沒(méi)有人可以否認(rèn)，作為一款出色的并被廣泛使用的瀏覽器，IE同時(shí)受到了如此多的批評(píng)和贊揚(yáng)。當(dāng)你坐在電腦前使用IE的時(shí)候，你會(huì)習(xí)慣于它的簡(jiǎn)單易用和強(qiáng)大的整合功能，但同時(shí)你也會(huì)受到針對(duì)IE漏洞設(shè)計(jì)的惡意腳本和病毒的侵?jǐn)_。正所謂魚(yú)和熊掌不可兼得，在微軟努力修補(bǔ)漏洞的同時(shí)，我們又能做些什么呢？

　　為了方便大家更加熟悉和了解如何更好的使用IE，我以一個(gè)干凈的，未經(jīng)任何保護(hù)的IE為開(kāi)始，通過(guò)配置逐漸地將它變得安全，更為重要的是，文章不光介紹如何配置，更將一些常見(jiàn)問(wèn)題的原理介紹給大家，這樣在遇到相似的問(wèn)題時(shí)，我們能更加從容的應(yīng)對(duì)。

　　為了塑造一個(gè)純凈的IE，我借助VMware這個(gè)工具來(lái)有效地實(shí)現(xiàn)我的環(huán)境，系統(tǒng)為windows XP professional with sp1。這時(shí)IE的版本為6.0.2800.1106，下面我們就開(kāi)始強(qiáng)化瀏覽器的旅程。

　　首先當(dāng)然是修補(bǔ)漏洞。這兩天針對(duì)IE不利的消息可真不少，一個(gè)ADODB.Stream就夠亂的，還加上幾個(gè)沉睡6年的漏洞被披露，好在微軟很聰明，ADODB.Stream的補(bǔ)丁已經(jīng)推出了，估計(jì)剩下的也很快也會(huì)被補(bǔ)上，不過(guò)有一點(diǎn)我們可以肯定，那就是微軟的網(wǎng)站要常去。

　　其次是IE中internet高級(jí)選項(xiàng)的配置，這部分一般不需要做什么特別大的修改。

　　只有幾點(diǎn)需要提示：

　　若在安裝VB后總是出現(xiàn)糾正頁(yè)面錯(cuò)誤提示，請(qǐng)?jiān)趇nternet選項(xiàng)--高級(jí)中選中“禁止腳本調(diào)試”并去掉選擇“顯示每個(gè)腳本錯(cuò)誤的通知”

　　若您為windows2003 server的用戶，請(qǐng)?jiān)趇nternet選項(xiàng)—高級(jí)中的“播放網(wǎng)頁(yè)中的動(dòng)畫(huà)”以正常顯示GIF文件。

　　接下來(lái)就該輪到IE設(shè)置中的重頭戲：安全設(shè)置了。在開(kāi)始之前，我們需要簡(jiǎn)單了解幾種控件和腳本，以便于更好的理解安全配置中的含義。

　　ActiveX：ActiveX組件實(shí)際上是指一些可執(zhí)行的代碼或一個(gè)程序，比如一個(gè).EXE、.DLL或.OCX文件，通過(guò)ActiveX技術(shù)，程序員就能夠?qū)⑦@些可復(fù)用的軟件組裝到應(yīng)用程序或者服務(wù)程序中去，嵌入到網(wǎng)頁(yè)中，隨網(wǎng)頁(yè)傳送到客戶的瀏覽器上，并在客戶端執(zhí)行。通過(guò)編程，ActiveX控件可以與Web瀏覽器交互或與客戶交互。

　　腳本：英文為Script，實(shí)際上腳本就是程序，一般都是有應(yīng)用程序提供的編程語(yǔ)言。應(yīng)用程序包括瀏覽器(JavaScript、VBScript)、多媒體創(chuàng)作工具，應(yīng)用程序的宏和創(chuàng)作系統(tǒng)的批處理語(yǔ)言也可以歸入腳本之類。

　　為了更直觀地讓大家看到安全設(shè)置在網(wǎng)站中瀏覽起到的重要作用，我禁用了瀏覽器的所有功能，然后登錄一些非常危險(xiǎn)的網(wǎng)站（這些網(wǎng)站中不良信息將不會(huì)出現(xiàn)在截圖中），通過(guò)逐漸打開(kāi)一些功能使大家清楚地看到幾乎所有我們能夠遇到的現(xiàn)象和問(wèn)題。

