浅析浏览器网页安全问题
2016-05-14刘莹莹
1 引言
根据百度百科的定义,浏览器是指能够显示网页服务器或者文件系统的HTML文件内容,并让用户与这些文件进行交互的一种软件。按照应用环境划分,分为网页浏览器和手机浏览器。其中,网页浏览器主要是通过HTTP协议与网页服务器交互并获取网页,通常这些网页是由URL来指定的。常用的网页浏览器包括IE浏览器、Firefox浏览器、Safari浏览器, Chrome浏览器、搜狗浏览器、UC浏览器等。手机浏览器则是一种用户在移动设备终端,例如手机或PDA上通过通讯网络进行互联网内容浏览的移动互联网工具,也叫做移动浏览器。
随着人们越来越频繁的使用浏览器连接各类互联网应用,浏览器成为众多网络攻击瞄准的目标,大量的浏览器安全问题,例如网络钓鱼、跨站攻击、网页木马和病毒后门程序等也随之剧增,因此浏览器安全已经成为人们最为关心如何解决的一个问题。
2 浏览器网页安全问题的分类
根据对浏览器不同方面的威胁,浏览器安全主要涉及五个方面:网页安全、下载安全、插件安全、支付安全和个人信息安全。本文将主要针对网页安全问题进行分析,网页安全主要包括浏览器安全漏洞检测、网页/网址认证以及网页/网址防护。
2.1 浏览器安全漏洞检测
漏洞即某个程序在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。浏览器作为客户端程序,其漏洞的存在是由于编程人员的能力、经验和技术所限,在程序中难免会有不足之处。由于程序结构的复杂性,浏览器自身存在大量的安全漏洞。漏洞本身虽然不带任何属性,但是漏洞可以被恶意用户利用进入电脑执行任意代码,不但会造成信息泄露,严重的甚至会破坏磁盘文件系统等,造成极大的安全威胁。
目前,针对安全漏洞的检测主要是采用漏洞扫描技术,即利用漏洞扫描和安全评估软件对整个网络进行全面的扫描、分析和评估。一般采用下述的两种策略:策略一是首先扫描目标主机的端口,目的在于对指定端口进行监听以及识别网络服务所属类别。然后利用系统的操作平台,查看在漏洞库中是否存在满足了匹配条件的漏洞,具体为根据存在于漏洞库中的所有漏洞进行一一的排查。最后模拟黑客对系统进行攻击,假如模拟攻击成功,就说明系统中的确存在着安全漏洞。策略二则是采用插件技术,为了检测出系统中的漏洞,通过调用插件来运行扫描程序。安全漏洞的针对型扫描能够建立和提高用户的安全策略,及时发现并弥补安全漏洞。
2.2 网页/网址认证
安全认证是一个通过验证被认证对象的属性,来确认被认证对象是否属实有效的过程。所述属性包括口令、数字签名或者生理特征等,例如指纹、掌纹或虹膜。认证技术是现代密码学的一个分支,目前通常认为存在两种认证技术,分别是身份认证和消息认证。
第一种是身份认证技术,顾名思义其是用于鉴别用户的身份,能够对信息收发方进行真实身份鉴别。在开放式的网络环境中,身份认证往往是许多应用系统安全保护的第一道防线。在身份认证过程中一般使用三个要素:只有主体知道的秘密、主体拥有的物品和只有该主体具有的独一无二的特征或能力。常用的身份认证技术则包括RMI技术、SOAP技术、基于Cookie的单点登录认证等。
第二种是对收到的消息进行验证的消息认证技术,目的是确认消息的确是来自真正的发送方且未被篡改,同时也能够验证消息的顺序性和及时性,已广泛应用于信息网络。消息认证的实质是针对消息自身生成冗余信息,即被称作MAC的消息认证码。MAC用于检测消息的完整性和进行消息源认证,具体是使用密钥对待认证消息生成新数据块并通过对数据块加密而生成。由于MAC相对于待保护的信息而言具有唯一性,因此可以实现待认证消息是完整的,并且能够保证消息的无法抵赖和伪造。构造MAC通常利用以下三种方法:基于带密钥的Hash函数,基于分组密码以及基于流密码。
2.3 网页/网址防护
浏览器中的网页/网址防护技术主要有风险隔离技术和风险拦截技术。首先是风险隔离技术,其最著名的为沙盒(Sandbox)技术。其主要用于控制代码的执行权限,是浏览器保护安全的一种组件关系设计模式。相当于在沙盘中运行浏览器,通过加载自身的驱动来保护底层数据,建立虚拟环境隔离病毒、木马,使其不会影响用户的真实电脑,属于驱动级别的保护。该技术的实现是利用操作系统提供的权限来控制应用程序界面和访问拦截技术,而更为先进的沙盒技术则需要使用虚拟CPU技术。其次是风险拦截技术,也被称为“网页防火墙”,主要包括几种拦截机制:URL拦截、恶意脚本拦截、堆喷拦截、下载拦截、进程拦截和自我保护等。
