126 评论

如何防止黑客入侵[5]:Web相关的防范(上)

  由于俺比较懒,导致本系列已经中断了2年之久。上星期有读者留言,希望俺尽快把本系列补上。再加上昨天看到新闻,说 Java 7 爆出全系列的高危漏洞。凡此种种,促使俺补上了本系列的第5篇,关于 Web 的防范。这部分的内容比较长,为了避免大伙儿阅读疲劳,俺把《Web相关的防范》分为上中下3个部分。


★Web安全的重要性


  在聊正题之前,先给大伙儿强调一下“Web 安全”的重要性。
  如今互联网非常普及,大部分的家用电脑和商业电脑,都具备联网功能。而且大部分电脑只要一开机,就处于联网状态。作为电脑的使用者,有相当一部分时间是花在 Web 浏览(俗称网上冲浪)。在这样的环境中,Web 就成了恶意软件(病毒、木马、蠕虫、勒索软件......)最理想的一种传播媒介。据说如今大部分电脑中招,都与 Web 有关。
  正因为如此,才把 Web 相关的内容,单独汇总一篇。接下来,俺先介绍一下攻击者常见的招数,然后再介绍一下各种应对措施。


★Web 相关的攻击手法


◇嗅探(sniffer)


  所谓的“嗅探”,就是攻击者利用某些技术手段,截获你的网络数据流并进行分析,从而获取某些有价值的信息。通常来说,“嗅探”只是入侵的初始阶段(准备阶段)。攻击者通过“嗅探”获取到的信息,通常用来进行辅助后续的入侵行动。

  举例:
  很多人喜欢通过公共场所的 WiFi 热点上网。假如你使用的 WiFi 热点没有设置为强加密。那么,某个攻击者就有可能利用 WiFi 嗅探工具,截获你的上网流量。如果你正好在收发 Web 邮件,而且没有通过 HTTPS 加密(好多国内的 Web 邮箱【不】支持全程 HTTPS 加密)。那么,攻击者就可以看到你的收发的邮件内容。

  不过捏,关于嗅探的防范,不是本文的重点。因为俺之前写一个系列博文《如何隐藏你的踪迹,避免跨省追捕》,里面介绍的各种招数(比如加密代理的使用),已经足以帮你对抗“嗅探”了 :)

◇钓鱼(phishing)


  “钓鱼攻击”包括很多种,基于 Web 的网络钓鱼是其中之一。
  由于“钓鱼攻击”属于社会工程学的范畴,也不是本文的重点。今后有空的话,单独写一篇“关于钓鱼攻击的防范”。

◇利用浏览器自身的安全漏洞


  在本系列前一个帖子里,俺已经扫盲了"漏洞"、"补丁"等概念以及相关的一些常识。健忘的同学,可以再去温习一下。
  在软件行业中,几乎每一款软件都会有漏洞——浏览器自然也不例外。浏览器的漏洞有很多种,其中一类叫做"安全漏洞"。顾名思义,就是会导致安全问题的漏洞。
  如果某款浏览器的安全漏洞被攻击者发现,而浏览器厂商自己还不知晓。那么攻击者就可以利用该漏洞,发起广泛的攻击。

  举例:
  假设某个黑客研究 IE 的内核,首先发现 IE 存在一个“渲染图片导致缓冲区溢出”的漏洞。由于该漏洞是独家发现,只要该黑客不公开漏洞的信息,连微软(也就是 IE 浏览器的厂商)也会蒙在鼓里。因此,也就【没有】针对该漏洞的补丁。那么,这个黑客会如何利用该漏洞捏?
1. 首先挑选一张图片(为了吸引人,通常会选一张美女图之类的照片),然后精心地嵌入一段攻击代码在图片内部。
2. 把这张图片放到网上(比如张贴到某个大型论坛,再配上一个吸引人的标题)。
3. 过不了多久,就会吸引到很多网友来围观。如果围观的网友用的浏览器不是 IE,那么他仅仅是看到一张美女图而已,不会有啥异样。如果围观的网友用的正好是有漏洞的 IE 版本,当 IE 打开那张图片的瞬间,攻击代码就会被激活(被运行)。然后,攻击代码会悄悄地在这台电脑中安装一个木马(技术行话叫“植入木马”)。之后,这台电脑就成为攻击者的肉鸡了(攻击者可以远程控制肉鸡,为所欲为)。
4. 攻击者控制了肉鸡之后,既可以拿去卖钱(有专门的地下肉鸡交易市场),也可以偷窥机主的隐私(看看有没有网银、裸照、QQ 靓号)。如果控制的肉鸡数量巨大,还可以搞 DDOS 攻击......

