 版本、第三方所谓优化版本,而是去下载裸体的狐狸,自己完善扩展,这样的结果是用的舒服且启动执行快,又可以规避某些装载 奇卡国内又迷信的扩展,比如adblock,我见过的最拖浏览执行的扩展之一,还是基于名单而不是行为的,但很多集成作者不明情况。
3、传统的基于特征码防护的网页防护很少有几个适合国情的,红伞的webguard卡,nod32的http防护存在bug已久,况且,即使是有堆 栈HIPS性质的linkscanner、畅游巡警等,也只会解决单一的挂马风险而已。
为什么个人推荐用浏览器扩展而不要常驻网页防护。
1、杀软的http防护,通过进入扫描浏览器执行前的缓存达到安全的目的,但是一是需要随机启动,占内存不说,有的还会影响浏览器 执行速度,并且只解决挂马风险而已。而Firefox的扩展,如noscript,在瓦解不信任的对象同时,很多网页仍然可以浏览,不用执 行javascript等,理论上会加快浏览。
2、杀软是基于特征码的,而firefox的多数插件是基于行为(除了WOT等是基于社会化安全建议等),不访问网页就需要常驻。行为判断+特征码,更安全,更全面,也更灵活。
3、不少同学希望用添加HIPS的办法来保护浏览器,对于挂马,手动HIPS是在其被加载到浏览器缓存后拦截,虽然手动HIPS在本地比较 全面,但这样的执行需要本地系统的认知基础等等,并且内置在浏览器的Firefox扩展,我认为在浏览器范围内恐怕要比HIPS全面和易用的多,比如 沙盘+浏览器的组合,我相信沙盘漏网马的可能性不大,但如果以本地cookies为目的,单纯的沙盘有时并不能防御——是不是需要登录一次就倒沙一次,期待你使用后会有个答案。
值得推荐的一些扩展(重头戏)
Noscript:这个由欧洲安全人士开发维护的扩展已经不仅仅在对付各种浏览器插件挂马,其内置了很多功能。基本上已经覆盖了反挂马,反隐私泄漏,反跨站脚本攻击,反某些0day的功能,一般来说使用足矣,当然,其需要允许或禁止,但是建议熟悉网站的白名单后,进入陌生站点就不用惴惴不安了。
1、对于未确认的站点,禁止特殊的iframe,禁止执行java、falsh等插件
2、anti—XSS保护,净化跨站请求。
3、Clear click保护,对一度影响较大clicking hijack提供一部分保护。
4、阻止作为文档载入jar。
5、提供了cooikes加密保护服务,默认不启动。
6、个人使用建议:在某些站点上阻止部分网页组件执行,并不会影响浏览,因此不要到一个站点就允许全部子域名,累而且不安全。一定情况下该插件可以覆盖adblock的功能,即拦截网页广告。确认开启全局Clear click保护,并对淘宝等网站设置强制cooikes加密。添加临时全局允许和撤销临时允许按钮到浏览器右上角,会增加插件使用的便利。
*该扩展的功能包含了常见的大多数挂马方式,网页挂马与特殊的iframe、javascript、flash一般很难分开,挂马的跳板,并且有 全面的扩展功能,首选安装或追求单一安装可考虑。
refcontrol:简单,快速,小巧,并且提供多种模式的referer控制,包括伪装、屏蔽并允许添加白名单,只要安装后设置为对一般 站点执行伪装后,基本不用在管他。
个人使用建议:该扩展支持txt格式的白名单导出导入,当然,如果你想在Firefox的内部设置(about:config—— http://kb.mozillazine.org/About:config_Entries)中进行referer的控制也是非常不错的,只是那种全局控制不支持白名单而已 。
*referer可以告知访问网站你的浏览信息,当浏览器向web服务器发送请求的时候,一般会带上Referer,告诉服务器我是从哪个页 面链接过来的,做访问统计对有些人很难接受。干掉referer还有个不太容易启齿的好处——很多Referer的应用目的在于防止图片盗链。
Redirect Remover:清除网页中图片和链接的重定向,提高透明度,对一些链接显示"真正的"链接目标,比如不久前的DNS缓存漏洞 使用者曾经部分利用了这一思路。
个人使用建议:在选项中添加浏览器任务栏快捷开关,可以方便该扩展的使用。此外,基本不需要设置,另外此扩展支持白名单。
*网页重定向在SEO(搜索引擎优化)等方面有较多的扩展性作用,但是对于攻击者,可以设置类似"假子站"的方式,把子域名指向到并非独立结构站点的页面。这不仅是因为据传说子站越多,可能越容易被收录;大量的重定向链接和图片中包含着欺骗性和恶意手段,如恶意cookies、网马链接等等非法信息,在管制缺失的国内这非常常见。
Uesr Agent Switcher:服务商通过判断浏览器的Uesr Agent内包含的信息,判断来访者的系统和浏览器性质,乃至依次判断给予传输的定制的各类网页缓存,如为iphone设置的免费资源,号称对某浏览进行优化的那些等。但是,其也经常被利用于劫持和盗取cookies,是统计用户隐私和欺骗点击的一个辅助。
