淺析瀏覽器網(wǎng)頁安全問題

1 引言

根據(jù)百度百科的定義，瀏覽器是指能夠顯示網(wǎng)頁服務(wù)器或者文件系統(tǒng)的HTML文件內(nèi)容，并讓用戶與這些文件進(jìn)行交互的一種軟件。按照應(yīng)用環(huán)境劃分，分為網(wǎng)頁瀏覽器和手機(jī)瀏覽器。其中，網(wǎng)頁瀏覽器主要是通過HTTP協(xié)議與網(wǎng)頁服務(wù)器交互并獲取網(wǎng)頁，通常這些網(wǎng)頁是由URL來指定的。常用的網(wǎng)頁瀏覽器包括IE瀏覽器、Firefox瀏覽器、Safari瀏覽器， Chrome瀏覽器、搜狗瀏覽器、UC瀏覽器等。手機(jī)瀏覽器則是一種用戶在移動(dòng)設(shè)備終端，例如手機(jī)或PDA上通過通訊網(wǎng)絡(luò)進(jìn)行互聯(lián)網(wǎng)內(nèi)容瀏覽的移動(dòng)互聯(lián)網(wǎng)工具，也叫做移動(dòng)瀏覽器。

隨著人們越來越頻繁的使用瀏覽器連接各類互聯(lián)網(wǎng)應(yīng)用，瀏覽器成為眾多網(wǎng)絡(luò)攻擊瞄準(zhǔn)的目標(biāo)，大量的瀏覽器安全問題，例如網(wǎng)絡(luò)釣魚、跨站攻擊、網(wǎng)頁木馬和病毒后門程序等也隨之劇增，因此瀏覽器安全已經(jīng)成為人們最為關(guān)心如何解決的一個(gè)問題。

2 瀏覽器網(wǎng)頁安全問題的分類

根據(jù)對(duì)瀏覽器不同方面的威脅，瀏覽器安全主要涉及五個(gè)方面：網(wǎng)頁安全、下載安全、插件安全、支付安全和個(gè)人信息安全。本文將主要針對(duì)網(wǎng)頁安全問題進(jìn)行分析，網(wǎng)頁安全主要包括瀏覽器安全漏洞檢測、網(wǎng)頁/網(wǎng)址認(rèn)證以及網(wǎng)頁/網(wǎng)址防護(hù)。

2.1 瀏覽器安全漏洞檢測

漏洞即某個(gè)程序在設(shè)計(jì)時(shí)未考慮周全，當(dāng)程序遇到一個(gè)看似合理，但實(shí)際無法處理的問題時(shí)，引發(fā)的不可預(yù)見的錯(cuò)誤。瀏覽器作為客戶端程序，其漏洞的存在是由于編程人員的能力、經(jīng)驗(yàn)和技術(shù)所限，在程序中難免會(huì)有不足之處。由于程序結(jié)構(gòu)的復(fù)雜性，瀏覽器自身存在大量的安全漏洞。漏洞本身雖然不帶任何屬性，但是漏洞可以被惡意用戶利用進(jìn)入電腦執(zhí)行任意代碼，不但會(huì)造成信息泄露，嚴(yán)重的甚至?xí)茐拇疟P文件系統(tǒng)等，造成極大的安全威脅。

目前，針對(duì)安全漏洞的檢測主要是采用漏洞掃描技術(shù)，即利用漏洞掃描和安全評(píng)估軟件對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行全面的掃描、分析和評(píng)估。一般采用下述的兩種策略：策略一是首先掃描目標(biāo)主機(jī)的端口，目的在于對(duì)指定端口進(jìn)行監(jiān)聽以及識(shí)別網(wǎng)絡(luò)服務(wù)所屬類別。然后利用系統(tǒng)的操作平臺(tái)，查看在漏洞庫中是否存在滿足了匹配條件的漏洞，具體為根據(jù)存在于漏洞庫中的所有漏洞進(jìn)行一一的排查。最后模擬黑客對(duì)系統(tǒng)進(jìn)行攻擊，假如模擬攻擊成功，就說明系統(tǒng)中的確存在著安全漏洞。策略二則是采用插件技術(shù)，為了檢測出系統(tǒng)中的漏洞，通過調(diào)用插件來運(yùn)行掃描程序。安全漏洞的針對(duì)型掃描能夠建立和提高用戶的安全策略，及時(shí)發(fā)現(xiàn)并彌補(bǔ)安全漏洞。

