1 引言
根據(jù)百度百科的定義,瀏覽器是指能夠顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容,并讓用戶與這些文件進(jìn)行交互的一種軟件。按照應(yīng)用環(huán)境劃分,分為網(wǎng)頁瀏覽器和手機(jī)瀏覽器。其中,網(wǎng)頁瀏覽器主要是通過HTTP協(xié)議與網(wǎng)頁服務(wù)器交互并獲取網(wǎng)頁,通常這些網(wǎng)頁是由URL來指定的。常用的網(wǎng)頁瀏覽器包括IE瀏覽器、Firefox瀏覽器、Safari瀏覽器, Chrome瀏覽器、搜狗瀏覽器、UC瀏覽器等。手機(jī)瀏覽器則是一種用戶在移動設(shè)備終端,例如手機(jī)或PDA上通過通訊網(wǎng)絡(luò)進(jìn)行互聯(lián)網(wǎng)內(nèi)容瀏覽的移動互聯(lián)網(wǎng)工具,也叫做移動瀏覽器。
隨著人們越來越頻繁的使用瀏覽器連接各類互聯(lián)網(wǎng)應(yīng)用,瀏覽器成為眾多網(wǎng)絡(luò)攻擊瞄準(zhǔn)的目標(biāo),大量的瀏覽器安全問題,例如網(wǎng)絡(luò)釣魚、跨站攻擊、網(wǎng)頁木馬和病毒后門程序等也隨之劇增,因此瀏覽器安全已經(jīng)成為人們最為關(guān)心如何解決的一個問題。
2 瀏覽器網(wǎng)頁安全問題的分類
根據(jù)對瀏覽器不同方面的威脅,瀏覽器安全主要涉及五個方面:網(wǎng)頁安全、下載安全、插件安全、支付安全和個人信息安全。本文將主要針對網(wǎng)頁安全問題進(jìn)行分析,網(wǎng)頁安全主要包括瀏覽器安全漏洞檢測、網(wǎng)頁/網(wǎng)址認(rèn)證以及網(wǎng)頁/網(wǎng)址防護(hù)。
2.1 瀏覽器安全漏洞檢測
漏洞即某個程序在設(shè)計時未考慮周全,當(dāng)程序遇到一個看似合理,但實際無法處理的問題時,引發(fā)的不可預(yù)見的錯誤。瀏覽器作為客戶端程序,其漏洞的存在是由于編程人員的能力、經(jīng)驗和技術(shù)所限,在程序中難免會有不足之處。由于程序結(jié)構(gòu)的復(fù)雜性,瀏覽器自身存在大量的安全漏洞。漏洞本身雖然不帶任何屬性,但是漏洞可以被惡意用戶利用進(jìn)入電腦執(zhí)行任意代碼,不但會造成信息泄露,嚴(yán)重的甚至?xí)茐拇疟P文件系統(tǒng)等,造成極大的安全威脅。
目前,針對安全漏洞的檢測主要是采用漏洞掃描技術(shù),即利用漏洞掃描和安全評估軟件對整個網(wǎng)絡(luò)進(jìn)行全面的掃描、分析和評估。一般采用下述的兩種策略:策略一是首先掃描目標(biāo)主機(jī)的端口,目的在于對指定端口進(jìn)行監(jiān)聽以及識別網(wǎng)絡(luò)服務(wù)所屬類別。然后利用系統(tǒng)的操作平臺,查看在漏洞庫中是否存在滿足了匹配條件的漏洞,具體為根據(jù)存在于漏洞庫中的所有漏洞進(jìn)行一一的排查。最后模擬黑客對系統(tǒng)進(jìn)行攻擊,假如模擬攻擊成功,就說明系統(tǒng)中的確存在著安全漏洞。策略二則是采用插件技術(shù),為了檢測出系統(tǒng)中的漏洞,通過調(diào)用插件來運行掃描程序。安全漏洞的針對型掃描能夠建立和提高用戶的安全策略,及時發(fā)現(xiàn)并彌補(bǔ)安全漏洞。
2.2 網(wǎng)頁/網(wǎng)址認(rèn)證
安全認(rèn)證是一個通過驗證被認(rèn)證對象的屬性,來確認(rèn)被認(rèn)證對象是否屬實有效的過程。所述屬性包括口令、數(shù)字簽名或者生理特征等,例如指紋、掌紋或虹膜。認(rèn)證技術(shù)是現(xiàn)代密碼學(xué)的一個分支,目前通常認(rèn)為存在兩種認(rèn)證技術(shù),分別是身份認(rèn)證和消息認(rèn)證。
第一種是身份認(rèn)證技術(shù),顧名思義其是用于鑒別用戶的身份,能夠?qū)π畔⑹瞻l(fā)方進(jìn)行真實身份鑒別。在開放式的網(wǎng)絡(luò)環(huán)境中,身份認(rèn)證往往是許多應(yīng)用系統(tǒng)安全保護(hù)的第一道防線。在身份認(rèn)證過程中一般使用三個要素:只有主體知道的秘密、主體擁有的物品和只有該主體具有的獨一無二的特征或能力。常用的身份認(rèn)證技術(shù)則包括RMI技術(shù)、SOAP技術(shù)、基于Cookie的單點登錄認(rèn)證等。
