技术宅

盘点网络安全的三大威胁

浏览器作为我们上网的主要工具，现在正遭受越来越多的安全威胁。对普通网民来说，这些威胁主要分三大类：一类是钓鱼网站，钓鱼者通过制作和官方一模一样的网页诱使我们点击，从而捕获我们的密码；一类是恶意广告，通过脚本和插件，在我们上网时弹出各种广告页面；再有就是各种浏览器插件，比如大家都很熟悉的Flash，它的漏洞有可能会被黑客利用，在后台自动下载恶意代码等等（图1）。

Chrome 69的安全解决之道

针对上述日益严重的网络威胁，现在的浏览器厂商开始有针对性地推出各种组件，以确保我们的上网安全。许多人在用的谷歌浏览器，最近发布的新版Chrome 69（以下简称Chrome），就针对上述三大威胁增强了多个安全功能。

HTTPS是目前主流的网站加密协议，现在对安全性要求较高的网站，比如各大银行的网银、淘宝等购物网站、百度等搜索及综合网站等，都使用了该加密协议（图2）。针对没有使用HTTPS加密协议的网站，Chrome会直接将其标记为“不安全”，这样就为用户更好地识别钓鱼网站提供了一个初步的识别。这是因为大部分钓鱼网站主要模仿的是主流网站，但它们一般又不会使用 HTTPS加密协议，因为它们很难申请到合法的加密证书。Chrome将没有使用HTTPS加密协议的网站标注为“不安全”，无疑成了浏览者规避钓鱼网站的一道防线（图3）。

除了防范钓鱼网站，Chrome对某些“正常”网站窃取用户隐私的行为也进行了限制。在Chrome的设置中提供了更多的安全选项，可以禁止网站获取用户的位置、摄像头等信息，尽可能在源头封杀这类网站对用户隐私的盗取（图4）。

不只针对网站服务器端的安全隐患，对本地具有明显安全隐患的插件，比如大家常用的Flash插件，Chrome也直接进行了停用。当用户不得不使用Flash插件的时候，可以通过用户自行手动点击快速启用它，这无疑增加了我们保护浏览安全的主动性（图5）。

另一方面，Chrome在底层对浏览器的安全架构进行了加强。在日常浏览中，恶意的第三方插件是网络安全的一大杀手，为了更好地保护浏览安全，Chrome默认禁止第三方软件对浏览器注入代码。而当企业的软件需要对浏览器注入代码时，需要手动获取权限，用户可以在新的“Third Party Blocking Enabled”政策中设置这些第三方软件。这样在浏览网页时，原来会注入浏览器进程的代码在新版Chrome中彻底消失。

对于恶意广告拦截，Chrome对底层代码进行了改进，像恶意广告常用的iFrames技术（通常会嵌入在网页中自动重定向当前页面到另一个URL），新版Chrome可以阻止它重定向，并对重定向的网址进行拦截，防止用户被自动跳转到重定向的恶意页面（图6）。

对于Tab-under之类的恶意广告（当用户点击一个链接，网站会在另一个标签页打开新的URL，而老的标签页不但不关闭，还成了各种广告的集散地），新版Chrome同樣可以进行拦截，用户点击后每打开一个新页面都会被阻止，直到得到用户允许为止（图7）。

除了上述几大安全策略，新版Chrome还有许多安全改进。以帮助企业管理员工密码安全为例，新增了密码警示政策，当用户在危险网站或非白名单网站上输入密码时，他们会收到警告提醒他们更改密码。通过防止密码在网站上重复使用，来保护公司账户的安全性。

浏览安全 任重而道远

现在的网络安全形势越来越严峻，因为收到一个钓鱼链接，输入自己的账户和密码后被钓鱼者转走钱物，或者在浏览某个网页时突然重定向到一个恶意网页而中毒的新闻几乎每天都在发生。对于钓鱼网页、恶意代码、广告，作为普通的终端用户几乎是没有任何辨别和拦截能力的。

浏览器作为用户上网的主要工具，厂商们根据常见的网络威胁提供各种有针对性的防护措施，这无疑是每个上网者都迫切需要的安全需求。也正是基于对用户的这些需求，现在越来越多浏览器通过更新为我们提供各种表层和底层的安全防护方案，包括Chrome、360、百度等主流的浏览器，都提供了对钓鱼网站直接标识的功能，这些措施可以更有效地保护上网安全（图8）。

不过浏览安全仍然任重道远，作为普通用户，我们更希望厂商们能够提供更多、使用更简单的安全浏览器！