　　現(xiàn)象一：自動(dòng)彈出其他地址連接。

　　我們最為常見(jiàn)的問(wèn)題，造成這個(gè)問(wèn)題出現(xiàn)的位置在活動(dòng)腳本

　　事實(shí)上，彈出新的頁(yè)面只是利用這個(gè)功能的一種方式，許多的活動(dòng)腳本其實(shí)都運(yùn)行在同一瀏覽頁(yè)面內(nèi)，盡管許多網(wǎng)站（甚至windows update界面）都需要多次得活動(dòng)腳本的支持才能做到完整地打開(kāi)網(wǎng)頁(yè)，但由于此項(xiàng)功能結(jié)合ActiveX控件漏洞造成絕大多數(shù)攻擊行為，大家還是應(yīng)該謹(jǐn)慎的使用此選項(xiàng)。所以，在你對(duì)站點(diǎn)有充分的信任之前，請(qǐng)保持你禁止這個(gè)功能！

　　現(xiàn)象二：詢問(wèn)安裝某項(xiàng)軟件。

　　現(xiàn)象三：某些程序出現(xiàn)在了進(jìn)程當(dāng)中。

　　這兩個(gè)問(wèn)題一樣常見(jiàn)，造成此問(wèn)題的位置在ActiveX控件和插件設(shè)置部分。

　　事實(shí)上，就算是常常出現(xiàn)的廣告都需要ActiveX的支持，這些廣告為某一格式（比如flash格式），通過(guò)在線打開(kāi)來(lái)正常顯示。而像第二幅圖中出現(xiàn)的現(xiàn)象是“下載ActiveX控件”和“運(yùn)行ActiveX控件和插件”這兩項(xiàng)功能共同作用的結(jié)果。然而我們要清楚的是某些惡意程序或者病毒并沒(méi)有這么無(wú)害，他們一旦得到了執(zhí)行的權(quán)限就會(huì)肆無(wú)忌憚地破壞你的系統(tǒng)，所以我的建議是：

　　對(duì)標(biāo)記為可安全執(zhí)行腳本的ActiveX 控件執(zhí)行腳本：禁用

　　對(duì)沒(méi)有標(biāo)記為可安全執(zhí)行腳本的ActiveX 控件進(jìn)行初始化執(zhí)行腳本：禁用

　　下載未簽名的ActiveX控件：禁用

　　下載已簽名的ActiveX控件：禁用

　　運(yùn)行ActiveX控件和插件：提示

　　這樣可以保證一些你想要的插件，例如flash player可以正常的出現(xiàn)在提示中，而前面的幾個(gè)選項(xiàng)則是惡意程序獲得執(zhí)行權(quán)限之前留在你硬盤(pán)上的幫兇，不要被“已簽名”這種詞匯蒙蔽，惡意程序可以輕易地偽裝成“已簽名”而騙過(guò)瀏覽器，所以除非網(wǎng)站指名需要你開(kāi)啟下載控件，例如銀行的在線支付系統(tǒng)的客戶端，否則請(qǐng)不要使他們處在開(kāi)啟狀態(tài)。

　　那么如何解決總是彈出詢問(wèn)安裝軟件的對(duì)話框呢？很簡(jiǎn)單，若我們需要這個(gè)軟件，那么只要我們安裝了它，下次它就不會(huì)再?gòu)棾鎏崾玖?，如果我們?duì)出品商的所有軟件都信任（比如MS）那我們可以勾中“總是信任”復(fù)選框，而對(duì)于我們不需要的軟件，采取以下三步就可以避免它們的出現(xiàn)。

　　第一步：點(diǎn)擊證書(shū)

　　第二步：選擇安裝證書(shū)

　　第三步：安裝證書(shū)到不信任域

　　只需這幾步簡(jiǎn)單操作即可避免你不想看到的提示再次出現(xiàn)。

　　現(xiàn)象四：瀏覽器被改得面目全非、注冊(cè)表被破壞

　　避開(kāi)了ActiveX成功下載可執(zhí)行文件

　　造成此問(wèn)題的位置在java小程序腳本

　　Java小程序腳本和ActiveX的地位可以說(shuō)是平等的，Java腳本可以被用來(lái)做小到更改一下瀏覽器的背景，大到格式化你的硬盤(pán)，有些人認(rèn)為java腳本不能做到像ActiveX那樣下載程序而認(rèn)為危害比ActiveX要小，那就大錯(cuò)特錯(cuò)了。事實(shí)上，使用java腳本對(duì)注冊(cè)表進(jìn)行修改比利用ActiveX方便得多，而且利用java腳本進(jìn)行的跨站腳本攻擊（CSS或者XSS）可以輕易截獲你的個(gè)人信息，盜取個(gè)人賬戶。更有甚者，在禁用了活動(dòng)腳本的情況下，使用java腳本在關(guān)閉瀏覽器的時(shí)候打開(kāi)新的頁(yè)面并下載得到偽裝的可執(zhí)行程序！