2.2 網(wǎng)頁/網(wǎng)址認(rèn)證

安全認(rèn)證是一個(gè)通過驗(yàn)證被認(rèn)證對(duì)象的屬性，來確認(rèn)被認(rèn)證對(duì)象是否屬實(shí)有效的過程。所述屬性包括口令、數(shù)字簽名或者生理特征等，例如指紋、掌紋或虹膜。認(rèn)證技術(shù)是現(xiàn)代密碼學(xué)的一個(gè)分支，目前通常認(rèn)為存在兩種認(rèn)證技術(shù)，分別是身份認(rèn)證和消息認(rèn)證。

第一種是身份認(rèn)證技術(shù)，顧名思義其是用于鑒別用戶的身份，能夠?qū)π畔⑹瞻l(fā)方進(jìn)行真實(shí)身份鑒別。在開放式的網(wǎng)絡(luò)環(huán)境中，身份認(rèn)證往往是許多應(yīng)用系統(tǒng)安全保護(hù)的第一道防線。在身份認(rèn)證過程中一般使用三個(gè)要素：只有主體知道的秘密、主體擁有的物品和只有該主體具有的獨(dú)一無二的特征或能力。常用的身份認(rèn)證技術(shù)則包括RMI技術(shù)、SOAP技術(shù)、基于Cookie的單點(diǎn)登錄認(rèn)證等。

第二種是對(duì)收到的消息進(jìn)行驗(yàn)證的消息認(rèn)證技術(shù)，目的是確認(rèn)消息的確是來自真正的發(fā)送方且未被篡改，同時(shí)也能夠驗(yàn)證消息的順序性和及時(shí)性，已廣泛應(yīng)用于信息網(wǎng)絡(luò)。消息認(rèn)證的實(shí)質(zhì)是針對(duì)消息自身生成冗余信息，即被稱作MAC的消息認(rèn)證碼。MAC用于檢測消息的完整性和進(jìn)行消息源認(rèn)證，具體是使用密鑰對(duì)待認(rèn)證消息生成新數(shù)據(jù)塊并通過對(duì)數(shù)據(jù)塊加密而生成。由于MAC相對(duì)于待保護(hù)的信息而言具有唯一性，因此可以實(shí)現(xiàn)待認(rèn)證消息是完整的，并且能夠保證消息的無法抵賴和偽造。構(gòu)造MAC通常利用以下三種方法：基于帶密鑰的Hash函數(shù)，基于分組密碼以及基于流密碼。

2.3 網(wǎng)頁/網(wǎng)址防護(hù)

瀏覽器中的網(wǎng)頁/網(wǎng)址防護(hù)技術(shù)主要有風(fēng)險(xiǎn)隔離技術(shù)和風(fēng)險(xiǎn)攔截技術(shù)。首先是風(fēng)險(xiǎn)隔離技術(shù)，其最著名的為沙盒（Sandbox）技術(shù)。其主要用于控制代碼的執(zhí)行權(quán)限，是瀏覽器保護(hù)安全的一種組件關(guān)系設(shè)計(jì)模式。相當(dāng)于在沙盤中運(yùn)行瀏覽器，通過加載自身的驅(qū)動(dòng)來保護(hù)底層數(shù)據(jù)，建立虛擬環(huán)境隔離病毒、木馬，使其不會(huì)影響用戶的真實(shí)電腦，屬于驅(qū)動(dòng)級(jí)別的保護(hù)。該技術(shù)的實(shí)現(xiàn)是利用操作系統(tǒng)提供的權(quán)限來控制應(yīng)用程序界面和訪問攔截技術(shù)，而更為先進(jìn)的沙盒技術(shù)則需要使用虛擬CPU技術(shù)。其次是風(fēng)險(xiǎn)攔截技術(shù)，也被稱為“網(wǎng)頁防火墻”，主要包括幾種攔截機(jī)制：URL攔截、惡意腳本攔截、堆噴攔截、下載攔截、進(jìn)程攔截和自我保護(hù)等。

