转换成ASCII

shooter88

如果企业正在考虑使用
火狐浏览器
或者IE来运行关键应用，此举是不是在招致灾难？本文分析了浏览器安全方面有助于确保数据安全的最新技术，如反网络钓鱼技术和扩展验证证书。
而用户需要每一项功能。信息员工已经使网络浏览器成了手中交换知识的重要工具。Gartner公司估计，对软件即服务（SaaS）的需求每年会以20%以上的速度增长，这种情况一直会持续到2010年；而最近有关SOA/Web服务的读者调查显示，近 80%的调查对象表示，他们企业目前在使用Web服务——不过保护面向企业内外的服务安全的却不到一半。
可以这么说，浏览器是不安全的。如果说每看到一次有人利用漏洞让恶意软件得以在网络上肆虐，我们就有一块钱进账，那么也许有足够资金来支付清理漏洞项目所需费用了。据赛门铁克公司声称， 06年，单单针对设计糟糕的ActiveX控件的漏洞就有51种，比2005年的15种大幅上升。没错，在默认状态下，ActiveX在Internet Explorer 7中是禁用的，但如果你的最终用户需要Adobe Reader或者Flash的功能，你又回到了易受攻击的位置。
IT能够解决这个矛盾体吗？
与自由一样，获得网络浏览器安全的代价就是需要永远警惕，另外还需要风险管理策略、关注安全功能方面的进展、对最终用户进行教育，以及强有力的集中管理。
至于个体方面，较新款的浏览器、尤其是IE7和Mozilla 的
火狐浏览器
致力于积极预防欺诈、保护个人信息。举例说，清除历史和缓存文件的一项增强功能让用户和管理员都从中得益，反欺诈措施、国际化域名（IDN）支持、地址栏可见性以及更容易控制ActiveX组件集成的机制也是如此。而厂商们正在另辟蹊径——微软的Strider HoneyMonkey漏洞检测项目就表明了这点。微软的互联网安全执行团队利用该项目来跟踪垃圾邮件发送者和网络钓鱼者。
幸好，安全厂商们无论是合作还是单干，都在加大力度。举例说，反网络钓鱼工作组（APWG）就联合了 100余家厂商——看到通常相互竞争的软件行业这回摈弃前嫌，并且以开放、积极的工作方式来应对网络空间犯罪化的严峻势态，这确实令人振奋。可验证网站是合法网站的扩展验证（EV）证书也让我们感到谨慎的鼓舞。证书管理机构/浏览器论坛（CA/Browser Forum）定义的EV SSL审查过程需要全面的独立审查，而这些证书不仅限于标准的x.509证书：可以对有些浏览器里面的地址栏标上不同颜色。
共同的主题就是：厂商们正积极主动地识别可疑网站，而不是等用户偶然遇到这些网站。
浏览器管理有风险
很重要的风险管理问题是：尽管网络浏览器不安全，我们该如何尽量减小或者预防网络遭到的破坏呢？答案就是需要多管齐下的风险缓解策略，不但需要良好的网络设计，还要包括物理安全、公司使用政策、厂商关系、信息访问安全策略、新软件批准流程、用户培训，还常常需要数据隐私管理及信息访问限制。
规模再小的公司也要遵守一些基本原则。但愿你已限制浏览器只用于工作所需，还安装了内容过滤器。但对于微软更新服务的自动更新，又该怎么办呢？
修补浏览器漏洞是这家软件开发商的责任；而清除这些补丁留下的痕迹却是用户的责任。众所周知，软件更新会对浏览器功能进行重大改动，以至破坏了关键的业务应用软件，这意味着“定期的”更新经常会引发一连串令人讨厌的事件：测试更新版与现有应用程序的兼容状况；部署更新版；而且往往因为忽视了某个隐藏的问题而需要采取变通办法或者恢复方案。
如果你允许自动更新，就要重新考虑这项政策：这是由于微软的IE7自动部署会绕开许多企业的测试流程，破坏许多应用程序。诚然，微软事先已明确告诉我们：IE7会使用自动更新服务来部署，也提供了阻止自动更新的机制和恢复到版本6的指示。但这并不能帮助把时间浪费在恢复安装上的许多IT部门。
微软现处于进退两难的境地：我们一方面责备微软带来了众多的浏览器漏洞；但一旦它采取了措施，自动更新浏览器到更安全的版本，我们又满腹牢骚。这方面的教训就是：自动更新需要便于迅速打上补丁，以应对安全威胁；但同时也表明需要对这些变化一清二楚，还要有主动的集中管理。为此，现在就需要采取以下一些措施：
