作者: 付謙 
沒有人可以否認�����,作為一款出色的并被廣泛使用的瀏覽器����,IE同時受到了如此多的批評和贊揚��。當你坐在電腦前使用IE的時候����,你會習慣于它的簡單易用和強大的整合功能,但同時你也會受到針對IE漏洞設計的惡意腳本和病毒的侵擾����。正所謂魚和熊掌不可兼得���,在微軟努力修補漏洞的同時��,我們又能做些什么呢?
為了方便大家更加熟悉和了解如何更好的使用IE,我以一個干凈的,未經任何保護的IE為開始����,通過配置逐漸地將它變得安全�����,更為重要的是,文章不光介紹如何配置,更將一些常見問題的原理介紹給大家���,這樣在遇到相似的問題時,我們能更加從容的應對。
為了塑造一個純凈的IE,我借助VMware這個工具來有效地實現我的環境�����,系統為windows XP professional with sp1���。這時IE的版本為6.0.2800.1106�,下面我們就開始強化瀏覽器的旅程�����。
首先當然是修補漏洞�。這兩天針對IE不利的消息可真不少����,一個ADODB.Stream就夠亂的,還加上幾個沉睡6年的漏洞被披露�,好在微軟很聰明��,ADODB.Stream的補丁已經推出了,估計剩下的也很快也會被補上�����,不過有一點我們可以肯定�����,那就是微軟的網站要常去��。
其次是IE中internet高級選項的配置,這部分一般不需要做什么特別大的修改���。
只有幾點需要提示:
若在安裝VB后總是出現糾正頁面錯誤提示,請在internet選項--高級中選中“禁止腳本調試”并去掉選擇“顯示每個腳本錯誤的通知”
若您為windows2003 server的用戶����,請在internet選項―高級中的“播放網頁中的動畫”以正常顯示GIF文件�����。
接下來就該輪到IE設置中的重頭戲:安全設置了�。在開始之前,我們需要簡單了解幾種控件和腳本,以便于更好的理解安全配置中的含義��。
ActiveX:ActiveX組件實際上是指一些可執行的代碼或一個程序��,比如一個.EXE�、.DLL或.OCX文件��,通過ActiveX技術����,程序員就能夠將這些可復用的軟件組裝到應用程序或者服務程序中去����,嵌入到網頁中�����,隨網頁傳送到客戶的瀏覽器上,并在客戶端執行�����。通過編程���,ActiveX控件可以與Web瀏覽器交互或與客戶交互����。
腳本:英文為Script,實際上腳本就是程序�,一般都是有應用程序提供的編程語言����。應用程序包括瀏覽器(JavaScript�����、VBScript)、多媒體創作工具,應用程序的宏和創作系統的批處理語言也可以歸入腳本之類���。
為了更直觀地讓大家看到安全設置在網站中瀏覽起到的重要作用,我禁用了瀏覽器的所有功能,然后登錄一些非常危險的網站(這些網站中不良信息將不會出現在截圖中)���,通過逐漸打開一些功能使大家清楚地看到幾乎所有我們能夠遇到的現象和問題。
現象一:自動彈出其他地址連接。
我們最為常見的問題����,造成這個問題出現的位置在活動腳本
事實上�����,彈出新的頁面只是利用這個功能的一種方式,許多的活動腳本其實都運行在同一瀏覽頁面內,盡管許多網站(甚至windows update界面)都需要多次得活動腳本的支持才能做到完整地打開網頁�,但由于此項功能結合ActiveX控件漏洞造成絕大多數攻擊行為�,大家還是應該謹慎的使用此選項�����。所以�����,在你對站點有充分的信任之前,請保持你禁止這個功能�����!