◇利用浏览器【插件或扩展】的安全漏洞


  如今大部分浏览器上,都安装了插件。最常见的插件就是 Flash 插件。另外还有“PDF 插件、Java 插件”等等。
  浏览器的插件也属于软件,也会存在安全漏洞,因此也可以被攻击者利用。一般来说,攻击者对插件漏洞的利用,类似于对浏览器漏洞的利用。

  举例1:
  2011年,美国大名鼎鼎的安全公司 RSA 遭到入侵并且被深度渗透,连看家产品 SecureID 的密钥也被偷了。
  攻击者之所以能得手,就是利用了 Flash 插件的一个零日漏洞。洋文好的同学,可以看“这里”的详细报道。

  举例2:
  同样是在去年,有不少 Gmail 用户遭到入侵。但实际上,Gmail 本身并没有出问题。攻击者是利用 Flash 的漏洞,伪造跨站请求,然后在 Gmail 的转发列表中加入一个攻击者的邮箱。之后,被害人收到的所有邮件,都会自动转发给攻击者。

  从最近几年的趋势来看,插件漏洞导致的安全问题,要多于浏览器漏洞导致的安全问题。

◇跨站脚本攻击(XSS)


  最后再来说说"跨站脚本"的问题。
  大部分 XSS 攻击,都是利用网站本身的漏洞。所谓的网站,其实就是若干 Web 服务器,上面运行若干软件。前面说了,只要是软件,就可能存在漏洞(包括安全漏洞)。所以,Web 服务器上的软件自然也不例外。
  基于 XSS 的攻击有很多种类型,具体的技术原理也有所差异。考虑到大部分读者不是搞技术的,俺就不深入展开了。仅举一例,让大伙儿有个感性的认识。

  举例:
  比如某个 BBS 论坛存在漏洞——【没有】对用户发布的帖子内容(此处的“内容”,不是指文字的内容,而是指特殊字符)进行严格的检查。如果某个攻击者发现了此漏洞,就可以精心构造一个帖子,在帖子的正文中包含一段攻击脚本(通常是 JavaScript)。接下来,攻击者把这个帖子发布到该论坛上。
  然后捏,如果有人浏览了这篇帖子,这段攻击脚本就会被激活,然后干坏事......


★如何选择浏览器?


  对于用户来说,浏览器是 Web 的根基。所以,谈 Web 的安全防范,首先得聊一聊如何选择浏览器。
  挑选浏览器有如下几个指标供参考:
1. 浏览器的质量好不好
评判安全方面的质量,最关键的一条是:看浏览器有没有经常出安全漏洞。
2. 浏览器的更新快不快
爆出漏洞后,浏览器的开发团队是否及时出补丁或新版本。在《安全漏洞的基本防范》一文,俺介绍了【零日漏洞】的概念。浏览器修补漏洞越及时,网友暴露在“零日漏洞攻击”的时间就越短。
3. 浏览器的功能强不强
除了要看浏览器本身的功能,还要看其支持的扩展是否丰富。

  根据上述指标,俺把市面上常见的浏览器,根据靠谱的程度,划分为如下三类:

◇第一类:Firefox 和 Chrome(含 Chromium)


