据国外媒体报道,网络浏览器一直以来都被黑客作为攻击电脑安全的主要切入点。近日,网络应用安全专业厂商Cenzic联合苹果Safari,Mozilla火狐(Firefox)和微软Internet Explorer,在2009年度全球黑客大赛CanSecWest中Pwn2own竞赛的一份报告强调指出:必须不断提升浏览器的安全性。
从微软Internet Explorer 8到苹果Safari,知名的网络浏览器均在16日举行的黑客大赛上遭到了公众的批评。即使黑客们的注意力主要还是集中在网络应用程序上,但是针对浏览器进行的攻击还是令大家恼火。
在Cenzic18日发布的《网络应用安全性趋势报告》中指出,在2008年下半年针对浏览器进行的攻击增加了7%,其中微软的Internet Explorer占43%,排在第二位的是Mozilla的火狐浏览器(39%), 而苹果的Safari和Opera软件的Opera浏览器分别占了10%和8%。
全球黑客大赛CanSecWest是由业界领先的IPS厂商TippingPoint主办,今年的侧重点即为IE,Safari和火狐浏览器的安全性。在此大背景下来看,过去几年内浏览器安全性问题整体上一直在不断改进,正如2009年Pwn2Own竞赛获奖者之一的Charlie Miller所讲,不论是微软IE8的跨站脚本过滤器,还是Google
Chrome的沙盒(sandboxing)都在一定程度上限制了可能的损害。
Miller表示,“大多数供应商均承认漏洞的存在,这意味着接下来的工作主要是防止其被恶意利用。沙盒(sandboxing)就像栅栏一样阻挡了不怀好意的入侵者。”
高德纳(Gartner)公司的分析师John Pescatore则认为,在主流浏览器中的反网络钓鱼过滤功能也可以增强其安全性,但不能因此就夸大其优良的服务功能。他表示,“从商业角度来讲,确实非常需要明确到底是人在操作浏览器还是蜘蛛(Spider)、僵尸网络客户端(botnet client),或者屏幕截取器(screen-scraper)。浏览者可以通过网络应用服务器,如微软和Apache等获悉浏览器是否由本地控制,从而有效打击自动化欺诈。”
The Ogren Group 的首席分析师Eric Ogren指出,在使用激活码进行验证方面进行的努力使得用户无法再利用cookies令电脑记住用户名和密码,或对诸如缓冲溢出等攻击有所察觉,最根本的问题就在于标准化的使用性和安全性问题之间的矛盾。他说,“浏览器需要满足诸多要求,使得其攻击界面的安全性难以得到保证,最大的问题就是传统的安全技术限制了用户使用浏览器进行一些违规访问。”