Web Browser Security網路瀏覽器使用上的安全自保筆記
網路瀏覽器,意即我們平常說的IE、Firefox、Opera、Safari等等軟體,透過這些軟體我們才可以看到各種網站網頁,也才能上網完成各種工作業務和生活娛樂。當然,網路瀏覽器本身都是無害的,不過當你在各種不同的網頁間瀏覽時,你的主機其實一直的透過瀏覽器在和那些遠端的網站互動,持續的會有資料、檔案在你的主機和遠端服務器之間雙向傳輸,而這時候因為瀏覽器而打開的溝通出入口,就有可能帶出你不應該被帶出去的資料,或者也可能帶進你不想帶進來的檔案,這時候就會危害到你的資訊安全。正所謂「病從口入」,但是我們不可能不開口吃飯講話,我們也不可能不打開與網路溝通的窗口,所以這時候如何在這個窗口上建立起適當的防禦措施,就是上網玩家不可不知的自保之道。
以下我就分享我自己認知上幾種針對「瀏覽器使用」的安全自保方法,也歡迎各位讀者提供你們自己在觀念、習慣上的建議,或者推薦優秀的瀏覽器安全輔助軟體。尤其我比較少使用電子商務,所以關於這一塊其實有更大安全需求的領域,非常歡迎大家來提供意見。
瀏覽器使用觀念與習慣:
- 瀏覽器本身的安全漏洞:
雖然我說瀏覽器本身都是「無害的」,但不代表瀏覽器都是「安全的」,這個意思是說:軟體的開發與設計並非完美,所有的瀏覽器都會在設計上出現漏洞,這些漏洞可能會被有心人利用來入侵你的電腦並進行破壞或竊密。所以我們可以看到許多瀏覽器都持續的在推出新版本,其中主要的原因就是要修補安全漏洞,不管你使用那一種瀏覽器,基本上都應該要持續的關注並升級到瀏覽器的最新版本。
- 惡意的瀏覽器擴充插件:
有時後當我們瀏覽到某個網站時,會看到瀏覽器的上方出現一條訊息,或是彈出一個說明視窗,內容告訴你說:「瀏覽這個網站需要安裝XXX。」在IE瀏覽器中,這些插件可能是叫做ActivX控制項,在Firefox中可能是Plugin,或者我們也可能在Firefox中安裝各種擴充套件。這些插件有些是安全的,但是也可能有人利用提供一些惡意的插件來入侵你的電腦。
當你遇到要安裝這些插件的時候,尤其是當這些插件是「自己跳出來」問你要不要安裝時,你應該要很謹慎很謹慎的確認這個網站的安全性,一個基本的自保方法就是,除了「真正的」微軟官網、Firefox官網和你真的知道這個插件的用途與安全,以及除了不安裝該插件就無法使用但你又「不得不用」這個網站的情況外,其他所有這類型的訊息都應該要以「否決」為第一選項。
另外在IE瀏覽器中,你可以到「網路網路選項」→﹝安全性﹞裡面,將「網際網路」的安全性調整到中高以上,來確保不知名的插件不會被自動下載。而在Firefox中,你可以到「選項」→﹝安全﹞裡面,勾選「在網站試圖安裝附加元件時通知我」。
- 瀏覽器綁架:
所謂的「流氓軟體」,就是說在未經使用者允許的情況下,擅自修改使用者的首頁設定、瀏覽器標題列,或者在使用者的瀏覽器中強制安裝工具列,也有可能讓你在上網時一直彈出一些你不喜歡的廣告視窗。而且既然叫做「流氓」,就表示它們通常很難改回來、很難反安裝,會把你的瀏覽器徹底的「綁架」。這種綁架更常的出現在IE身上,主要是因為IE是最普遍的瀏覽器,所以很多攻擊也會針對它,而防禦的方法除了不要隨便逛「奇怪」的網站和安裝「奇怪」的軟體外,也可以靠著一些安全工具來幫你鎖住或復原瀏覽器的設定。
什麼是奇怪的網站?例如色情網站、破解網站、任何看起來充滿金錢、慾望誘惑的網站,和那些你用常理判斷會覺得好像不太可能但是又讓你很想試試看的網站,這些網站不一定不好,但是裡面出現怪東西的機率確實比較高。雖然不至於需要因噎廢食,但如果沒有很必要,或者是沒有事前很完整的調查來證明這個網站真的安全,那麼最好不要去上這些網站,因為其實還會有很多其它網站可以找娛樂,沒必要為了一時的滿足而以身涉險。
- 下載檔案:
這是最傳統最傳統的中毒途徑,以前靠著磁碟片傳遞,現在靠著網路下載來傳遞。那麼在你透過瀏覽器來下載檔案時可以如何確認其安全呢?除了和前面一樣避免去使用「奇怪」的網站,並且安裝防毒、掃毒軟體外,像我自己下載檔案也會有些基本的原則:例如任何軟體我一定是到官方網站去下載,或者到Cnet Download、阿榮福利味、綠色工廠等知名的軟體收集網站去下載,並且要利用Google查詢一下這個軟體在網路上普遍沒有被回報成惡意軟體後才下載。