  俺个人强烈建议用 Firefox 或 Chrome 进行网上冲浪,因为这两款浏览器很符合上述指标。
质量好
本世纪初,浏览器市场被 IE 一统天下。但随着时间推移,IE 在全球的市场份额逐步被 Chrome & Firefox 占去一半以上。这充分说明 Firefox 和 Chrome 的质量很好。另外,在安全漏洞方面,Firefox 和 Chrome 也优于 IE。
更新快
说到快速更新(快速迭代),这是 Chrome 的首创。从去年开始,Firefox 也学 Chrome 采用快速版本更新。
功能强
说到功能,Firefox 刚出道时,利用丰富的扩展吸引了足够多的用户。如今,无论是扩展的种类还是扩展的下载量,Firefox 是最多的;至于 Chrome,由于出道时间晚,这扩展方面不如 Firefox,但显然比 IE 强多了。

  除了上述这几条,这两款浏览器还具有如下优点:
支持的平台很多
支持三大主流的桌面系统(Windows、Mac OS、Linux),支持两大主流的移动系统(Android、iOS)。
开源项目
由于开源而且参与的程序员也多,所以软件中的漏洞容易被及早发现。
(Chromium 是开源滴;Chrome 虽然基于 Chromium,但包含【闭源】模块)

  以上就是俺推荐 Firefox 和 Chrome 的理由。在本文的后续章节,俺会以这两款浏览器为主,进行介绍。

◇第二类:IE、Safari、Opera


  先说 Safari 和 Opera。这两款的出道时间早于 Firefox 和 Chrome。忙活了这么多年,如今的市场份额依然很低,这已经说明某些问题。另外,俺个人觉得 Safari 和 Opera 的扩展和插件不够丰富,更新速度也不够快,所以俺不推荐。

  至于 IE,曾经是市场份额最大的浏览器,而是集成(捆绑)在 Windows 系统中。为啥俺把它放到第二类捏?有如下几个原因:
1. IE 跟 Windows 集成得太紧密。IE 如果爆漏洞,通常要等微软发布 Windows 补丁来修复。而 Windows 补丁是按月发布的——太不及时啦。
2. 相比 Firefox 和 Chrome,IE 是闭源项目。由于源代码不公开,而且参与的人不够多,导致潜在的漏洞难以被发现。
3. IE 用户大都是菜鸟用户(很多菜鸟只知道用系统内置的浏览器)。由于菜鸟不太懂安全防范,有些【低级】骇客就喜欢盯着这个用户群。

  说到这儿,可能有同学会问:天朝的好多网银都只能用 IE(很多网银客户端依赖于 IE 的 ActiveX 控件),咋办捏?别担心,在本系列的下一篇《Web相关的防范 (下)》会谈到此问题的解决方法。

◇第三类:五花八门的【国产】浏览器


  说到【国产】的浏览器,有必要谈一下浏览器的内核(也就是浏览器的引擎)。绝大部分国产的浏览器,都不是自己开发内核,而是基于老外现成的内核。常见的浏览器内核有三款,分别是:
Gecko 内核(来自于 Mozilla 开源组织,主要供 Firefox 使用)
Trident 内核(来自于微软,主要供 IE 使用)
WebKit 内核(独立的开源项目,Chrome 和 Safari 使用此内核)
  几款常见的国产浏览器(360浏览器、傲游浏览器、QQ 浏览器),使用的是 Webkit + Trident 的双内核模式。
  某些国产浏览器把双内核作为吹嘘的亮点。但在安全层面,双内核反而会带来安全问题。假如你手头的国产浏览器采用了 Webkit + Trident 双内核。只要这两款内核中,有一个爆出安全漏洞,你就有可能中招。也就是说:双内核会增加你中招的概率。
  俺极力反对【国产】浏览器,还有另一个原因——政治层面的安全问题。朝廷为了监控屁民在互联网上的一言一行,会跟国产浏览器厂商合作,通过浏览器记录网民的行踪。

  举例:
  前几年腾讯搞的“TT浏览器”,会把用户上网行踪记录在某个文件中。
  至于 360,名声更是臭不可闻。360 浏览器本身就存在收集用户隐私的问题,居然还好意思自称是“安全浏览器”。而且大伙儿别忘了,奇虎公司跟 GFW 一直保持着暧昧的关系哦。

  综上所述,俺个人【非常反对】使用国产浏览器。


★如何选择插件和扩展?


