基于浏览器运行关键应用 安全问题重重

.a*]d r^Lz0如果贵企业正在考虑使用Firefox或者IE来运行关键应用，此举是不是在招致灾难？本文分析了浏览器安全方面有助于确保数据安全的最新技术，如反网络钓鱼技术和扩展验证证书。

7b%T*JC(sO$|;bn3Rk9` P0    可以这么说，浏览器是不安全的。如果说每看到一次有人利用漏洞让恶意软件得以在网络上肆虐，我们就有一块钱进账，那么也许有足够资金来支付清理漏洞项目所需费用了。据赛门铁克公司声称，06年，单单针对设计糟糕的ActiveX控件的漏洞就有51种，比2005年的15种大幅上升。没错，在默认状态下，ActiveX在Internet Explorer 7中是禁用的，但如果你的最终用户需要Adobe Reader或者Flash的功能，你又回到了易受攻击的位置。IXPUB技术博客$?~`-~K^e\

{\:A5n#Us3o%_+L_&m0    而用户需要每一项功能。信息员工已经使网络浏览器成了手中交换知识的重要工具。Gartner公司估计，对软件即服务（SaaS）的需求每年会以20%以上的速度增长，这种情况一直会持续到2010年；而最近有关SOA/Web服务的读者调查显示，近80%的调查对象表示，他们企业目前在使用Web服务——不过保护面向企业内外的服务安全的却不到一半。

    IT能够解决这个矛盾体吗？

    与自由一样，获得网络浏览器安全的代价就是需要永远警惕，另外还需要风险管理策略、关注安全功能方面的进展、对最终用户进行教育，以及强有力的集中管理。IXPUB技术博客Br!?&f-M)d,k

    幸好，安全厂商们无论是合作还是单干，都在加大力度。举例说，反网络钓鱼工作组（APWG）就联合了100余家厂商——看到通常相互竞争的软件行业这回摈弃前嫌，并且以开放、积极的工作方式来应对网络空间犯罪化的严峻势态，这确实令人振奋。可验证网站是合法网站的扩展验证（EV）证书也让我们感到谨慎的鼓舞。证书管理机构/浏览器论坛（CA/Browser Forum）定义的EV SSL审查过程需要全面的独立审查，而这些证书不仅限于标准的x.509证书：可以对有些浏览器里面的地址栏标上不同颜色。IXPUB技术博客n [$}p*^],r

    至于个体方面，较新款的浏览器、尤其是IE7和Mozilla Firefox 2.0致力于积极预防欺诈、保护个人信息。举例说，清除历史和缓存文件的一项增强功能让用户和管理员都从中得益，反欺诈措施、国际化域名（IDN）支持、地址栏可见性以及更容易控制ActiveX组件集成的机制也是如此。而厂商们正在另辟蹊径——微软的Strider HoneyMonkey漏洞检测项目就表明了这点。微软的互联网安全执行团队利用该项目来跟踪垃圾邮件发送者和网络钓鱼者。

{\Ll5g0R0    共同的主题就是：厂商们正积极主动地识别可疑网站，而不是等用户偶然遇到这些网站。IXPUB技术博客}Ja};s

浏览器管理有风险

    很重要的风险管理问题是：尽管网络浏览器不安全，我们该如何尽量减小或者预防网络遭到的破坏呢？答案就是需要多管齐下的风险缓解策略，不但需要良好的网络设计，还要包括物理安全、公司使用政策、厂商关系、信息访问安全策略、新软件批准流程、用户培训，还常常需要数据隐私管理及信息访问限制。

    规模再小的公司也要遵守一些基本原则。但愿你已限制浏览器只用于工作所需，还安装了内容过滤器。但对于微软更新服务的自动更新，又该怎么办呢？IXPUB技术博客E@l6C%\xm:c
_MR5L

q,~U9r)s,c"H;L;b0    修补浏览器漏洞是这家软件开发商的责任；而清除这些补丁留下的痕迹却是用户的责任。众所周知，软件更新会对浏览器功能进行重大改动，以至破坏了关键的业务应用软件，这意味着“定期的”更新经常会引发一连串令人讨厌的事件：测试更新版与现有应用程序的兼容状况；部署更新版；而且往往因为忽视了某个隐藏的问题而需要采取变通办法或者恢复方案。

&j}Y8_m\o0    如果你允许自动更新，就要重新考虑这项政策：这是由于微软的IE7自动部署会绕开许多企业的测试流程，破坏许多应用程序。诚然，微软事先已明确告诉我们：IE7会使用自动更新服务来部署，也提供了阻止自动更新的机制和恢复到版本6的指示。但这并不能帮助把时间浪费在恢复安装上的许多IT部门。

&I"e r$` b*}+w$a"~0    微软现处于进退两难的境地：我们一方面责备微软带来了众多的浏览器漏洞；但一旦它采取了措施，自动更新浏览器到更安全的版本，我们又满腹牢骚。这方面的教训就是：自动更新需要便于迅速打上补丁，以应对安全威胁；但同时也表明需要对这些变化一清二楚，还要有主动的集中管理。为此，现在就需要采取以下一些措施：IXPUB技术博客6?7PME-kp-^2BE'Ax