還有對於被其它用戶自行打包成一個壓縮檔的軟體,我通常不會去下載;因為我使用的大多是免費軟體,既然官方網站都提供了直接下載安裝檔了,實在沒必要冒險去下載別人打包成壓縮檔的檔案。當然,有些值得信任的軟體提供者例外(例如阿榮福利味等網站就辛苦的幫大家檢查、製作並打包好了許多安全的免安裝、中文化軟體包),不過大多陌生人打包的壓縮檔,或者論壇上面提供的私人壓縮包,因為你不知道裡面裝了什麼,所以我會覺得還是下載原始的官方檔比較保險。
這也是為什麼電腦玩物中提供的軟體下載點一定是官方網頁,而且除非萬不得已不會直接放上「下載點」,而是放上「可以找到下載點的官方網頁」的原因。一方面我自己電腦也存在中毒風險性,我上傳提供的檔案說不定有因此被感染的風險,這樣反而害了讀者;另一方面我覺得任何人下載檔案前都應該閱讀一下說明,所以提供官方的網頁也有其必要性。
- 釣魚網站:
所謂的釣魚網站就是偽裝成某些正常或知名的網站,然後誘騙你在上面輸入你的帳號資料,並藉此竊取你的機密資訊;也就是說透過偽造網頁來進行網路詐騙。通常這些偽造網站在外觀上會很像官方網頁,而且在網址上也可能只有一兩個字母的差別,所以當我們瀏覽到電子商務型網站時,務必一再的確認網址無誤後,才進行一些需要輸入機密資訊的動作。
在「最新型」的瀏覽器中,例如IE7、Firefox2.0以上,都包含了防範釣魚網站的功能,當然這只能達到部份防禦的功效,不過為了安全著想還是應該使用這些新版的瀏覽器。
- 網頁上的惡意連結或程式碼:
即使你都很小心的避免奇怪的網站,或是不去下載奇怪的檔案,也都有檢查網址以避免釣魚,但是有些正常的、官方的網頁上,也有可能被入侵植入一些惡意的連結或程式碼,而且這些藏在網頁裡的惡意程式有可能是「主動式」的,只要你一連上網頁,就會在背後有入侵的行為,通常是在你電腦中植入木馬和間諜類的軟體,以竊取機密為主。
這大概是瀏覽器使用上目前最難防範的一塊,前面所有的習慣和觀念都會有助於這一個資安危機的防範,尤其是瀏覽器本身更新的漏洞修補;但是你可能還會需要安裝防毒、防火牆或特定功能的安全軟體來擋掉惡意的入侵和竊密。
- 個人的帳密隱私-自動填表:
不管是IE或Firefox,使用這些網路瀏覽器時,都要對個人的隱私資料有一定程度的謹慎。我的意思是,首先你應該要想清楚,目前這台電腦除了你自己,有沒有可能被別人使用?假設是公用的電腦,當你利用瀏覽器中自動填表的功能記錄了你的帳號密碼,那麼其他人「非常容易」的就可以透過使用同一台電腦來登入你的帳戶。這種危機可大可小,不過在公用的電腦裡面,甚至是在個人的電腦中,你都應該要將「清理隱私資料」這件事當作最重要的安全工作。
你可以在IE的「網際網路選項」→﹝內容﹞裡的「個人資訊」選擇﹝自動完成﹞來進行設定或清理,如果是公用電腦最好不要使用自動完成的功能,或是用完後要記得清理(如果你臨時去使用公用電腦,首先更應該先檢查這項設定)。
如果在Firefox中則可以選擇「選項」,進入﹝安全﹞中取消勾選「記住每個網站的密碼」;並且進入﹝個人隱私﹞中,取消勾選「儲存我輸入的表單與個人搜尋列的內容」。或者也可以在﹝個人隱私﹞的下方勾選「結束Firefox時清除隱私資料」,並進入﹝設定﹞裡勾選你想要抹除的資料。
另外要注意的是,雖然有許多系統清理軟體看起來可以清除這些瀏覽器留下的帳密資訊,但是它們通常無法真正抹除乾淨由瀏覽器紀錄的表單資料,所以我還是建議自己進入瀏覽器設定來清除田表資料比較保險。
- 個人的帳密隱私-Cookie:
關於瀏覽器的帳密隱私問題,還有一個比較有疑慮的就是「cookie」的使用,cookie是拿來幹麻的?不清楚的人我想看一下這份Yahoo的隱私聲明應該就可以了解cookie的用途。cookie會伴隨著你去瀏覽網站而存進你的電腦主機,並自動保存一段時間,它讓你以後進入網站時網站可以認出你,並讓網站可以紀錄你的某些使用行為(例如流量統計、電子賣場的購物車資料、直接用之前的帳密登入網站等等)。它本意沒有什麼不好,事實上網站運用cookie還可以優化使用者的體驗(或是讓網站獲得優化使用者體驗的數據)。然而就像前面說的,你可以信任cookie本身,但是你無法信任某些奇怪的網站,你不知道它們會利用由cookie所獲得的資料來幹麻,而且就和前面的自動填表功能一樣,你讓電腦中保留著這些帳密與隱私,就有可能讓其他使用這台電腦的人,或是入侵這台電腦的間諜軟體有機會竊取你的機密。