　　由于多數(shù)使用java腳本的網(wǎng)站多將其用于特效顯示或者制作投票窗口這種小程序上，所以關(guān)閉它并不會(huì)對(duì)瀏覽絕大多數(shù)網(wǎng)站造成太大影響。同樣地，鑒于它的危害，在你充分信任網(wǎng)站之前，請(qǐng)務(wù)必禁用這個(gè)選項(xiàng)。

　　現(xiàn)象五：瀏覽器自動(dòng)跳轉(zhuǎn)至其他頁(yè)面

　　造成此問(wèn)題的位置在

　　這是一個(gè)在論壇中常用到的功能，用來(lái)提示和防止刷屏，當(dāng)然這個(gè)功能在任何一個(gè)頁(yè)面也都可以用到。雖然代碼很簡(jiǎn)單〈META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://website"〉然而，即使是這樣簡(jiǎn)單的功能，也會(huì)被攻擊者利用成為類似活動(dòng)腳本似的攻擊方式，所以……不用我說(shuō)了，除非相信這個(gè)頁(yè)面，否則禁用。順便說(shuō)一下，如果是類似論壇cookie提示中使用的meta refresh可以通過(guò)手動(dòng)刷新代替。

　　最后需要提醒大家注意的是曾經(jīng)有一個(gè)攻擊建立在“通過(guò)與訪問(wèn)數(shù)據(jù)資源”這個(gè)選項(xiàng)上，利用MSXML的強(qiáng)大功能奪取權(quán)限，不過(guò)這個(gè)漏洞已經(jīng)于早些時(shí)候被MS發(fā)出的補(bǔ)丁堵上了。真不知道安全設(shè)置中的哪個(gè)選項(xiàng)又會(huì)成為攻擊著手的目標(biāo)，反正update是要常去的。

　　綜上所述，我們已經(jīng)了解了幾乎所有利用瀏覽器弱點(diǎn)和程序特性針對(duì)瀏覽器發(fā)生的攻擊了。很顯然，如果我們想獲得絕對(duì)的安全，那么同時(shí)我們也將喪失幾乎所有的正常功能。所以在上網(wǎng)瀏覽的時(shí)候，我們需要一部分網(wǎng)站成為我們可以信賴的網(wǎng)站，比如搜狐、網(wǎng)易等等，我們大可以將這些網(wǎng)站置入“受信任的站點(diǎn)”列表中，給與它們更高的權(quán)限，雖然這些網(wǎng)站會(huì)帶來(lái)令我們反感的商業(yè)插件和廣告，但我們可以通過(guò)簡(jiǎn)單的手段屏蔽。而在某些情況下，我們就特別需要提高警惕，尤其是當(dāng)你在瀏覽一些屬于危險(xiǎn)內(nèi)容（尤其是成人內(nèi)容）的網(wǎng)站、和在公共聊天室時(shí)，就需要格外的提高警惕了，在這些場(chǎng)合下，一些經(jīng)過(guò)偽裝的文件通過(guò)你的下載和安裝會(huì)使我們針對(duì)瀏覽器的一切配置形同廢紙一張。最后我還要特別提醒那些沉溺于QQ或網(wǎng)游的人們，由于這些虛擬世界也存在著巨大的利潤(rùn)，針對(duì)它們的攻擊多種多樣，并且攻擊更多的利用了這些軟件本身的諸多漏洞，所以在瀏覽這些領(lǐng)域的網(wǎng)站的時(shí)候，我也強(qiáng)烈建議這些玩家們使用更為謹(jǐn)慎的瀏覽策略，這樣才能保證自己的利益不被侵害。

　　我的建議安全設(shè)置策略是：

　　對(duì)于可信賴的網(wǎng)站：直接將其放入信賴站點(diǎn)中，并允許瀏覽器使用受信任的站點(diǎn)策略。

　　對(duì)于危險(xiǎn)站點(diǎn)：將上述更改施加于“中”級(jí)安全配置中即可。

　　最后還要提醒那些習(xí)慣使用第三方修改器（IE助手、超級(jí)兔仔）的朋友們，由于這些軟件并沒(méi)有通過(guò)微軟官方的測(cè)試，所以它們對(duì)瀏覽器和注冊(cè)表鍵值直接進(jìn)行修改的行為可能導(dǎo)致不可預(yù)知的錯(cuò)誤，并且由于它們不能做到治本，所以針對(duì)有偽裝和傳播特性的惡意程序和病毒不能做到完全清除，這會(huì)導(dǎo)致系統(tǒng)繼續(xù)受到侵害而用戶沒(méi)有發(fā)覺(jué)，這樣損失更大。所以我提醒大家慎用第三方修改器，科學(xué)和完整的解決將在第二篇中為大家詳細(xì)介紹。

最新評(píng)論