个人使用建议:可以自定义Uesr Agent字符串,向不安全的网站伪装自己的系统、浏览器等各类信息,并且修改后可以登录为手机 等特殊浏览器设置的界面,回避自动跳转,如为iphone设置的各种免费资源。
*常见的Uesr Agent实例:如"Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5",依据我们访网时向服务器控制者透露的这些信息,足够不安全的网页对浏览器0day设置对应攻击,按图索骥读取cooikes。
WOT:老牌社会化网络安全建议扩展,通过庞大的基于用户评判的各类数据库提供所访问网站的建议。其在工具栏上产生一个建议图标,给予隐私等各方面的评判建议,并且可以你自己对访问网站的安全性给予评估——这将决定是否在下次有人使用你电脑时提出拦截框。
个人使用建议:虽然数据库应该是类似扩展中最大的,但结果见仁见智,但该扩展还是很有趣的,对于国内某些门户的流氓行为, 先前的使用者毫不犹豫的留下了警告——这也可以成为noscript信任评判的依据之一,但是对于破解论坛,hacker论坛等,建议自己 设置安全性评价。此外,对有他人使用本机的用户来说,这可以是个吓退不速之客的工具。
*建议对网页安全有特殊看法(认为全部放过,是大门户就是安全的)的用户谨慎使用,也许你的意见会影响其他人的安全。我是将 其作为noscript的建议工具使用。
Beterprivacy:针对跨浏览器的本地存储(DCOM stroage)以及Flash Cookies(Flash local stroage)的安全或便利隐患,以及 干掉ping tracking script时使用。虽然相比 Cookies 来说,DOM Stroage某些人在理论上说其的空间更大、更安全,但出于种种 原因我灰常讨厌浏览器的任何非通知永久性存储,当然对于这一点你可以在about:config中设置globalStorage['mozilla.org'].key的值,但是对于后者(Flash cookies),有时却不能不用,因此这个扩展采取实时清除临时数 据的方式。
个人使用建议:无须设置,默认很好,看起来复杂,但是最简单自动化的一个扩展。
*DOM Stroage被mozilla引入以代替万恶的cookies,最早好像是firefox 2的时代,IE8也开始支持。不同于cookies,DOM Stroage 可以为每个存储区域提供大到10M的存储空间。从功能上讲,客户端的存储区域与Cookie也非常不一样,DOM存储在每次请求时不会 将值发送到服务器,本地存储存储的数据也永远不会过期,并且以一种标准的接口轻松访问每个信息。(相关:IE userData,Safari&Chrome database,Opera widget)
Flashblock:如果讨厌flash,或不需要使用并讨厌其带来安全隐患,那就直接干掉他,让sina等门户变得不再那么花里胡哨,适合 一些偏执或商务人士。个人使用建议:该扩展支持白名单,但是不在状态栏给予快捷允许方式。个人因为没有杀软常驻,而且讨厌flash广告和音乐,所以 是将其作为noscript的补充使用——在noscript白名单中的某个网页被挂马时做有备无患的拦截。当然,如果你想在Firefox的内部设 置(about:config——http://kb.mozillazine.org/About:config_Entries )中做这件事情也是非常不错的,只是那种全局控制不支 持白名单而已。
*通过反编译swf文件,在网页中显示或本地直接播放Flash动画木马时,让Flash自动打开一个木马网页,这是非常常见的挂马方式 。此外,在控制某网站后,可以通过不显示Flash播放窗口(width=0 height=0)而使用户"莫名其妙"的遭遇挂马。
gladder:这是诸多有代理性质的扩展之一,较为易用,具体是什么,抱歉我不能说,依据当地法律法规,您所访问的界面不予显示。谢谢,此外我也没有任何解释。
一些进阶的工具——宏、脚本和about:config:通过宏和firefox内置的about:config界面,可以完成上述一部分不需要白名单灵活性 的设置。
个人使用建议:比如Uesr Agent,DOM Stroage等,都可以在about:config内得到快速设置。但这种设置是全局的,一般很少有白名 单,比如javascrpit,不太可能全局禁止,最好还是籍由扩展。宏、脚本的使用可以通过firefox的一些扩展作为平台,也可以完成上述的一些设置,此文其实也就是片普及性质的扩展介绍,因此 不多涉及,列出地址供进阶者玩耍。
iMacros:http://addons.sociz.com/firefox/676/
Greasemonkey: https://addons.mozilla.org/en-US/firefox/addon/748
最重要的问题:效果如何?