所以我們可以在IE瀏覽器中,進入「網際網路選項」的﹝隱私權﹞,將設定值調整到﹝中﹞以上,來避免一些有疑慮的cookie進入你的電腦;另外你可以在﹝一般﹞標籤頁面裡按下﹝刪除cookie﹞來清除資料。而在Firefox瀏覽器中,你可以到「選項」的﹝個人隱私﹞裡面,決定是否要允許網站設定cookie,這部份通常還是允許會比較方便(除非你在很不安全的電腦使用環境中),不過你可以在﹝例外﹞中設定不想允許其cookie的網站,並在下方設定cookie過期的期限,例如設定為【關閉firefox】後;不過更好的方法和前面一樣,就是設定當你結束firefox時清除所有的隱私資料。
針對瀏覽器使用安全的輔助軟體:
P.S.下面我是「列舉」所有可以「輔助瀏覽器使用」的安全軟體,而非是要讀者全部安裝,所以使用時請注意搭配上的相容性。
- 判斷每個網站的安全性:
- McAfee SiteAdvisor:http://www.siteadvisor.com/
前面在基本觀念與習慣裡講了那麼多,其中很重要的一點就是不要去瀏覽問題網站,可是我們要如何去過濾掉有問題的網站呢?這時候McAfee的SiteAdvisor是很好的小助手,它可以用不同的安全等級來標示網站,其龐大資料庫中還包含了許多網站可能存在的危安因素,讓用戶可以有一個判斷和使用上的依據。
- 寫入惡意網站黑名單:
- SpywareBlaster:http://www.javacoolsoftware.com/spywareblaster.html
- SpywareBlaster 4.0預防惡意入侵,打一針瀏覽器安全疫苗
你也可以透過事先在瀏覽器裡面寫入黑名單,禁止去瀏覽特定的網址,或者不允許某些網址的cookie或檔案安裝到電腦中。而SpywareBlaster可以幫你完成這樣的工作。
- 進入或下載前掃瞄連結:
- Dr.Web Link Checker:http://www.freedrweb.com/browser/
- 幫瀏覽器裝上Dr.Web的網頁連結安全掃描功能
適合IE、Firefox、Opera三種瀏覽器的安全掃描外掛,讓你可以在進入連結前手動掃瞄其網頁的安全性,或是下載檔案前掃瞄檔案是否安全。像是論壇或討論區常常有一些連結和載點,但是我們不知道那是不是安全的,因此對於有疑慮或不知名的連結,使用前多檢查一下總是好的。
- 阻擋惡意連結:
- FireKeeper:http://firekeeper.mozdev.org/index.html
- 為 Firefox 上的網頁瀏覽添加惡意程序防護套件:FireKeeper 0.2.10
- NoScript:http://noscript.net/
- 值得一提的火狐套件更新:NoScript、Locationbar
前面也提到了在一些網站中可能存在或被植入惡意的連結、程式碼,而上述兩個Firefox專用的擴充套件,可以幫你阻擋過濾有疑慮的連結或程式。被它們過濾的連結不代表一定有問題,因為它們是採取「可疑」即阻擋的方式,尤其是NoScript更是可以過濾掉所有網頁上JavaScript的執行。有的使用者會認為這種先行過濾,我覺得沒問題再手動放行的機制比較安全。
- 掃描清除有問題的瀏覽器資料:
- Ad-Aware 2007 Free:http://www.lavasoftusa.com/products/ad-aware_se_personal.php
- Spybot-S&D:http://www.safer-networking.org/ct/index.html
- 反間諜軟體Spybot-Search&Destroy 1.5 final最新正式版推出
- AVG-Anti-Virus、Spyware、Rootkits:免費惡意軟體防護套裝
