安全网上冲浪:认识活动内容和Cookies
许多网民在浏览网页时,只是特别关注浏览器显示的内容,而对浏览器内部究竟发生了什么没有过多的想法,从而很容易给自己的计算机带来安全危险。当浏览网页或者用E-mail客户端收发E-mail时,活动内容(Active content)和Cookies是常见的两种容易导致安全威胁的因素。
什么是活动内容?
为了给自己的网页增加功能或装饰,网站往往依赖可以在Web浏览器中执行的脚本程序。这种活动内容,可以用来制造各种漂亮的页面,也可以制作下拉式选择选单。不幸的是,这些脚本往往给恶意攻击者提供了在用户的计算机里下载或执行恶意代码的机会。
JavaScript——JavaScript是一种被广泛认可并被使用的Web脚本,当然Web脚本不止JavaScript一种,例如VBScript、ECMAScript和Jscript也都是Web脚本,JavaScript和其它脚本几乎用在所有的Web站点上。JavaScript和其它Web脚本之所以会这么流行,是因为用户期望它们所提供的功能及视觉效果,而且它们与浏览器能够很好的结合,目前大多数建立Web站点的工具都能够提供JavaScript的特性。正因为JavaScript和其它脚本如此的流行及其强大的功能,恶意攻击者能够利用它们达到自己的非法目的。最常见的一个攻击手段是网站的重定向,即攻击者使用户正在访问的正常的站点重定向到一个非法的恶意站点,并且从此恶意站点下载病毒木马或者流氓软件到用户的机器里。
Java 和 ActiveX控件——与JavaScript不同,Java和ActiveX控件是存放在用户机器里实际的程序,或者可以通过网络下载到用户的浏览器中。如果某些不可信任的ActiveX控件被恶意攻击者执行,那么恶意攻击者可以在用户的机器里执行任何操作,例如运行间谍软件收集用户的敏感信息,将用户的机器通过网络连接到其他的计算机上,或者删除用户的一些重要资料等等。一般来说,Java的小程序运行在受限的环境中运行,但是如果那个环境是不安全的,那么就会给恶意的Java程序提供了攻击的机会。
JavaScript和其它形式的活动内容并不总是危险的,但它们的确是恶意攻击者的攻击工具。用户可以在大多数的情况下阻止活动内容的运行,不过在保证了安全的同时,也一定程度上限制了站点原有的功能,用户可能无法完全体验网站原有的面貌。当用户点击浏览一个陌生或者自己不信任的站点时,为了保证自身的安全,最好阻止一切活动内容。
什么是Cookies?
当用户在Internet上浏览时,用户的计算机信息可能会被收集并且保存。被保存的信息可能是用户计算机上最常规的信息,例如IP地址、用户常常连接的域名(edu、com、net等)或者用户使用的浏览器的类型;被保存的信息也可能是非常具体的信息,例如用户最后一次访问的站点是什么,用户在该站点上都有哪些行为等等。
Cookies可以有不同的保存时间:
Session Cookies——Session Cookies保存信息的时间与用户使用浏览器的时间相同,一旦用户关闭了浏览器,则Session Cookies里保存的信息会被清除。Session Cookies最初的目的是用于网站的导航,例如标识哪些页面用户曾经浏览过,哪些没浏览过。
Persistent Cookies——Persistent Cookies将会保存用户的个人爱好在计算机里,在多数的浏览器里,用户都可以设定Persistent Cookies有效期。怎样的信息会保存在Persistent Cookies里呢?例如,用户在Hotmail主页登录邮箱时保存的用户名和密码都是存放在Persistent Cookies里的。如果某个恶意攻击者获取到了访问你的计算机的权限,那么恶意攻击者将会通过Cookies文件来收集你的个人信息。
为了增强你的安全等级,用户可以调整你的隐私和安全策略设置,来阻止或者限制你浏览器中的Cookies功能。要确保其他网站不会在你不知道的情况下收集你的个人资料,请选择只在你访问过的网站开启Cookies功能。如果你使用的是公共计算机,你应当确认Cookies是被禁止的,这样就能防止其他人访问或者使用你的个人信息了。(责任编辑:李磊)
最新相关文章发表评论