3 瀏覽器網(wǎng)頁安全問題防范技術(shù)的優(yōu)勢及不足

3.1 瀏覽器安全漏洞檢測技術(shù)

瀏覽器安全漏洞檢測技術(shù)目前尚存在有不足之處。首先是規(guī)則庫問題。由于確認(rèn)系統(tǒng)漏洞的工作具體是根據(jù)系統(tǒng)配置的漏洞規(guī)則庫來進(jìn)行，于是為了保證確認(rèn)漏洞結(jié)果的精準(zhǔn)度，就意味著必須要設(shè)計(jì)準(zhǔn)確的規(guī)則庫。此外眾所周知的是，目前的漏洞庫一般都是根據(jù)已知存在的安全漏洞來設(shè)計(jì)的，但是在網(wǎng)絡(luò)上的眾多不安全因素卻有很多都來自未知的漏洞，因此，如果不能對(duì)漏洞規(guī)則庫進(jìn)行不斷的及時(shí)更新，就無從談起確認(rèn)漏洞結(jié)果的精準(zhǔn)度。綜上，基于漏洞庫信息的重要性，如果漏洞庫信息是不準(zhǔn)確的或陳舊的，那么它不但不能用于漏洞掃描，還可能無法對(duì)系統(tǒng)的安全隱患及時(shí)采取有效措施來進(jìn)行消除。

在采用插件技術(shù)掃描瀏覽器安全漏洞時(shí)，為了不斷地掃描出新漏洞，當(dāng)插件不足時(shí)，可以通過添加新的插件來實(shí)現(xiàn)，這大大提高了漏洞掃描軟件的擴(kuò)展性和易于維護(hù)性。例如，用戶可以遵循插件的編寫規(guī)范使用專用腳本語言來自己編程撰寫出新的插件。

3.2 網(wǎng)頁/網(wǎng)址認(rèn)證

對(duì)于身份認(rèn)證技術(shù)來說，現(xiàn)有的各種硬件身份驗(yàn)證產(chǎn)品，如裝有PKI證書的USB裝置、IC電子卡，或動(dòng)態(tài)密碼電子令牌等，存在浪費(fèi)大量資源、增加企業(yè)的生產(chǎn)經(jīng)營成本或應(yīng)用范圍小的缺點(diǎn)。現(xiàn)有的網(wǎng)絡(luò)身份驗(yàn)證，仍然是各網(wǎng)絡(luò)服務(wù)商各自有自己的用戶名和密碼庫及相對(duì)的身份驗(yàn)證產(chǎn)品，對(duì)于各網(wǎng)絡(luò)業(yè)者而言，造成了重復(fù)投資的問題；而對(duì)于使用者而言，使用者得同時(shí)記住各種不同用戶名密碼及需要購買各種不同身份驗(yàn)證硬件產(chǎn)品，降低了使用意愿。而隨著MAC研究的深入，最初的僅在可證明安全性方面的要求已經(jīng)遠(yuǎn)不能滿足用戶的意愿，用戶不但需要MAC在證明安全性方面表現(xiàn)出色，同時(shí)在其他方面也要具備相當(dāng)?shù)膬?yōu)勢，比如快速的計(jì)算速度、支持增量式以及并行計(jì)算、在線運(yùn)行和支持亂序驗(yàn)證等，其實(shí)質(zhì)都是用來提升MAC的計(jì)算速度的，因此，未來可以通過充分利用計(jì)算機(jī)的計(jì)算特點(diǎn)來改進(jìn)算法從而提高算法的計(jì)算速度。