    •落实管理，为迅速响应作好充分准备：在这个零日漏洞和远程网络盛行的时代，只有两款浏览器：IE以及比较次要的Firefox让你可以从中央管理服务器迅速部署及配置软件到所有联网机器、通过群组策略来限制功能、提供细粒度的安装控制，这实在叫人抓狂。

[j^^R-ld0    微软免费的IE管理工具包（IEAK）在这方面显得很突出。IEAK出现在几个IE版本中已有一段时日；每出现一个重大版本，这个工具包的功能就会随之变化。如果你在管理IE，IEAK应当是必备工具。实际上，在如今IT预算短缺、人手不足的形势下，IEAK是IE得以在公司桌面系统上继续扮演主角的关键，尽管微软面临反托拉斯纠纷、IE浏览器与操作系统分家、安全问题和开发停滞不前等诸多不利因素。IXPUB技术博客
g E){*It,s

    IEAK有助于建立及提供用户配置文件（user profile）、对网络上使用的浏览器实行版本控制，以及使用策略几乎可以定制各项参数。IXPUB技术博客]*E6B0P#A1F&Psf

:['VS;O{f2w0    惟一声称使用网络安装实用工具、通过策略来实行控制的另一款浏览器是Firefox，这里不得不提及开源项目FirefoxADM。多年来，这个项目停滞不前，缺乏厂商的鼎力支持，而它本该得到这种支持。结果就是，这个产品并不全面支持所有版本的Firefox（包括最新版本）。

    咱们实话实说吧：说到企业部署方面，Firefox与IE没法竞争。虽然我们为SourceForge认识到开发这样一种工具的重要性以及为之付出的努力而喝彩，不过对这一点提出了质疑：既然目前没有工具可以把与IE竞争的浏览器部署到网络上并加以控制，为什么要花大量的时间和资金迫使微软让IE 7与操作系统分家、以便有公平的竞争机会呢？

    严格管理分布式浏览器的功能是确保其安全的一个基础。除非Firefox、Netscape和Opera等浏览器的支持者积极采取行动、搞好管理方面的工作，否则IE会继续占有大部分的市场份额。IXPUB技术博客"p,D7zA4lw

-sd{B1Ax.\;C3V1sL0    •随时了解攻击途径和趋势，做到知己知彼：据APWG声称，由于网络钓鱼及相关的犯罪活动每个月都会生成11000个新的非法网站，与往常一样，浏览器正在招致灾难。APWG的成员不但包括安全厂商，如互联网安全系统（ISS）、迈克菲（McAfee）、卡巴斯基和赛门铁克，还包括Adobe Systems、思科、微软和趋势科技。一年前，这个组织开始积极应对针对浏览器的犯罪活动问题，这体现了业界少有的协作精神。APWG在其网站上提供了网络钓鱼报告工具、会议日程表和网络犯罪趋势方面的数字，旨在让IT人员随时知道安全热点。

(^
[w9U!b8^p0    虽然每家浏览器厂商都使用各自的方式来检测网络钓鱼网站，但汇总起来的数据由APWG负责跟踪分析。汇总数据有助于识别犯罪动向，并且提醒厂商和IT人员留意新的攻击方法——希望它们还造成重大破坏。

~:N~V J2R0    有些攻击途径使用外文字符。支持IDN的功能出现在Mozilla和Opera中已有一段时间，微软的IE7也正在迎头赶上。IDN标准让含有非ASCII字符的域名可以使用一种已知算法转换成ASCII字符。目的在于让使用欧洲文字的变音符或者非拉丁文字母的域名改动后可适用于现有的域名空间。IXPUB技术博客!Jo#k7NIa"C-a/ihv

#O|VELhZ8v0    这与安全有什么关系呢？有些攻击者正是利用了非ASCII字符。另外，IDN会带来相似域的问题，这归因于转换算法。普通ASCII字符的非标准编码会导致带来域，就拿“paypal.com”来说吧。其中的“a”可能是国际化字符，但域名看上去与合法网站一模一样。结合IDN和反网络钓鱼浏览器功能也许不能完全阻止这种攻击，但应当可以识别及阻止数量众多的企图钻非ASCII字符空子的网站。IXPUB技术博客pcl5p.^

fEy@W o"WS0    最后，要求每个浏览器窗口都显示地址栏。这可以锁定利用跨域重定向来掩盖来源的弹出广告。

.B~[:gV,x[0    •关注EV SSL证书，但不要孤注一掷：EV证书支持被誉为有助于预防针对最终用户的网络钓鱼攻击。EV证书的目的在于识别网站的所有者，并查明网站所在公司的物理位置。其想法是让证书管理机构（CA）在颁发EV证书之前，核实网站所有者的公司，从而加大安全系数，让用户更清楚这家公司的合法性。IXPUB技术博客!J6N^1x^]e-Fw%]

