APP下载

浏览器登录要小心

2017-11-08

网络安全和信息化 2017年10期
关键词:陈思插件攻击者

记者:神州云科为什么会想到做浏览器登录安全防护?

陈思:据2016 McAfee网络安全威胁报告数据显示,36%的网络攻击来源于浏览器,在网页内产生。当我们通过浏览器购物消费、登录网银、玩游戏、看视频时,频繁的登录个人信息,攻击者只要下发一个恶意脚本到浏览器中,就可以获取你的密码信息,不需要去攻破网站的数据中心,SSL加密也没用。而且国内80%的网站在浏览器端均没有采取加固处理,攻击者很容易就可以拿到个人登录时的用户名和密码。

记者:很多网站登录有验证码、短信验证、安装插件,乃至于USBkey,拥有这些是否就安全了?

神州云科副总裁、云科安全公司总经理 陈思

陈思:真实情况未必,验证码只能实现降频,不解决安全问题;至于短信验证码,SIM卡复制、基站信号压制等都可以轻松搞定;插件/控件只解决一个参数的保护(密码),其他关键参数仍然以明文的状态暴露在互联网上,而且大量APP无法直接安装插件/控件;至于USBkey,价格昂贵,且应用范围太过于受限。

记者:神州云科是如何解决浏览器端信息泄露问题的?

陈思:达尔动态应用加固系统(DAR)是神州云科安全公司推出的一款基于WEB端的动态应用加固保护系统,同时也是一款可编程防御架构系统,采用独特的“动态应用加密”方式,不仅可以使关键信息从明文变为密文,并且密文状态高频变化,使得攻击者信息获取成本和难度直线上升,从而有效降低甚至根绝该场景下的个人信息泄露可能。DAR通过代理的模式部署在web服务器与终端用户之间,通过JavaScript脚本加密终端与服务器端传输敏感信息,通过加密用户端账号、密码信息可避免有恶意脚本窃取用户信息,同时也可防御对撞库等此类基于应用场景的安全威胁。而且攻击者也无法轻易进行漏洞利用的扫描与尝试,为客户的安全更新争取时间,同时利用DAR可编程防御接口,云科安全技术服务人员可及时下发安全补丁,帮助企业进行安全对抗。

记者:目前达尔动态加固系统(DAR)主要应用在哪些领域?

陈思:银行、保险、电商、游戏、政府、视频网站等行业,由于存在大量登陆场景,遭受撞库等网络攻击可能性最大,需求应用也最为迫切。

猜你喜欢

陈思插件攻击者
相似与差异
机动能力受限的目标-攻击-防御定性微分对策
自编插件完善App Inventor与乐高机器人通信
陈思:南京长江大桥上的“生命守望者”
正面迎接批判
LEAP OF FAITH
基于jQUerY的自定义插件开发
有限次重复博弈下的网络攻击行为研究
基于Revit MEP的插件制作探讨
插件体系结构软件的原理和实现