第二種是對收到的消息進(jìn)行驗證的消息認(rèn)證技術(shù),目的是確認(rèn)消息的確是來自真正的發(fā)送方且未被篡改,同時也能夠驗證消息的順序性和及時性,已廣泛應(yīng)用于信息網(wǎng)絡(luò)。消息認(rèn)證的實質(zhì)是針對消息自身生成冗余信息,即被稱作MAC的消息認(rèn)證碼。MAC用于檢測消息的完整性和進(jìn)行消息源認(rèn)證,具體是使用密鑰對待認(rèn)證消息生成新數(shù)據(jù)塊并通過對數(shù)據(jù)塊加密而生成。由于MAC相對于待保護(hù)的信息而言具有唯一性,因此可以實現(xiàn)待認(rèn)證消息是完整的,并且能夠保證消息的無法抵賴和偽造。構(gòu)造MAC通常利用以下三種方法:基于帶密鑰的Hash函數(shù),基于分組密碼以及基于流密碼。
2.3 網(wǎng)頁/網(wǎng)址防護(hù)
瀏覽器中的網(wǎng)頁/網(wǎng)址防護(hù)技術(shù)主要有風(fēng)險隔離技術(shù)和風(fēng)險攔截技術(shù)。首先是風(fēng)險隔離技術(shù),其最著名的為沙盒(Sandbox)技術(shù)。其主要用于控制代碼的執(zhí)行權(quán)限,是瀏覽器保護(hù)安全的一種組件關(guān)系設(shè)計模式。相當(dāng)于在沙盤中運行瀏覽器,通過加載自身的驅(qū)動來保護(hù)底層數(shù)據(jù),建立虛擬環(huán)境隔離病毒、木馬,使其不會影響用戶的真實電腦,屬于驅(qū)動級別的保護(hù)。該技術(shù)的實現(xiàn)是利用操作系統(tǒng)提供的權(quán)限來控制應(yīng)用程序界面和訪問攔截技術(shù),而更為先進(jìn)的沙盒技術(shù)則需要使用虛擬CPU技術(shù)。其次是風(fēng)險攔截技術(shù),也被稱為“網(wǎng)頁防火墻”,主要包括幾種攔截機(jī)制:URL攔截、惡意腳本攔截、堆噴攔截、下載攔截、進(jìn)程攔截和自我保護(hù)等。
3 瀏覽器網(wǎng)頁安全問題防范技術(shù)的優(yōu)勢及不足
3.1 瀏覽器安全漏洞檢測技術(shù)
瀏覽器安全漏洞檢測技術(shù)目前尚存在有不足之處。首先是規(guī)則庫問題。由于確認(rèn)系統(tǒng)漏洞的工作具體是根據(jù)系統(tǒng)配置的漏洞規(guī)則庫來進(jìn)行,于是為了保證確認(rèn)漏洞結(jié)果的精準(zhǔn)度,就意味著必須要設(shè)計準(zhǔn)確的規(guī)則庫。此外眾所周知的是,目前的漏洞庫一般都是根據(jù)已知存在的安全漏洞來設(shè)計的,但是在網(wǎng)絡(luò)上的眾多不安全因素卻有很多都來自未知的漏洞,因此,如果不能對漏洞規(guī)則庫進(jìn)行不斷的及時更新,就無從談起確認(rèn)漏洞結(jié)果的精準(zhǔn)度。綜上,基于漏洞庫信息的重要性,如果漏洞庫信息是不準(zhǔn)確的或陳舊的,那么它不但不能用于漏洞掃描,還可能無法對系統(tǒng)的安全隱患及時采取有效措施來進(jìn)行消除。
在采用插件技術(shù)掃描瀏覽器安全漏洞時,為了不斷地掃描出新漏洞,當(dāng)插件不足時,可以通過添加新的插件來實現(xiàn),這大大提高了漏洞掃描軟件的擴(kuò)展性和易于維護(hù)性。例如,用戶可以遵循插件的編寫規(guī)范使用專用腳本語言來自己編程撰寫出新的插件。
3.2 網(wǎng)頁/網(wǎng)址認(rèn)證