  说完浏览器的选择,再来聊聊如何选择插件和扩展。

◇插件和扩展的【区别】


  先来扫盲一下插件和扩展的区别(连很多 IT 技术人员都把这两者混为一谈)。所谓的插件,洋文叫“plugin”;所谓的扩展,洋文叫“extension”。两者的区别如下:

  插件
  在功能上,插件通常是用来渲染 HTML 页面中的 <object><embed> 标签。
  插件通常实现比较【底层】的功能,通常以平台相关的代码(本地代码)编写,可以调用操作系统的 API。形式上,插件以动态库(Windows 上就是 DLL 文件)的方式,加载到浏览器的进程内。由于使用本地代码编写,插件通常依赖于特定的操作系统(不同系统的插件不能混用)。

举例:
Flash 插件
媒体播放器插件
PDF 插件
Java 插件

  扩展
  扩展,顾名思义,是用来扩展浏览器自身的功能。所以,扩展可以调用浏览器自身的 API,但是大部分扩展【不能】调用操作系统的 API。
  一般来说,扩展是跟操作系统无关的。比如 Firefox 的大部分扩展,既可以用于 Windows 平台的 Firefox,也可以用于 Linux 和 Mac 的 Firefox。

举例:
俺曾经推荐的 GreaseMonkey,就属于扩展。

◇插件和扩展在安全方面的差异


  由于插件比较底层,一旦出现高危漏洞(比如能够执行本地代码的漏洞),攻击者就可以在操作系统中植入木马。可以这么说,插件出现漏洞,其危险性类似于浏览器出现漏洞。
  相对而言,扩展出现漏洞,其危险性往往不如插件严重,通常也不会导致攻击者植入木马。

◇尽量使用口碑好的扩展


  虽然扩展出漏洞导致的危险性不如插件那么高,但也不能掉以轻心。
  俺的经验是:尽量使用知名度高且评价好的扩展。这样的扩展通常成熟度也比较高——即使出了漏洞,更新也比较及时;这类扩展也会有更多安全研究人员对其进行研——即使有漏洞,也更容易被发现。
  反之,对于某些很少人用的扩展,最好敬而远之。顺便提一下。某些层次低的入侵者,甚至会把木马伪装成浏览器扩展,再忽悠一个很花哨的功能,然后放到网上给大伙儿用。

◇尽量避免使用【插件】


  从上述对比可知,插件如果出现漏洞,危险性很高。所以,俺的建议是:尽量避免使用【插件】
  不过捏,避免使用插件,说起来简单,但是做起来有点难度。其它插件,说不用就不用了。但是 Flash 插件,实在是用得太广泛了(视频网站用到它,网页休闲小游戏也用到它),估计大伙儿难以割舍啊。
  不幸的是,Flash 插件又最危险。一方面是因为 Adobe 的程序猿,安全意识太差;另一方面是因为 Flash 是用得最多的插件,成为攻击者的重点研究对象。根据2011年的统计数字,去年一年,光是【高危漏洞】,Flash 就爆了4次——当之无愧地坐上漏洞排行榜的头把交椅。
  面对 Flash 插件,该咋办捏?列位看官,请听下回分解。(下一篇会尽快发布)


回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2012/08/howto-prevent-hacker-attack-5.html

126 条评论

  1. Maxthon傲游3浏览器咋样啊?这个浏览器集成了很多实用的扩展,也有谷歌的内核,就是谷歌版本号比原版谷歌低一些,翻墙也很方便,我用这个浏览器已经很习惯了,听说这个浏览器在国外与别的浏览器评比中评分也不低,也打入了国外市场,请问这个浏览器安全吗?