- a-squared Free & HiJackFree「高效」、「簡單」惡意軟體掃除工具
- 亡羊補牢猶未晚,手動安全掃描軟體特集-Scan and Remove
即使我們很注意網路瀏覽時的安全,也很難確保不會有些奇怪的東西從瀏覽器跑入電腦中,所以記得定期的對電腦進行一些手動的掃描,尤其如果你也是安裝免費的防毒軟體,它們通常沒有反間諜功能,所以更應該常常進行手動的反間諜掃描清理。
- 鎖住你的瀏覽器設定:
- Arovax Shield:http://www.arovaxshield.com/
- Arovax Shield 2.1.103 :即時阻絕間諜、流氓軟體的綁架
這是一個簡單型的HIPS防護軟體,特別針對瀏覽器在使用時可能遇到的安全威脅而設計,它可以阻擋針對IE瀏覽器的綁架行為,也可以封鎖有問題的cookie寫入,並保護你的host file等等,詳細的功能可以參考我之前文章的介紹。
要注意的是,這個軟體因為有HIPS的功能,所以可能會和其他包含HIPS功能的軟體相衝突,例如Comodo Firewall Peo 3.0、ThreatFire,許多商業版的安全中心也具有HIPS功能,例如卡巴斯基,有需要的用戶只要在這些軟體中擇一使用即可。另外所謂的HIPS(主機入侵防禦),就是說把所有可疑的系統寫入都預設阻擋,需要使用者自行來判斷其是否應該放行,也可以說是「系統的」防火牆,而和一般的網路防火牆、防毒軟體有所區別。
- 特殊的瀏覽器安全輔助工具:
- Haute Secure:http://hautesecure.com/index.aspx
- 社群防禦、主動封鎖網路的惡意入侵:Haute Secure 2.0
一個專門為現代瀏覽器使用而開發的安全工具,詳細的內容可以參考我之前的文章。Haute Secure也具有一定程度的HIPS功能,所以請注意和同類型軟體可能發生的相容性問題。
- 防毒軟體和防火牆:
當然,防毒軟體不只可以用在瀏覽器,也可以用在許多的電腦安全防禦上。在瀏覽器使用上,免費的Avast!或Avira Antivir都具有一定程度上幫你阻擋網頁上主動執行的惡意程式的功能,另外當然很重要的就是防毒軟體可以幫你掃描下載檔案的安全性。
至於防火牆的功能,則是在過濾你的網路連出或連入,當你不幸真的「中鏢」時,防火牆或許可以幫你擋掉惡意軟體在你電腦中打開的入侵或竊密通道。
小結:
這篇文章是針對「瀏覽器使用上」應該注意的安全事項,和可以輔助使用的安全工具來做介紹的。歡迎大家針對這樣的主題提供更多的意見和回饋。
我都是用 pack.google.com 的 spyware doctor
回覆刪除電子商務還有一個連線加密驗證的問題,簡單來說,就是把你傳出的資訊都經過特殊編碼,讓它再傳送中途處於密碼狀態,否則傳輸中的節點(SERVER或PROXY SERVER)一旦過濾出你的封包加以判讀,你傳出的資訊都無所遁形。
回覆刪除有無SSL連線最簡單的驗證法就是網址會變成「https」。
最近GLARY UTILITIES加了一項很「貼心」的功能,會自動把IE跟FIREFOX的COOKIES跟瀏覽紀錄砍光光……讓我以為我是不是優化時不小心按錯,過了兩天才發現去關掉……
謝謝Peter的說明^^
回覆刪除請問FireFox 3 Beta設定裡的接受來自第三方的cookie是否應取消勾選?
回覆刪除我沒有深入的使用FF3
回覆刪除如果他這邊的意思和IE中是類似的話,
那麼確實是取消比較好。
你可以參考一下IE中的隱私權等級設定。
其实各家银行提供的软体就很实用了,例如大陆和香港招商银行用户可以使用“招行网盾”,然后再去申请一个电子U盾,打好补丁+一个好的防火墙+杀毒软件并养成不乱点乱逛的习惯,基本安全是能保证滴..
回覆刪除謝謝你提供的意見
回覆刪除聆君一席話,勝行萬里路,受教了..
回覆刪除McAfee SiteAdvisor 能力似乎比不上 Trend Micro web Reputation Query
回覆刪除接續補充 http://tw.trendmicro.com/tw/products/enterprise/wtp/index.html
回覆刪除