安全档案

shooter88

据Mozilla公司表示，他们近期雇佣了Humanized公司5名顶级员工中的3人，预计这3名新雇员将为Mozilla提供用户界面设计。这家名为Humanized的小公司专注于设计创新性且直观的用户界面。
经Mozilla证实的消息表示，Mozilla基金会确实通过公关公司雇到这几个人，但是Mozilla并未公布被雇佣者的身份。实际上，在 Humanized公司的网站上，“我们是谁”的页面上也只写了5个人的名字，说明这家公司实在是小的可以。目前该公司的唯一软件是一款运行于操作系统后台的ENSO应用程序。
据介绍，该程序运行于桌面后台，用户仅需要在桌面上输入应用程序的名字即可访问应用程序，而不用打开新窗口，找到应用程序的位置，更不用点击开始菜单，找到应用程序。
例如，用户想打开
火狐浏览器
，仅需要按下Caps Lock键，然后输入“打开火狐”，那么火狐浏览器就打开了。依此类推，其他应用程序打开的方法不外于此。新雇人员设计界面Firefox或会更加人性化.
记不住名字也没关系，记住大概就可以有多项选择新雇人员设计界面Firefox或会更加人性化
Firefox tab
若是以为仅能打开应用程序 那就太小看这个软件的实力了
人性化特点是该公司软件的主要特点，看起来Mozilla在雇佣这些工作人员之后，更希望改善火狐浏览器的用户人性化功能上。除了Firefox火狐，另外一款开源电子邮件系统雷鸟，也估计会从中受益。
    越来越多的人开始关注浏览器安全性，Firefox 真的比 IE 安全么？英国一家公司则更进一步宣称他们出品了“完全无痕迹”浏览器，到底有没有可能出现绝对安全的浏览器呢？
这些问题或许没有绝对的答案，但是显然网页浏览器已经成为网络攻击者们最偏好的攻击载体。
在现在所谓的数字战争中，消费者和企业站在一方，而对手是那些“坏蛋”（无论他们是俄罗斯商业网络组织成员，还是属于更松散得犯罪组织）。浏览器已经成为这场战争所针对的基础目标。因此，浏览器的安全性对企业和终端用户来说同样重要。（译者注：俄罗斯商业网络组织是臭名昭著的大规模网络犯罪组织）
到底我们用的浏览器有多安全？答案取决于你问谁。
赛门铁克的研究者会毫无疑问的说，微软的 IE 和 Mozilla 基金会的 Firefox 都会受到安全脆弱性漏洞的影响。
赛门铁克安全响应部门的主研究员 Zulfikar Ramzan 表示，IE 缺陷的减少要归因于其他浏览器脆弱性漏洞的增多。他认为苹果 Mac OS 操作系统上的 Safari 浏览器已经成为“坏蛋们”一个更大的目标——2006下半年仅有4种针对 Safari 的攻击，而 2007 上半年已经有 25 中。
甚至连 Opera 浏览器的安全脆弱性漏洞数字也稍有上升，从四上升到七。
攻击防护实验室的首席技术官 Roger Thompson 提到，IE 的安全性改善起了些作用。他认为，Internet Explorer 7 是一个比较安全的浏览器，和 Firefox 差不多。此外，他还声称 Opera 比 Firefox 更加安全。
Razman 观察到，IE 安全脆弱性漏洞数的下降可能与市场份额相关。从 2006 年 11 月到 2007 年 10 月，IE 的市场份额从 81% 下降到 78%。同时，
firefox火狐浏览器
、 Safari 以及 Opera 都有所增长。Net Application 的数据显示，市场份额上，Firefox 从 13% 上升到 15%， Safari 从 4% 上升到 5%，Opera 从 0.7% 上升到 1%。
“攻击者大多是利益驱动” Ramzan 进一步表示，“他们总是想攻陷更多人的浏览器。所以如果一个浏览器的市场份额有所上升，就会有更多的人想找到它的安全性漏洞。因而会发现该浏览器更多的安全漏洞。”
这可能会有些争议性，如果我们用漏洞数量除以市场份额，那么 IE 是当前看来最安全的。
Internet Research Group 市场咨询公司的主分析师 Peter Christy 表示：“微软需要平衡市场需求和安全性，这方面，他们做的也确实比其它厂商好。”
“安全专家们评论微软内部产品的安全性时，都会给出高分。” Christy 进一步说明，“所有微软的产品都会经过开发安全性的步骤，我们也观察到它们在受到攻击时表现得更可靠。”
可是其它一些人觉得并不应该这样比较。“根本没有什么所谓的 Firefox IE 安全性孰优孰劣”，Burton Group 的高级分析师 Pete Lindstrom 认为，“因为在过去的两年中，两个浏览器都中过一些漏洞的招。”
微软对 SC 杂志提出的这个问题给出了一份准备好的答复。其中用 Vista 上运行 IE 7 的新“安全模式” 为例，试图证明其产品的高安全性：“ IE7 在操作系统中完全独立于其它程序运行，除非得到用户同意，恶意软件和攻击程序的写入操作都被限制在 Internet 临时文件中。”
天壤之别
浏览器大战中，一个关键的问题是比较微软和 Mozilla 基金会的产品开发方法。两者完全不同，有天壤之别。
Mozilla 依靠开源方式。微软的则自然是典型的商业软件厂商的闭源开发。
绿色浏览器
，开发方式对浏览器的安全有非常重要的作用。
Window Snyder 是 Mozilla 的 CSO。自然，她是开源社区“更多眼睛发现更多问题”开发方式的坚定拥护者。 “随便一天晚上，我们都有两万人在两万台机器上测试安全补丁。”
她说，这极大地延伸了 Firefox 的测试广度。在实验室中的自动化测试根本无法与上万测试 Firefox 的真实用户相比。