    回复删除
  2. 俺从来不用国产浏览器的.安全问题倒在其次,之所以不用,一个更重要的理由是......一点创新意识都木有.他们有的功能IE、Chrome、firefox什么的都有,我还用他们作甚?呵呵.而且用的都是国外的内核.想想看,命脉都在别人手里......
    chrome和firefox的插件真的很丰富,连翻墙用的插件都有,所以我很喜欢.IE虽然差点,也还算凑合.

    回复删除
  3. 还有opera使用的Presto内核。另外safari已经不支持windows,可以去掉了:)另外想问问linux的小众化浏览器Konqueror是否安全

    回复删除
  4. 嘿嘿 编程又勤奋发文了……

    这个年代,各种木有安全感,肿么办哦~

    可否推荐一款个人电脑用的杀毒软件呢,买是否有必要?

    回复删除
  5. TO 1楼的网友
    先纠正一下,傲游浏览器用的不是谷歌内核,而是 WebKit 内核。
    由于俺不用这个浏览器,了解不是很多。
    如果它的内核,真如你所说,版本号比 Chrome 低,那说明它更新不够及时(不好)。


    TO 3楼的网友
    多谢提醒 :)
    由于 Presto内核 比较小众,所以俺在文中没有提及。
    除了俺提到的那三款内核,其实还有很多名气不大的小众内核。

    说到 Safari 6 不再支持 Windows,俺不得不再次抱怨一下“苹果缺乏开放的心态”

    至于 Konqueror,确实很小众(很多人都没听说过)。
    Konqueror 的问题在于如下:
    虽然同为开源社区,但是 Konqueror 的开发团队可能不如 Firefox 的开发团队。
    另外,Konqueror 的扩展也不如 Firefox 丰富。比如 Firefox 有一些很成熟,用户量很大的安全类扩展。


    TO Jnn
    说到杀毒软件,俺建议用国外知名的几款。
    比如赛门铁克、麦克菲、等等。

    至于是否买正版,主要看:
    自己的经济实力
    自己是否介意用盗版
    购买是否麻烦

    俺个人觉得,用不用盗版的杀毒软件,跟安全性关系不大。

    回复删除
  6. 乔布斯跟adobe死嗑就是老乔觉得他不安全。。。

    噢,对鸟。中档爱国怎么还没来?

    回复删除
    回复
    1. 苹果的手机系统一开始就不支持 Flash,据俺所知,至少有两个因素:
      1、安全问题
      2、耗电问题

      删除
    2. 这种纯技术贴,忠党爱国是没有兴趣滴,呵呵.
      江湖传说adobe flash player确实不安全,有好多漏洞,可是俺们又不得不用,唉~~

      删除
  7. To 编程随想
    俺不介意用免费版的,关键是只能用个试用期。怎么能够长期用捏?正为此事发愁呢~

    回复删除
    回复
    1. 据俺所知,赛门铁克的 SEP(Symantec Endpoint Protection)是企业版,无需破解,无需 License,可以一直用下去。

      删除
    2. 再弱弱的问下,能否给的下载的链接呢?貌似俺找不到-_-\\

      删除
    3. https://hostedendpoint.spn.com/

      删除
  8. Firefox/Chrome都有一些隐私保护或者提高访问安全性的插件。例如HTTPSEveryWhere和DoNotTrack,可以在开放网络中一定程度上提高安全性

    回复删除
    回复
    1. 在本系列的下一篇“Web相关的防范 (下)”,俺会介绍 Firefox/Chrome 的一些安全扩展。也包括你提到的 “HTTPSEveryWhere”
      至于 DoNotTrack,Firefox 直接就支持的。

      删除
  9. 可傲游浏览器是双核架构,我在此网站http://ip.wotula.com/的个性动态签名中显示我的傲游浏览器是Google chrome18.0.966.0,这不是chromium内核吗?