首先,老生常谈,这些扩展并不能保证你100%的安全,如前所述,除了挂马,攻破浏览器的方法很多,建议常驻杀软或HIPS作为后 盾,但是相对于安全软件的常见防护,其从网页的"行为"入手,有几种好处:
1无须时刻更新数据库,无须常驻消耗资源,兼容很好,但效果却非常可观,因为网马执行多数需要各种插件如javascript(js网马 ),这样可无视木马是否进过特殊的免杀处理,而从执行方式上断绝了来路。实测,挂马站点纷纷无法执行挂马,如果该站没有其 他形式的欺诈如cookies,在不信任情况下你可以放心浏览这些不安全的站点,而无需担心被阻止的挂马。
2按需选择,既然效果这样好,那么找到你适合的扩展就更重要,首先是一般来说,不一定需要全部安装,选择自己使用的顺手的, 信任经常浏览的网站后,基本没有多少烦心的事情。
3了解一些浏览器工作的小知识,进而进入高阶用户的行列,这些知识与PC安全、优化OS等都有关联,不是你不行,而是你不勤奋。
当然,现在回头看这个帖子(半年前写的原稿),也让我深深感到那时和现今的浅薄,还需要达人继续指教。
随便找的几个挂马站点,仍存在的挂马基本拦截成功,有一个被FF的数据库捕获。
一些基础使用者需要适应或澄清的问题
既然效果不错,那么这些扩展对浏览界面的影响有多大?阻止重定向,ping等一般对浏览完全没有影响实测,往往还会减轻浏览器负重,在不信任的情 况下,阻止cookies和javascript对浏览的影响是这样的:
阻止cookies时:论坛等需要登录的门户无法登陆,但不影响浏览,此时可以在任务栏的插件图标上点,接受此对话的cookies,或 接受此站点的cookies,下次登录将会无须设置。——我想没有人会每次上网都要去新论坛,而且还要登录才能看贴吧。
阻止javascript时:大多数网站的图片,文字显示都正常,不能看到的是flash(包括广告,跳转页,视频等),在你不需要看这些 东西时或只是临时访问时建议不要信任,如果是常用网站,点击任务栏类似的允许后,下次访问将OK。
我是怕麻烦的使用者。
那么建议只安装必须的或是功能较全的,如noscript,仅仅一个它已经比较不错了。其他一些可以全局阻止的扩展也可以适当考虑。
其他Firfox正在解决或已经解决的问题。
中国FF遇到的的两大问题是牛皮癣广告的过度推广和大量非标准的中文网页,后者正越来 越不是问题,大量站点已经符合通用标准制式,而且firefox有内置的IE TAB扩展,可以在个别网页内切换到使firefox使用IE核心 。
就到这里吧,本人水平有限,本文仅介绍了一种可以让新手接受的思路而已,切勿盲信,请大家指正。
本文来源:http://bbs.vc52.cn/thread-63044-1-1.html 原文作者:
标签:
手机 您或许对以下几篇文章也有兴趣:
没有评论:
发表评论