現象二:詢問安裝某項軟件����。
現象三:某些程序出現在了進程當中����。
這兩個問題一樣常見,造成此問題的位置在ActiveX控件和插件設置部分��。
事實上����,就算是常常出現的廣告都需要ActiveX的支持,這些廣告為某一格式(比如flash格式)���,通過在線打開來正常顯示。而像第二幅圖中出現的現象是“下載ActiveX控件”和“運行ActiveX控件和插件”這兩項功能共同作用的結果����。然而我們要清楚的是某些惡意程序或者病毒并沒有這么無害���,他們一旦得到了執行的權限就會肆無忌憚地破壞你的系統��,所以我的建議是:
對標記為可安全執行腳本的ActiveX 控件執行腳本:禁用
對沒有標記為可安全執行腳本的ActiveX 控件進行初始化執行腳本:禁用
下載未簽名的ActiveX控件:禁用
下載已簽名的ActiveX控件:禁用
運行ActiveX控件和插件:提示
這樣可以保證一些你想要的插件���,例如flash player可以正常的出現在提示中����,而前面的幾個選項則是惡意程序獲得執行權限之前留在你硬盤上的幫兇��,不要被“已簽名”這種詞匯蒙蔽����,惡意程序可以輕易地偽裝成“已簽名”而騙過瀏覽器����,所以除非網站指名需要你開啟下載控件����,例如銀行的在線支付系統的客戶端,否則請不要使他們處在開啟狀態��。
那么如何解決總是彈出詢問安裝軟件的對話框呢��?很簡單����,若我們需要這個軟件����,那么只要我們安裝了它,下次它就不會再彈出提示了����,如果我們對出品商的所有軟件都信任(比如MS)那我們可以勾中“總是信任”復選框���,而對于我們不需要的軟件�,采取以下三步就可以避免它們的出現���。
第一步:點擊證書
第二步:選擇安裝證書
第三步:安裝證書到不信任域
只需這幾步簡單操作即可避免你不想看到的提示再次出現����。
現象四:瀏覽器被改得面目全非、注冊表被破壞
避開了ActiveX成功下載可執行文件
造成此問題的位置在java小程序腳本
Java小程序腳本和ActiveX的地位可以說是平等的��,Java腳本可以被用來做小到更改一下瀏覽器的背景�����,大到格式化你的硬盤,有些人認為java腳本不能做到像ActiveX那樣下載程序而認為危害比ActiveX要小,那就大錯特錯了�����。事實上�����,使用java腳本對注冊表進行修改比利用ActiveX方便得多���,而且利用java腳本進行的跨站腳本攻擊(CSS或者XSS)可以輕易截獲你的個人信息��,盜取個人賬戶。更有甚者,在禁用了活動腳本的情況下���,使用java腳本在關閉瀏覽器的時候打開新的頁面并下載得到偽裝的可執行程序!
由于多數使用java腳本的網站多將其用于特效顯示或者制作投票窗口這種小程序上,所以關閉它并不會對瀏覽絕大多數網站造成太大影響。同樣地�����,鑒于它的危害�����,在你充分信任網站之前��,請務必禁用這個選項����。
現象五:瀏覽器自動跳轉至其他頁面
造成此問題的位置在
這是一個在論壇中常用到的功能����,用來提示和防止刷屏�����,當然這個功能在任何一個頁面也都可以用到��。雖然代碼很簡單〈META HTTP-EQUIV="Refresh" CONTENT="5;URL=http://website"〉然而,即使是這樣簡單的功能,也會被攻擊者利用成為類似活動腳本似的攻擊方式����,所以……不用我說了��,除非相信這個頁面,否則禁用。順便說一下����,如果是類似論壇cookie提示中使用的meta refresh可以通過手動刷新代替���。
最后需要提醒大家注意的是曾經有一個攻擊建立在“通過與訪問數據資源”這個選項上�����,利用MSXML的強大功能奪取權限,不過這個漏洞已經于早些時候被MS發出的補丁堵上了�����。真不知道安全設置中的哪個選項又會成為攻擊著手的目標�����,反正update是要常去的�����。
綜上所述�����,我們已經了解了幾乎所有利用瀏覽器弱點和程序特性針對瀏覽器發生的攻擊了�����。很顯然,如果我們想獲得絕對的安全���,那么同時我們也將喪失幾乎所有的正常功能。所以在上網瀏覽的時候�,我們需要一部分網站成為我們可以信賴的網站����,比如搜狐��、網易等等����,我們大可以將這些網站置入“受信任的站點”列表中�,給與它們更高的權限,雖然這些網站會帶來令我們反感的商業插件和廣告��,但我們可以通過簡單的手段屏蔽�。而在某些情況下,我們就特別需要提高警惕�,尤其是當你在瀏覽一些屬于危險內容(尤其是成人內容)的網站����、和在公共聊天室時����,就需要格外的提高警惕了�,在這些場合下��,一些經過偽裝的文件通過你的下載和安裝會使我們針對瀏覽器的一切配置形同廢紙一張。最后我還要特別提醒那些沉溺于QQ或網游的人們�����,由于這些虛擬世界也存在著巨大的利潤���,針對它們的攻擊多種多樣��,并且攻擊更多的利用了這些軟件本身的諸多漏洞�����,所以在瀏覽這些領域的網站的時候,我也強烈建議這些玩家們使用更為謹慎的瀏覽策略�����,這樣才能保證自己的利益不被侵害����。
我的建議安全設置策略是:
對于可信賴的網站:直接將其放入信賴站點中,并允許瀏覽器使用受信任的站點策略�。
對于危險站點:將上述更改施加于“中”級安全配置中即可����。
最后還要提醒那些習慣使用第三方修改器(IE助手���、超級兔仔)的朋友們����,由于這些軟件并沒有通過微軟官方的測試�����,所以它們對瀏覽器和注冊表鍵值直接進行修改的行為可能導致不可預知的錯誤��,并且由于它們不能做到治本,所以針對有偽裝和傳播特性的惡意程序和病毒不能做到完全清除,這會導致系統繼續受到侵害而用戶沒有發覺�����,這樣損失更大�����。所以我提醒大家慎用第三方修改器����,科學和完整的解決將在第二篇中為大家詳細介紹���。