3.3 網(wǎng)頁/網(wǎng)址防護(hù)

在提高瀏覽器安全等級(jí)方面，Sandbox技術(shù)充分利用了操作系統(tǒng)的權(quán)限控制和應(yīng)用程序界面控制，并取得了非常好的效果。但是從根源上來講，由于其實(shí)質(zhì)上是靜態(tài)技術(shù)，在很多方面，Sandbox技術(shù)并不能夠及時(shí)進(jìn)行更新和擴(kuò)充，這就造成了Sandbox的技術(shù)劣勢，即對(duì)于網(wǎng)絡(luò)上新出現(xiàn)的漏洞，其不能夠進(jìn)行足夠的防御。傳統(tǒng)技術(shù)中的惡意URL攔截提示方法，僅僅能單純地提示用戶其請(qǐng)求的URL有風(fēng)險(xiǎn)，提示信息既不夠豐富，也不具有說服力。用戶在選擇是否繼續(xù)訪問時(shí)，缺乏參考數(shù)據(jù)，導(dǎo)致極有可能做出錯(cuò)誤的判斷，從而造成訪問假網(wǎng)站的后果，這就使得用戶的信息安全得不到足夠的保障。

4 結(jié)束語

本文針對(duì)瀏覽器網(wǎng)頁安全存在的問題，現(xiàn)有的瀏覽器網(wǎng)頁安全防范技術(shù)以及相應(yīng)技術(shù)的優(yōu)缺點(diǎn)進(jìn)行了介紹。根據(jù)上文的介紹發(fā)現(xiàn)，與瀏覽器相關(guān)的安全威脅是多種多樣的，并且隨著人們對(duì)網(wǎng)絡(luò)資源越來越依賴，尤其是網(wǎng)上購物、網(wǎng)上支付、社交網(wǎng)絡(luò)的不斷發(fā)展，瀏覽器已成為人們?nèi)粘Ｉ钪胁豢苫蛉钡墓ぞ撸涿媾R的安全問題也會(huì)越來越復(fù)雜，瀏覽器安全問題涉及到了國家安全、企業(yè)發(fā)展及個(gè)人生命財(cái)產(chǎn)安全，將會(huì)受到越來越多的重視。

參考文獻(xiàn)

[1] 江導(dǎo).瀏覽器Web安全威脅檢測技術(shù)研究與實(shí)現(xiàn)[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2014（02）：100-101.

[2] 馬琴.淺析Web瀏覽器的安全與防范[J].科技風(fēng)，2010（21）：203.

[3] 胡曉荷.瀏覽器安全——不能被忽視的問題[J].信息安全與通信保密，2009（08）：11-14.

[4] 宋苑等.網(wǎng)絡(luò)安全掃描技術(shù)綜述[J].廣東通信技術(shù)，2004（08）：58-60，64.

[5] 洪宏等.網(wǎng)絡(luò)安全掃描技術(shù)研究[J].計(jì)算機(jī)工程，2004，30（10）：54-56.

[6] 李星宜等.基于數(shù)字證書的身份認(rèn)證系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)[J].計(jì)算機(jī)技術(shù)與發(fā)展，2011，21（12）：160-163.

[7] 孫勇.一種Web身份認(rèn)證方法[J].電腦知識(shí)與技術(shù)（學(xué)術(shù)交流），2007（20）：345-346.

[8] 李勇.消息認(rèn)證碼的原理與實(shí)現(xiàn)[J].通信世界，2006（47）：28.

作者簡介：

劉瑩瑩（1982-），女，漢族，遼寧興城人，畢業(yè)于東北大學(xué)，碩士，現(xiàn)任國家知識(shí)產(chǎn)權(quán)局專利局電學(xué)部主任科員；主要研究方向和關(guān)注領(lǐng)域：計(jì)算機(jī)網(wǎng)絡(luò)、圖像處理。