入口保护解密浏览器地址栏安全
2017-07-31技术宅
技术宅
大家知道浏览器地址栏是我们访问网络的入口,一旦其安全性存在纰漏,无疑会给我们的上网安全带来极大的威胁。那么浏览器厂商是如何帮助用户在上网时做出正确和安全的决策?简单的地址栏背后又隐藏着多少安全秘密?了解背后的原理,就可以让我们上网更安全。
网站怎么打开——了解浏览器访问网站流程
一般情况下如果我们要访问某网址,常规的方式都是通过在地址栏输入网站的域名进行访问,显然如果地址栏上出现了安全问题,后续所访问的Web页面,可信任的体系将全部崩塌。那么从地址栏开始直到打开访问页面,在浏览器的背后又经历了什么?下面以访问百度页面为例。
当我们在地址栏输入www. baidu.com后,浏览器会查找域名对应的服务器IP地址。首先在浏览器缓存查找,如果缓存里没有则查找系统目录下的Hosts文件,根据其中的表名查找对应的IP。如果上面都没有找到,那么就向本地DNS服务器查询,还没有的话本地DNS会请求ROOT DNS Server(根域名服务器)查询,最终找到www.baidu. com所对应的IP。
找到IP地址后浏览器会根据IP地址给目标服务器发送HTTP请求,请求被百度服务器响应后会建立Socket连接,然后浏览器根据HTTP解析响应的内容,进行解析、布局和渲染。比如加载网站首页图片、相应的代码等内容,加载完成后就会完整显示百度首页内容了(图1)。
安全背后——地址欄常见安全防护手段
通过上面的描述,大家了解了浏览器是怎么通过地址栏访问一个页面的。那么浏览器在整个访问过程中,在地址栏会出现什么安全隐患?浏览器厂商又采用什么样的防护手段来保障我们的上网安全?
从上述网站访问流程中我们知道,在地址栏输入网址后浏览器会从本地缓存和Hosts文件中查找IP地址。因为缓存会被清空,我们在访问一个新的页面的时候大多是从Hosts文件开始查找,Hosts文件则是从表名查找对应的IP。因此我们访问网站第一个威胁就来自Hosts文件,一些黑客或者木马会通过更改表名和对应的IP,从而实现域名转向。比如添加一个“173.252.193.47 www.taobao.com”语句,这样即使在地址栏输入淘宝域名,但是打开的却是其他网站页面(图2)。
这类劫持的大多是我们常用的域名如淘宝、网银,网站则主要用来钓鱼。为了避免这类威胁,现在浏览器厂商大多通过内置钓鱼插件、服务器收集常见钓鱼网站、网友上传举报收集等来进行防范。比如QQ浏览器在访问这类网站的时候会进行拦截,提示网站安全性有问题(图3)。
如果DNS解析没有问题,那么在地址栏输入正确域名后,浏览器又会通过什么手段来保护我们的上网安全?
对于大家经常需要访问的重要网站,如在线支付、网银这类网站,现在主流的浏览器大多使用安全指示符来进行标示。比如网银大多使用“https://”加密形式,在地址栏输入这类网站时,在网址的左侧就会出现一个小锁标记,表明该网站使用了证书加密,点击小锁可以看到网站使用的证书。这样对于网银等网站,我们只要通过查看是否有小锁标记就可以很方便地确认真伪(图4)。
不过因为证书需要向特定的证书颁发机构认证,并且需要支付一定的证书费用,因此一些使用https://加密的网站如果使用自己的证书加密,那么也有可能被浏览器认为是危险网站。典型网站如12306的在线售票页面https://kyfw.12306.cn/ otn/,因为其使用的证书默认没有被浏览器信任,所以在Edge浏览器打开后会显示为不安全网站(图5)。
为了避免此类情况的发生,现在很多主流浏览器如搜狗浏览器、QQ浏览器等则引入了云网址安全检测服务,对于用户经常访问(当然包括那些没有使用Https加密的网站)或者社会知名的网站(如12306售票网站),浏览器厂商会预先对这类网站进行检测,并将检测结果放置于云服务器上。这样用户在浏览器地址栏输入这类网址时,浏览器就会连接到云服务器进行检测,如果服务器有该网站的数据,那么则会在地址栏出现一个绿色字符标记,点击后可以展开详细信息,查看访问网站的安全信息(图6)。
访问安全——不能仅靠浏览器厂商
如上所述,浏览器主要通过防钓鱼和安全网址标示的方法来保护我们访问网站的安全。显然要更好地保护访问安全,仅靠厂商们这些防护措施远远不够。因为现在钓鱼网站层出不穷,浏览器主要是通过钓鱼网站数据库和网友举报进行甑别,这样难免有漏网之鱼。特别是对一些不知名网站的仿冒,浏览器基本无法识别。
因此对于常用网站的访问,建议在首次访问确认是正确官网,将其添加到收藏夹备用,下次直接在收藏夹打开访问,打开页面时可以参考浏览器标示进一步确认。如果发现访问被劫持,则应检查Hosts文件是否被篡改。
对于一些不知名或者小网站的访问,如访问一些地方性小银行,则应该确认网址后再按回车键访问,如网址应该是根据网点官方宣传资料上的地址输入。如果通过百度搜索,则应该只访问查询网站后面有“官网”标记的网页。当然还要养成良好的上网习惯,如不随意打开QQ传输网址、浏览不明网站等。