Image by mozpkim via Flickr你是否也擔心Internet Explorer比其他瀏覽器不安全?微軟Internet Explorer團隊的安全項目主管Eric Lawrence在一次網路直播上稱微軟不該因為瀏覽器的安全問題而受到指責。Lawrence聲稱,實際上是瀏覽器附加元件造成了諸多安全問題。「在過去兩年中我們得到的一個事實是,駭客攻擊者不再追蹤瀏覽器本身。瀏覽器變成了難以攻陷的目標,而且瀏覽器的種類眾多,攻擊目標太廣」 Lawrence說「所以駭客攻擊者的目標變成了瀏覽器的附加元件。」
他接著表示,駭客找到擁有很高的市佔率附加元件,尋找漏洞然後通過附加元件在各個瀏覽器中實施攻擊。所以在Lawrence看來:無論你是使用IE,Firefox還是Safari、Chrome,只要在Flash、PDF、QuickTime還有其他主流的附加元件(有時也稱插件)中存在安全漏洞,你的瀏覽器就會處在不安全的環境中。
然而有一個我很瞭解的事實是:瀏覽器製造商如何使用附加元件同樣影響著潛在漏洞的安全性。一個很好的例子是,Mozilla修復了與QuickTime相關的認證問題,所以在Firefox配置時就不會再有問題。
現在微軟在這個方面已經有了自己的打算並將付諸實踐於IE 8:
「我們已經對IE 8做了很多以增強系統抵禦附加元件漏洞的能力」 Lawrence說「在IE 8中有一個叫做per-site ActiveX的新特性,舉例來說如果你到Yahoo的網站並安裝了Yahoo音樂引擎,那麼預設除了導向Yahoo之外不會導向其他站點。通過這種方法可以減緩惡意的IFRAME攻擊。」
這些聽起來都很棒,但是仍然有一個非常大的潛在問題。微軟用戶有Microsoft Update、Firefox用戶有整合的升級...但並不是所有人們使用的附加元件都有升級機制。
所以在此我建議所有的瀏覽器製造商:增加一個附加元件認證腳本,當用戶使用的是過時版本的Flash、PDF、QuickTime時,使用紅色警告來告訴他們瀏覽器存在危險。
參考出處:
http://blog.internetnews.com/skerner/2008/11/microsoft-dont-blame-us-blame.html
![Reblog this post [with Zemanta]](http://img.zemanta.com/reblog_e.png?x-id=41b3e4a4-d303-4277-bc4a-315752e47ce9)
