保护你的浏览器

防止浏览器风险的方法.

• 将浏览器安全性设置为高.
• 经常使用和更新浏览器.
• 将安全的网站添加到受信任的网站.
• 阅读纯文本的电子邮件.
• 打开pop blocker.
• 禁用登录并记住密码信息.
• 启用网络钓鱼升.
• 为下载设置适当的动作.
• 当网站试图安装扩展时警告用户.
• 检查访问过的网站是否有伪造的嫌疑.
• 确保任何有密码或个人信息的网站使用HTTPS或有安全 锁定在url旁边.

浏览器的风险

• 网络钓鱼-说服用户输入个人资料.
• 间谍软件-允许拦截或部分控制用户PC的计算机软件.
• 饼干-当浏览器关闭时，会话饼干将被清除，持久饼干将被清除 保留在计算机上，直到达到指定的过期日期. 饼干可以 被用来唯一地识别一个网站的访问者，有些人认为这是一种 侵犯隐私. 如果一个网站使用饼干进行身份验证，那么攻击者 是否可以通过获取饼干获得对该站点的未经授权的访问. 持续的 饼干比会话饼干具有更高的风险，因为它们保留在计算机上 长.
• 弹出窗口-通常显示广告，但可能包含诈骗或间谍软件.

为什么要保护你的浏览器

今天，网络浏览器，如微软的Internet Explorer, Mozilla Firefox和Apple 几乎所有的电脑都安装了Safari浏览器. 由于网络浏览器的使用如此频繁， 安全配置它们是至关重要的. 通常，web浏览器自带 操作系统没有设置在安全的默认配置中. 不保护你的安全 Web浏览器可以迅速导致各种计算机问题所引起的任何事情 从间谍软件在你不知情的情况下被安装到入侵者控制 你的电脑.

Web浏览器的特性和风险

了解web浏览器的功能和特性是很重要的 使用. 启用某些web浏览器功能可能会降低安全性. 供应商通常启用功能 默认情况下是为了改善计算体验，但这些功能最终可能会增加 对计算机的威胁.

攻击者专注于通过各种方式利用客户端系统(您的计算机) 漏洞. 他们利用这些漏洞来控制你的电脑， 窃取你的信息，破坏你的文件，利用你的电脑攻击别人 电脑. 攻击者使用的一种低成本方法是利用web浏览器中的漏洞. 攻击者可以创建一个恶意网页，其中将安装木马软件或间谍软件 这会窃取你的信息. 而不是主动瞄准和攻击弱势群体 系统方面，恶意网站可以在用户访问网站时被动地危害系统. 恶意的HTML文档也可以通过电子邮件发送给受害者. 在这些情况下，行为 打开电子邮件或附件可能会危及系统.

下面简要描述了一些特定的web浏览器功能和相关的风险. 了解不同功能的作用将有助于理解它们的影响 您的网络浏览器的功能和您的计算机的安全性.

ActiveX 是Microsoft Internet Explorer在Microsoft Windows系统上使用的技术吗. ActiveX允许web浏览器使用应用程序或部分应用程序. 网页可以使用可能已经驻留在Windows系统上的ActiveX组件， 或者站点可以将组件作为可下载对象提供. 这提供了额外的功能 对于传统的网页浏览，但也可能引入更严重的漏洞 没有正确执行.

ActiveX一直饱受困扰具有各种漏洞和实现问题. 使用ActiveX的一个问题 在网络浏览器中，它极大地增加了攻击面，或“可攻击性”， 系统的. 安装任何Windows应用程序都会引入新的可能性 正在安装ActiveX控件. ActiveX对象中的漏洞可能被利用 即使该对象从未被设计为在web浏览器中使用. 2000年，CERT/CC举办了一个研讨会来分析ActiveX的安全性. 与ActiveX控件相关的许多漏洞会导致严重的影响. 经常 攻击者可以控制计算机.

Java 是一个面向对象程序设计可以用来表达的语言为网站开发活跃的内容. 使用Java虚拟机(JVM)来执行 Java代码，或者“小程序"(链接是外部的)，"由网站提供. 一些操作系统 而另一些则需要在使用Java之前安装JVM. Java 小程序独立于操作系统.

Java小程序通常在与其他程序交互的“沙盒”中执行 对系统的影响是有限的. 然而，JVM的各种实现都包含漏洞 允许applet绕过这些限制. 签名Java小程序也可以绕过 沙盒限制，但它们通常在执行之前提示用户.

插件 应用程序是在web浏览器中使用的吗. 网景公司开发了 用于开发插件的NPAPI标准，但该标准被多个web所使用 浏览器，包括Mozilla Firefox和Safari. 插件类似于ActiveX控件 但不能在web浏览器之外执行. Adobe Flash就是一个应用程序的例子 它可以作为插件使用.

插件可能包含编程缺陷，例如缓冲区溢出，或者它们可能包含 设计缺陷，如跨域违规，当同源策略是 不遵循.

饼干 您的系统上是否放置了文件来存储特定网站的数据. 饼干罐 包含网站设计中要放置的任何信息. 饼干可能包含 有关您访问过的站点的信息，甚至可能包含访问凭据 这个网站. 饼干被设计为仅由创建该饼干的网站可读 饼干. 当浏览器关闭时，会话饼干和持久饼干将被清除 将保留在计算机上，直到达到指定的到期日期.

饼干可以用来唯一地识别网站的访问者，这是一些人 考虑侵犯隐私. 如果一个网站使用饼干进行身份验证，那么 攻击者可以通过获取 饼干. 持久饼干比会话饼干具有更高的风险，因为它们仍然存在 在电脑上待的时间更长.

JavaScript，也被称为ECMAScript，是一种用于制作网站的脚本语言 更多的互动. JavaScript标准中有一些规范进行了限制 某些功能，如访问本地文件.

VBScript 是微软Windows Internet Explorer独有的另一种脚本语言吗. VBScript类似于JavaScript，但它在网站中没有被广泛使用，因为 与其他浏览器的兼容性有限.

运行脚本语言(如JavaScript或VBScript)的能力允许web 页面作者可以为网页添加大量的功能和交互性. 然而，攻击者可能会滥用相同的功能. 默认配置 对于大多数web浏览器启用脚本支持，这可能会引入多个漏洞， 例如:

• 跨站点脚本编制

  跨站脚本，通常被称为XSS，是一个网站的漏洞 允许攻击者利用您与该站点之间的信任关系. 请注意，跨站脚本通常不是由web浏览器故障引起的.

• 跨区域和跨域漏洞

  大多数浏览器采用安全模型来防止网站中的脚本被访问 不同域中的数据. Internet Explorer也有一个加强安全性的策略 区分开.

  违反这些安全模型的漏洞可用于执行操作 一个站点不能正常运行. 其影响可能类似于跨站点 脚本漏洞. 但是，如果一个漏洞允许攻击者通过 进入本地机器区域或其他受保护的区域，攻击者可能能够 对易受攻击的系统执行任意命令.

• 检测逃税

  防病毒、入侵检测、入侵防御 通常通过寻找内容中的特定模式来工作. 如果是“已知的坏”模式 是否检测到，然后可以采取适当的措施来保护用户. 然而, 由于编程语言的动态性，网页中的脚本可以 被用来逃避这样的保护系统.