    我用傲游浏览器还有个原因,它有个资源嗅探器,可以下载嗅探到的各种资源(包括视频、音频、图片等),可谷歌没有这样的嗅探资源的扩展,我以前也用过谷歌,我在谷歌扩展中找了遍也没找到资源嗅探器,也没有找到类似火狐的可以嗅探下载音、视频的NetVideoHunter扩展。还有,谷歌的页面缩放从110%直接到了125%,又从125%直接到了150%,这样跨度太大不能调节想要的尺寸,不像IE那样可以自定义调节页面缩放尺寸,即便是傲游也是间隔为10。
    谷歌浏览器是好,可我装了十几个扩展后启动太慢,cpu和内存占用太大,上次为了更加纯净我把谷歌卸载了想重新下载,可是在谷歌官网在线下了半天却没有下载成功(可能是GCD封锁的原因),记得以前是先下载个在线安装包,现在是直接“接受并安装”,想在其它地方找个非在线安装包,可不能自动升级,又怕人为藏有病毒,我今天又下载了一次谷歌浏览器还是没有成功,还听朋友说,现在谷歌扩展下载应用中心上不去了,我现在用IE和傲游试了试还就是上不去了,IE显示说:Internet Explorer 无法显示该网页。用傲游显示说:无法连接到网站。看来,GCD对谷歌的封锁的确加剧了,这样会阻止很多的其它浏览器的用户转用谷歌的。

    回复删除
    回复
    1. 呃,有回复了?Very good!

      谷歌扩展还真没有资源嗅探器,我也想找这个扩展也没有找到,我们只好请教“编辑随想”了。

      删除
    2. 关于“资源嗅探器”
      俺之前没用过。
      刚才搜了一下,貌似有一个“视频资源嗅探器”,是 Firefox 的扩展。
      另外,Firefox 在页面上点右键,有一个“查看页面信息”。
      可以帮你列出该页面中的“媒体”(图片、音频、等)。
      是不是能满足你的需求?

      关于“页面缩放”
      貌似 Firefox 的页面缩放,颗粒度还比较细。

      关于“Chrome的资源占用”
      俺已经听到好几个网友抱怨 Chrome 占用内存太大。

      删除
    3. 编程啊,我是“回复”中的一楼,你是让我们用火狐吗?我可是用的谷歌呀,我也安装着火狐,可我在看图片时,觉得火狐不于谷歌显示的清晰,同一张图片,火狐模糊一些,而谷歌则十分清晰,你可以在一些网站中比较一下,再就是火狐启动也太慢了,不过谷歌占用内存就是大一点,而且启动谷歌浏览器时CUP显示到了100%,随后下降到0,火狐在启动时CUP比谷歌低一些,请问您,是不是谷歌在启动加载时对CUP的冲击伤害大一些呢?可我还是觉得谷歌好一些,可能是我用的时间长的缘故吧。

      我叹息的是,怎么没有人把火狐的资源嗅探器扩展修改一下放到谷歌应用商店去呢?

      谷歌的页面缩放在Preferences中可以修改一下,我调到了118%,这样在上新浪和搜狐等一些网站时就不会出现字行与字行交错重叠或内容缺失的现象,但有个问题,如果在小扳手中调节一下缩放,就会重回到原来谷歌内定的设置。

      我听朋友说,谷歌在配置高的电脑上非常好用,才能发挥出谷歌浏览器的最佳性能来。

      删除
    4. TO 楼上
      Chrome 占用内存大,估计是因为它采用多进程的架构。
      你提到的看图片的差异,俺之前倒没有碰到过。
      Firefox 启动慢的问题,貌似最近几个版本有改善。
      不过 Firefox 吃内存也很厉害,但比 Chrome 好一些。
      关于 Chrome 启动瞬间的 CPU 占用问题,有可能是它在分配一些内存资源或者做某些初始化。

      删除
  10. To:楼上
    怎么说呢......我没翻墙就成功下载了Google Chrome,而且也可以上Chrome扩展,真的,今天我刚去Chrome扩展逛了逛,代理、VPN、翻墙软件什么的全都没用,就这么上去了,不过是用Chrome登上去的.你可以试试先去个chrome, 然后再用chrome上chrome扩展.不过google官网上的链接好像确实死翘翘了,你可以去别处下载.至于GFW,直接无视吧,依我看它就是个浪费天朝纳税人血汗钱的垃圾.

