您现在的位置: 随着Windows Vista的发布,你也就可以使用微软最新最安全版本的浏览器。Internet Explorer 7中的新特性能够帮助你阻拦恶意软件的初始威胁并防止其扩散。为了能够在最普遍的范围内保护用户的个人信息以及Vista的安全,IE 7在安全性和可用工具上都有很多新的改进,以帮助用户阻拦攻击或者是降低危险性。
其中一个最简单的改变就是在使用浏览器时使用了安全套接字层(SSL)保护。通常地,在浏览器地步出现一个锁的图标时就预示着你进入了一个使用了加密安全技术的“安全的”网站。现在,新的安全状态栏能够更清晰的显示出你所访问的某个站点是否安全。而当安全状况良好的时候,锁的图标也会出现在接近浏览器顶部并以蓝色高亮显示。这只是一项让你浏览体验更为简易和安全的一个小小的例子。
早期的浏览器程序可能由于使用的技术比较简陋而容易受到攻击。如今的浏览器都高度精密,并朝着更为安全的方向不断行进。这些新的浏览器不仅能够显示文本和图像,还能够播放声音文件、电影,运行可执行代码。浏览器中通常都还存储了关于它所在的计算机的信息,例如通过cookies将数据存储在本地硬盘上,它们能够被上传到网络服务器上,无论是在用户自行上传的情况下,还是在浏览器对一个网站的代码响应的情况下。
这些特性都具备实用的效果。对例如Java、Java脚本以及ActiveX这些“活动内容”的运行代码的支持,能够让网络开发者以更精密的方式来开发与用户互动的网页。cookies则允许用户对那些下一次还会再访问的网站保留着设置。
然而,黑客和攻击者也能够从各种途径利用这些特性。例如,一个攻击者可以改动一个网站的运行代码来将病毒通过浏览器传播到计算机上,删除关键的系统文件,或者是植入后门程序,这样黑客就能够控制用户的系统。
网络欺骗
网络欺骗是这样一种手段,攻击者能够看到甚至是对从目标计算机发出或者是送达的网页做出改动。这些页面包含了机密的信息,例如访问网上银行的信用卡号码以及密码。Java脚本能够通过攻击者的计算机来定制网页和信息的路线,而此时攻击者的计算机就扮演了目标网络服务器的角色。攻击者能够向受害者发送电子邮件,其中会包含一个通往伪造的页面的链接,或者一个通往使用普遍的搜索引擎。SSL并不一定能够阻止这种“中间人”攻击,因为呈现在受害人面前的网络连接是安全的。
但问题在于,这个安全网络连接会将受害人带到并非他所想要连接到的那个网站。超链接欺骗正是利用到了这种情况,SSL并不能确保用户点击的超链接的真实有效,因此,如果通过一个链接而访问一个网站,他就有可能会进入一个显示为合法但实际上是一个欺骗性的站点中。
网络欺骗是一种高技术形式的反面艺术。这种欺骗的关键点就在于,欺骗用户向用户认为合法的实体提供例如信用卡号码、银行帐户号码或者是社会安全号码(SSNs)的个人私密信息,接着再使用这些信息用于身份窃取或者是信用卡欺诈这样的犯罪目的。这与真实世界中的敲开受害者的门来骗取私密信息的不同之处就在于,它是以技术作为推动力的。
其实,有一些线索能够让细心的用户发现这个网站并不是他们想要访问到的,例如URL或者是浏览器的状态栏。你也许会想你进入了正确的网站,因为URL有在地址栏中列出,然而在浏览器中的其它地方,已经暗示你访问的是一个不同的URL。攻击者能够使用Java脚本来修改一些你所看得到的东西来掩饰他的小动作。
攻击者目前甚至还可以使用Java脚本来替换浏览器的菜单栏,他们让菜单栏看起来是一样的,但实际上就将其中的内容换成了引导无效页面的信息。要对较新版本的浏览器软件进行修改来进行网络欺骗则要更为困