對于身份認(rèn)證技術(shù)來說,現(xiàn)有的各種硬件身份驗證產(chǎn)品,如裝有PKI證書的USB裝置、IC電子卡,或動態(tài)密碼電子令牌等,存在浪費大量資源、增加企業(yè)的生產(chǎn)經(jīng)營成本或應(yīng)用范圍小的缺點?,F(xiàn)有的網(wǎng)絡(luò)身份驗證,仍然是各網(wǎng)絡(luò)服務(wù)商各自有自己的用戶名和密碼庫及相對的身份驗證產(chǎn)品,對于各網(wǎng)絡(luò)業(yè)者而言,造成了重復(fù)投資的問題;而對于使用者而言,使用者得同時記住各種不同用戶名密碼及需要購買各種不同身份驗證硬件產(chǎn)品,降低了使用意愿。而隨著MAC研究的深入,最初的僅在可證明安全性方面的要求已經(jīng)遠(yuǎn)不能滿足用戶的意愿,用戶不但需要MAC在證明安全性方面表現(xiàn)出色,同時在其他方面也要具備相當(dāng)?shù)膬?yōu)勢,比如快速的計算速度、支持增量式以及并行計算、在線運行和支持亂序驗證等,其實質(zhì)都是用來提升MAC的計算速度的,因此,未來可以通過充分利用計算機(jī)的計算特點來改進(jìn)算法從而提高算法的計算速度。
3.3 網(wǎng)頁/網(wǎng)址防護(hù)
在提高瀏覽器安全等級方面,Sandbox技術(shù)充分利用了操作系統(tǒng)的權(quán)限控制和應(yīng)用程序界面控制,并取得了非常好的效果。但是從根源上來講,由于其實質(zhì)上是靜態(tài)技術(shù),在很多方面,Sandbox技術(shù)并不能夠及時進(jìn)行更新和擴(kuò)充,這就造成了Sandbox的技術(shù)劣勢,即對于網(wǎng)絡(luò)上新出現(xiàn)的漏洞,其不能夠進(jìn)行足夠的防御。傳統(tǒng)技術(shù)中的惡意URL攔截提示方法,僅僅能單純地提示用戶其請求的URL有風(fēng)險,提示信息既不夠豐富,也不具有說服力。用戶在選擇是否繼續(xù)訪問時,缺乏參考數(shù)據(jù),導(dǎo)致極有可能做出錯誤的判斷,從而造成訪問假網(wǎng)站的后果,這就使得用戶的信息安全得不到足夠的保障。
4 結(jié)束語
本文針對瀏覽器網(wǎng)頁安全存在的問題,現(xiàn)有的瀏覽器網(wǎng)頁安全防范技術(shù)以及相應(yīng)技術(shù)的優(yōu)缺點進(jìn)行了介紹。根據(jù)上文的介紹發(fā)現(xiàn),與瀏覽器相關(guān)的安全威脅是多種多樣的,并且隨著人們對網(wǎng)絡(luò)資源越來越依賴,尤其是網(wǎng)上購物、網(wǎng)上支付、社交網(wǎng)絡(luò)的不斷發(fā)展,瀏覽器已成為人們?nèi)粘I钪胁豢苫蛉钡墓ぞ?,其面臨的安全問題也會越來越復(fù)雜,瀏覽器安全問題涉及到了國家安全、企業(yè)發(fā)展及個人生命財產(chǎn)安全,將會受到越來越多的重視。
參考文獻(xiàn)
[1] 江導(dǎo).瀏覽器Web安全威脅檢測技術(shù)研究與實現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用,2014(02):100-101.
[2] 馬琴.淺析Web瀏覽器的安全與防范[J].科技風(fēng),2010(21):203.
[3] 胡曉荷.瀏覽器安全——不能被忽視的問題[J].信息安全與通信保密,2009(08):11-14.
[4] 宋苑等.網(wǎng)絡(luò)安全掃描技術(shù)綜述[J].廣東通信技術(shù),2004(08):58-60,64.
[5] 洪宏等.網(wǎng)絡(luò)安全掃描技術(shù)研究[J].計算機(jī)工程,2004,30(10):54-56.
[6] 李星宜等.基于數(shù)字證書的身份認(rèn)證系統(tǒng)的設(shè)計與實現(xiàn)[J].計算機(jī)技術(shù)與發(fā)展,2011,21(12):160-163.
[7] 孫勇.一種Web身份認(rèn)證方法[J].電腦知識與技術(shù)(學(xué)術(shù)交流),2007(20):345-346.
[8] 李勇.消息認(rèn)證碼的原理與實現(xiàn)[J].通信世界,2006(47):28.
作者簡介:
劉瑩瑩(1982-),女,漢族,遼寧興城人,畢業(yè)于東北大學(xué),碩士,現(xiàn)任國家知識產(chǎn)權(quán)局專利局電學(xué)部主任科員;主要研究方向和關(guān)注領(lǐng)域:計算機(jī)網(wǎng)絡(luò)、圖像處理。