3 浏览器网页安全问题防范技术的优势及不足
3.1 浏览器安全漏洞检测技术
浏览器安全漏洞检测技术目前尚存在有不足之处。首先是规则库问题。由于确认系统漏洞的工作具体是根据系统配置的漏洞规则库来进行,于是为了保证确认漏洞结果的精准度,就意味着必须要设计准确的规则库。此外众所周知的是,目前的漏洞库一般都是根据已知存在的安全漏洞来设计的,但是在网络上的众多不安全因素却有很多都来自未知的漏洞,因此,如果不能对漏洞规则库进行不断的及时更新,就无从谈起确认漏洞结果的精准度。综上,基于漏洞库信息的重要性,如果漏洞库信息是不准确的或陈旧的,那么它不但不能用于漏洞扫描,还可能无法对系统的安全隐患及时采取有效措施来进行消除。
在采用插件技术扫描浏览器安全漏洞时,为了不断地扫描出新漏洞,当插件不足时,可以通过添加新的插件来实现,这大大提高了漏洞扫描软件的扩展性和易于维护性。例如,用户可以遵循插件的编写规范使用专用脚本语言来自己编程撰写出新的插件。
3.2 网页/网址认证
对于身份认证技术来说,现有的各种硬件身份验证产品,如装有PKI证书的USB装置、IC电子卡,或动态密码电子令牌等,存在浪费大量资源、增加企业的生产经营成本或应用范围小的缺点。现有的网络身份验证,仍然是各网络服务商各自有自己的用户名和密码库及相对的身份验证产品,对于各网络业者而言,造成了重复投资的问题;而对于使用者而言,使用者得同时记住各种不同用户名密码及需要购买各种不同身份验证硬件产品,降低了使用意愿。而随着MAC研究的深入,最初的仅在可证明安全性方面的要求已经远不能满足用户的意愿,用户不但需要MAC在证明安全性方面表现出色,同时在其他方面也要具备相当的优势,比如快速的计算速度、支持增量式以及并行计算、在线运行和支持乱序验证等,其实质都是用来提升MAC的计算速度的,因此,未来可以通过充分利用计算机的计算特点来改进算法从而提高算法的计算速度。
3.3 网页/网址防护
在提高浏览器安全等级方面,Sandbox技术充分利用了操作系统的权限控制和应用程序界面控制,并取得了非常好的效果。但是从根源上来讲,由于其实质上是静态技术,在很多方面,Sandbox技术并不能够及时进行更新和扩充,这就造成了Sandbox的技术劣势,即对于网络上新出现的漏洞,其不能够进行足够的防御。传统技术中的恶意URL拦截提示方法,仅仅能单纯地提示用户其请求的URL有风险,提示信息既不够丰富,也不具有说服力。用户在选择是否继续访问时,缺乏参考数据,导致极有可能做出错误的判断,从而造成访问假网站的后果,这就使得用户的信息安全得不到足够的保障。
4 结束语
本文针对浏览器网页安全存在的问题,现有的浏览器网页安全防范技术以及相应技术的优缺点进行了介绍。根据上文的介绍发现,与浏览器相关的安全威胁是多种多样的,并且随着人们对网络资源越来越依赖,尤其是网上购物、网上支付、社交网络的不断发展,浏览器已成为人们日常生活中不可或缺的工具,其面临的安全问题也会越来越复杂,浏览器安全问题涉及到了国家安全、企业发展及个人生命财产安全,将会受到越来越多的重视。
参考文献
[1] 江导.浏览器Web安全威胁检测技术研究与实现[J].网络安全技术与应用,2014(02):100-101.
[2] 马琴.浅析Web浏览器的安全与防范[J].科技风,2010(21):203.
[3] 胡晓荷.浏览器安全——不能被忽视的问题[J].信息安全与通信保密,2009(08):11-14.
[4] 宋苑等.网络安全扫描技术综述[J].广东通信技术,2004(08):58-60,64.
[5] 洪宏等.网络安全扫描技术研究[J].计算机工程,2004,30(10):54-56.
[6] 李星宜等.基于数字证书的身份认证系统的设计与实现[J].计算机技术与发展,2011,21(12):160-163.
[7] 孙勇.一种Web身份认证方法[J].电脑知识与技术(学术交流),2007(20):345-346.
[8] 李勇.消息认证码的原理与实现[J].通信世界,2006(47):28.
作者简介:
刘莹莹(1982-),女,汉族,辽宁兴城人,毕业于东北大学,硕士,现任国家知识产权局专利局电学部主任科员;主要研究方向和关注领域:计算机网络、图像处理。