这也意味着， Mozilla 推出补丁的速度要比微软快。“这种方法使我们可以在短时间内进行大量测试，并迅速推出安全补丁。我们不需要像微软那样等到每周二再发布更新。”
“多眼睛”方式
Christy 认为“多眼睛”方式是一个积极的特性。可同时，他质疑 Mozilla 怎样控制开发流程。“我猜测 Mozilla 的工程方式并不像微软那么结构化，而这对软件开发流程影响极大。安全专家们告诉我，微软现在采用的保证产品安全的方式是目前的最佳方式。”
Christy 还指出，当前浏览器应用的复杂生态以及整个网络并不是由微软控制的。用户习惯于使用浏览器配合其它各种应用，而这些应用的安全并不能由微软保证。
像 Lindstrom 指出的，应用性插件，比如 Flash， ActiveX 控件和 JavaScripts 都成为了针对浏览器的攻击点。“越简单的软件就越安全。”
他还指出，浏览器的可扩展性增加了它的受攻击面，也增加了其被破坏的复杂性和可能性。“这就是开发灵活性和程序安全性此消彼长的平衡关系。”
Fortify 软件公司创始人和首席科学家 Brian Chess 把网络生态作为更关键的一个方面。他觉得很多现行的网络标准是浏览器相关安全问题的原因之一。
Chess 进一步解释：“它是说一个站点上的 JavaScript 只能访问同一域名下的网页。而在创建聚合应用的时候，这就成了一个安全问题。比如一个网页要调用 Google Map 显示地图。这时候开发者必须要绕过这个浏览器自带的安全机制，之后就有了诸多安全性问题。” Chess 觉得脚本跨站引用的问题应该被以后更高明的网络标准所禁止。
Chess 还举了一个关于会话管理的例子。会话管理是一种浏览器功能，它和一些其它功能联合，主要控制网站上的登录和退出，尤其是提供高级内容的网站。
他解释到：“浏览器不支持会话验证的概念，而这个负担就被网络程序开发者所承担。”
“这些开发者们总是犯错。他们总是使用容易被人猜出的会话标志符，而这是很不安全的习惯。攻击者可以很容易利用这个信息劫持一个会话。”
还有伪造跨站请求的问题。它可以将用户重定向至恶意站点，而不是真正的合法站点。“这个问题倒是可以由浏览器修正。” Chess 说。
他给浏览器现状的对症下药是：Mozilla 基金会已经占有不少浏览器市场，而 Apache 网络服务器组织也占领不少服务器市场，两者应该联合抵制微软。
之后两者就可以制定更多安全协议，便于网络开发者创建安全的网络应用。
一家英国公司在浏览器市场下了赌注，他们觉得浏览器用户，尤其企业用户，会为一个安全的密不透风的浏览器付费。该公司叫 EISST (Enterprise Information Security Systems & Technologies)，最近刚刚发布自己称之为“零痕迹”浏览器的程序。他们声称，该浏览器有着非同一般的优秀安全档案，远远优于 Firefox 和 Internet Explorer。
公司市场销售经理 John Elsh 说，这家总部在伦敦的公司的 e-Capsule Private Browser 提供其它浏览器所没有的三项安全特性。它将所有用户临时网络数据存入一个加密的文件，并进行 block 级别的 AES256 加密；它利用“onion routing”提供匿名浏览功能；同时浏览器运行完全不留痕迹，独立于现有任何操作系统。（译者注：onion routing 即是中高级网民熟悉的 Tor 所用的技术。简单说，就是浏览器带个 Tor。）
加密 EISST 所称的存档文件十分重要，因为“这样你的浏览内容就不会暴露给第三方，甚至操作系统都不知道。Elsh 还表示，“我们加密你上网的任何东西 - cookie、浏览器历史甚至你的缓存。”
被问及和其他浏览器进行对比，Elsh 表示，“如果用其它浏览器，只要我知道你的 Windows 密码，我就能访问你的浏览环境，就能知道你上网做了些什么。”（译者注：如果有需要，大家不妨把 Windows 密码寄给他，问问他自己2000年的时候上了哪些网站。）
第二层安全防护，onion routing，让浏览器可以对网络服务器隐藏真实身份。Onion routin 是开源软件，它基于众多代理服务器 (“onion routers”) 加密中转网络服务器流量，而路径不可预知。
Elsh 声称，e-Capsule Private Browser 不进行 Windows 注册表注册。它不需要任何系统资源，也不用系统库。
他解释到，这使它免受任何操作系统安全脆弱性问题的影响，系统也无法进入到该浏览器中。
像许多其它非 IE 浏览器一样，包括社会性浏览器 Flock，e-Capsule Private Browser 依靠 Mozilla 的 Gecko 渲染引擎。这就是说用户体验和一个正常浏览器基本一样。
现在 Firefox, Internet Explorer 和 Opera 都完全免费，那么唯一的问题就是，用户会不会为 EISST 的产品付 20 美元？
Elsh 承认“加密很容易做，尽管 Firefox 和 IE 都没有扩展可以提供这个功能。”

绿色浏览器下载
:
http://yahooobbs.cn/greenbrowser/
EISST 相信他们的整合加密数据功能是用户愿意付钱的关键。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u1/38952/showart_467065.html