落实管理，为迅速响应作好充分准备：在这个零日漏洞和远程网络盛行的时代，只有两款浏览器：IE以及比较次要的Firefox让你可以从中央管理服务器迅速部署及配置软件到所有联网机器、通过群组策略来限制功能、提供细粒度的安装控制，这实在叫人抓狂。
微软免费的IE管理工具包（IEAK）在这方面显得很突出。IEAK出现在几个IE版本中已有一段时日；每出现一个重大版本，这个工具包的功能就会随之变化。如果你在管理IE，IEAK应当是必备工具。实际上，在如今IT预算短缺、人手不足的形势下，IEAK是IE得以在公司桌面系统上继续扮演主角的关键，尽管微软面临反托拉斯纠纷、IE浏览器与操作系统分家、安全问题和开发停滞不前等诸多不利因素。
IEAK有助于建立及提供用户配置文件（user profile）、对网络上使用的浏览器实行版本控制，以及使用策略几乎可以定制各项参数。
惟一声称使用网络安装实用工具、通过策略来实行控制的另一款浏览器是Firefox，这里不得不提及开源项目FirefoxADM。多年来，这个项目停滞不前，缺乏厂商的鼎力支持，而它本该得到这种支持。结果就是，这个产品并不全面支持所有版本的Firefox（包括最新版本）。
咱们实话实说吧：说到企业部署方面，
火狐
与IE 没法竞争。虽然我们为SourceForge认识到开发这样一种工具的重要性以及为之付出的努力而喝彩，不过对这一点提出了质疑：既然目前没有工具可以把与IE竞争的浏览器部署到网络上并加以控制，为什么要花大量的时间和资金迫使微软让IE 7与操作系统分家、以便有公平的竞争机会呢？
严格管理分布式浏览器的功能是确保其安全的一个基础。除非Firefox、Netscape和Opera等浏览器的支持者积极采取行动、搞好管理方面的工作，否则IE会继续占有大部分的市场份额。
随时了解攻击途径和趋势，做到知己知彼：据APWG声称，由于网络钓鱼及相关的犯罪活动每个月都会生成11000个新的非法网站，与往常一样，浏览器正在招致灾难。APWG的成员不但包括安全厂商，如互联网安全系统（ISS）、迈克菲（McAfee）、卡巴斯基和赛门铁克，还包括Adobe Systems、思科、微软和趋势科技。一年前，这个组织开始积极应对针对浏览器的犯罪活动问题，这体现了业界少有的协作精神。APWG在其网站上提供了网络钓鱼报告工具、会议日程表和网络犯罪趋势方面的数字，旨在让IT人员随时知道安全热点。
这与安全有什么关系呢？有些攻击者正是利用了非ASCII 字符。另外，IDN会带来相似域的问题，这归因于转换算法。普通ASCII字符的非标准编码会导致带来域，就拿“paypal.com”来说吧。其中的 “a”可能是国际化字符，但域名看上去与合法网站一模一样。结合IDN和反网络钓鱼浏览器功能也许不能完全阻止这种攻击，但应当可以识别及阻止数量众多的企图钻非ASCII字符空子的网站。
虽然每家浏览器厂商都使用各自的方式来检测网络钓鱼网站，但汇总起来的数据由APWG负责跟踪分析。汇总数据有助于识别犯罪动向，并且提醒厂商和IT人员留意新的攻击方法——希望它们还造成重大破坏。
有些攻击途径使用外文字符。支持IDN的功能出现在 Mozilla和Opera中已有一段时间，微软的IE7也正在迎头赶上。IDN标准让含有非ASCII字符的域名可以使用一种已知算法转换成ASCII 字符。目的在于让使用欧洲文字的变音符或者非拉丁文字母的域名改动后可适用于现有的域名空间。
最后，要求每个浏览器窗口都显示地址栏。这可以锁定利用跨域重定向来掩盖来源的弹出广告。
还是推荐下载火狐浏览器：
http://yahooobbs.cn/huohu-huohuliulanqi/


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/38952/showart_457575.html