    截至2006年10月，数字证书/浏览器论坛列出了20家CA（http://www.cabforum.org/EV_Certificate_Guidelines.pdf）。他们答应在颁发EV证书前，会进行尽职调查。举例说，verisign.com/repository/CPS上比较详细地介绍了VeriSign公司的EV证书。  EV证书是标准的x.509证书，但填有证书策略扩展字段。每个证书颁布方都有一个独特的对象识别符，让浏览器可以拿这个对象识别符与CA记录进行匹配；如果匹配成功、而且CA记录是最新的，那么完善的验证信息就会传送到浏览器供它使用。IXPUB技术博客4X`yWH7i
o1h

    虽然x.509证书得到了所有现有浏览器的接受，但IE7是第一款号称EV方面就绪的浏览器，也是最先通过对地址栏标上不同颜色、明确标注这种证书的浏览器。预计其他浏览器会亦步亦趋。遗憾的是，斯坦福大学的研究人员发布了一项调查（usablesecurity.org/papers/jackson.pdf），表明使用这种高可靠性证书未必可以帮助用户识别网络钓鱼企图。画中画的用户界面欺骗攻击仍会得逞；证书有时会提供一种虚假的安全感。

2v I/pj"hQx+H-g0    •控制插件：像Acrobat Reader和Flash Player这些组件插件在许多环境下很常见。合法的实用程序有助于工作，但非法插件对管理员和用户而言向来都是恶梦。毫无经验的用户很可能一不小心，就把恶意控件载入到了网络浏览器中，从而危及到系统安全。

!^TpYT0    最新款浏览器有助于克服这个问题。它们让IT人员可以通过策略或者控制编译过程来指定哪些插件可以装入。它们还让最终用户可以看到浏览器装入了哪些插件，以便用户在需要时，很容易在本地禁用这些插件。这两种方法都代表了这方面的重大进步：万一插件程序出现安全问题，浏览器可以迅速恢复到安全状态。

L:w Mr3?UA;{)F Pu0    浏览器现在还可以更有效地清理留下的痕迹。鉴于公共计算机数量众多的事实，用户现在很容易删除浏览历史、清空缓存内容。实际上，比较新的浏览器可能会定期清空两者内容，而不会提示用户。这可以防止下一个使用的人看到别人浏览过的网站，或者检索保留信息（比如cookie），搜寻密码和账号等类似信息。

浏览器管理难题IXPUB技术博客(X[;G%m_

9O1W%i*wP'_ {[0    专用浏览器管理工具之外的一个选择是使用针对操作系统的现有策略工具来部署安装包。这种方法的缺点是，需要专门为部署系统构建一个映像，确保任何附件或者限制策略都添加到了映像中，然后打包、分发到工作站。

N!v:FvmK3N0    如果需要两种或者更多种配置，管理员要做更大的工作量。就Windows系统而言，http://wiki.mozilla.org/Firefox:2.0_Institutional_Deployment指导如何为Firefox构建类似微软安装程序的部署包。本文专门针对Firefox，但过程具有通用性，允许任何浏览器构建映像及部署到网络上。

RW+rA6L2u0    是否重视浏览器安全？就要限制谁可以访问互联网——这听上去很严厉，但确实是不错的安全做法；采用多层安全机制；设置浏览器只接受“安全”网站；然后为端口80及其他使用的端口锁定防火墙策略，只允许访问已确认“安全”的网站。要采取的其他措施包括：

6v(qESxI9s0    •监控网络流量，让每个人都知道你在监控。这个久经考验的方法可以阻止不合适的浏览行为。举例说，如果你的策略旨在监控网站访问，监控可以很简单：使用自动扫描器分析防火墙日志，也可以借助全面的外包监控服务。记住：无法自动得到执行的策略会被人忽视。IXPUB技术博客w&x#d%Y[Xr.c

    •强制使用浏览器随带的安全功能，并且使用附加工具来补充，比如Exploit Prevention Labs的LinkScanner、谷歌工具栏、迈克菲的SiteAdvisor和Netcraft的反网络钓鱼工具栏，等等。

    •使用策略锁定浏览器，尽可能防止软件附件或者活动组件载入。

    •运行网络应用和浏览器时许可权限尽可能要小，最好使用没有权限或者权限受限制的帐户。

    •在默认状态下禁用JavaScript，然后通过NoScript这个Firefox插件，只把需要JavaScript的网站加入白名单。IXPUB技术博客+AAuh }\.n

w'A3L `y+wwRUN%o0    •随时了解贵公司使用的一种或者若干网络浏览器的安全公告。IXPUB技术博客 |*r_2yF8m

P:X0\6f)`0    •教育用户养成安全的浏览习惯和实用技能，比如识别EV证书。查阅SANS Institute的安全时事通讯，把相关信息传达给你的最终用户。该安全公告提供了有关网络钓鱼和骗局的警告内容，每一期都重点介绍“本月安全事件”。今年2月的安全事件是IRS丢失了26盘计算机磁带，里面含有纳税人方面的信息，但有多少人受到了影响并未披露。IXPUB技术博客?2lwy5_:u!q0W