    回复删除
  11. 谷歌浏览器的扩展网站我也不能打开了,点击后显示“Chrome Web Store
    目前无法获取该应用。”

    点击“设置”中的“帮助”也不行,显示“无法显示此网页
    与 support.google.com 的连接已中断。”

    楼上有的说可以打开,我怎么也不行呢?难道是因地域?这该如何是好啊?

    回复删除
  12. 免费的杀毒软件是很多的,avira、avast最好,还有AVG、comodo等,如果你的系统是正版的,可以用微软自家的MSE。
    免费防火墙就少了,Comodo防火墙不错,但需要一定的电脑技能,一般用户比较难用。

    回复删除
    回复
    1. 如果想要免费的防火墙,可以考虑用 Windows 内置的。
      从 Windows 2000 开始,就已经有内置防火墙的功能。
      对于普通用户,Windows 内置的防火墙基本上可以满足需求。

      删除
  13. http://igfw.net/archives/11375
    这个网站收录了博主这篇文。

    回复删除
    回复
    1. 俺写的 翻墙贴 和 网络安全贴,经常会被 igfw 和 GFW Blog 转载。

      删除
    2. 博主,我在igfw上确实看到了你的博客.很实用哦. 继续努力吧. 操他娘的GFW!

      删除
  14. 我用的是chrome浏览器, avg杀毒软件,win7系统。请问楼主我需不需要再安装防火墙软件?谢谢

    回复删除
    回复
    1. 从 Windows 2000 开始,就已经有内置防火墙的功能。
      你可以考虑直接用 Win7 内置的防火墙。
      对于普通用户,Windows 内置的防火墙基本上可以满足需求。

      删除
  15. I am extremely impressed with your writing skills as well as with the layout
    on your blog. Is this a paid theme or did you modify it yourself?

    Either way keep up the excellent quality writing, it
    is rare to see a great blog like this one these days.
    My website - Montaz sprzedaz komputerow na zamowienie eBusiness zarabianie w Internecie

    回复删除
    回复
    1. Do you understand Chinese?

      删除
    2. 我对楼主的国籍很感兴趣......
      那段蓝色的字好像是波兰文来着......

      删除
    3. 确定是波兰文?要是这位老兄的blog是英文我们还能交流下,波兰文,碉堡了。

      删除
    4. 老兄,我用google翻译试了试,确实是波兰文,大概是一个卖电脑的电子商务网站.这家伙,不会真是波兰人吧?

      删除
  16. 我的谷歌扩展应用店也被禁了,改了DNS后又可以了,但过一会儿又不行了,就如同楼上的那位说的“Chrome Web Store
    目前无法获取该应用。”一样,必须要翻墙才行,为什么换了DNS过一会儿就不行了呢?

    回复删除
  17. 请问博主这个检测工具 PowerToolV4.2 怎么样?你用过吗?网上说不错,可以检测出很多病毒,你认为呢?

    回复删除
  18. 安了小红伞还可以再安MSE吗?是正版系统。

    回复删除
  19. TO 楼上各位朋友
    本人是Firefox的粉丝,从FF4.0一直用到现在的FF15,对其稳定性/灵活性/安全性以及资源占用度都非常满意,对身边朋友同事也是大力推荐。还有个非常重要的,就是不要选择Firefox的中国定制版,而应该选择国际版或者英文版加xpi语言包,干净安全,你再自己定制。

    正如上边有朋友提到的,灵活使用其扩展对保护你的隐私很必要,比如HTTPS everywhere,Do not track,showip,showlocation等等,也希望博主能介绍更多相关的扩展供大家选择使用。

    关于chrome,试用一段时间就放弃了,因为个人感觉这个浏览器对系统资源的占用比较高,特别是对配置比较一般的机器用起来比较吃力,定制性比较差也是重要因素。国内的任何浏览器都不要碰,搜集你的个人信息那是毫不含糊的,你可以看看现在的3B大战,各个网站都有几个流氓的互掐表演,其中的手段让我很担忧个人隐私,所以嘛,国产的就一边凉快去。

    对使用IE的朋友,你需要一个host文件帮助你更好的翻墙,你可以google下host 翻墙,配合指定dns,效果还是可以的。不过现在GFW对这个封锁也很厉害,所以我都是赛风/host/Goagent/VPN多管齐下,保证随时都能上Internet。

    最后海盗湾正在提供免费的VPN,你可以在http://internet.solidot.org/article.pl?sid=12/08/28/0110254 这个页面看到介绍和软件下载链接,然后把附带的软件卸载,你就可以安心享受VPN了。我试用了下,感觉还可以。希望能帮到你们。Good luck!!

    回复删除
    回复
    1. http://internet.solidot.org/article.pl?sid=12/08/28/0110254此网址下面可写着:北京市公安局海淀分局备案号:1101082134

      删除
    2. 海盗湾又不是匪共的网站,他的VPN可以放心用。solidot还算是个打擦边球的技术网站了,不少墙外的新闻都有转载。

      删除
    3. TO 楼上的楼上
      solidot.org 是位于墙内的一个 IT 新闻类网站。跟海盗湾没有关系。

      删除
    4. 我们这地赛风不能用了,到赛风官网下载了最新版也不行,有时旋转的箭头图标绿一下马上又变黑了,停在那里一动不动,再点击,过半天还是连不上服务器,你们还能用吗?

      删除
  20. 16楼朋友,如果舍不得花钱买正版防火墙,又找不到合适的免费防火墙,就好开启Win自带防火墙,配合杀毒软件,基本可以了,至少,比没有防火墙安全得多了。

    回复删除
  21. 17楼朋友,安装两个杀毒软件会有冲突,小红伞是比较强的杀毒软件,就是免费版每天自动更新病毒库会弹出一次广告;MSE也很强,而且没有广告。根据自己喜好用吧。

    说明一下,我不是楼主,18楼也是我的回复。

    回复删除
  22. 博主啊,帮帮忙吧.我的google扩展今天貌似也被禁了啊.

    回复删除
  23. 我是20楼
    刚才google扩展正常了一下,现在又没气了.会不会又是GFW在捣鬼啊?我估计google扩展应该不会被封,但google恐怕要做好长期抗战的准备喽.

    回复删除
  24. TO 25楼
    GFW有个特征就是让被黑的对象表现出不稳定的假象,像GOOGLE,有时能用有时不能用,不明真相的群众还以为是GOOGLE不好用呢(天朝电脑小白很多的),应用扩展商店也是同样的道理.因为GFW不是死的,它的黑白名单也会自动调整.

    呵呵,博主这么快就把楼层功能加上了,不错啊.有时间还可以优化改进下,楼层这几个字太突出有点抢注意力,突出重点,淡化但保留次要信息(SORRY 我跟你一样是编程的,不是挑刺,只是个完美控).

    回复删除
    回复
    1. 关于 GFW,俺同意你的看法。
      这是 GFW 很阴险的一招。
      比如有一段时间,GFW 会对 Gmail 的 HTTPS 进行随机性丢包,人为劣化 Gmail 的网络传输质量。

      非常感谢给俺提意见。
      今天下午在捣鼓 BlogSpot 的评论功能,界面细节还没来得及微调。
      刚才把“缩进式评论”搞出来了,相比原来,好用多了 :)

      删除
  25. 对了,再说说我用的浏览器,我电脑上安装了Ghrome,firefox,枫树三种浏览器,因为习惯原因,我一般用枫树,也不错的,它是基于Ghrome浏览器的开源项目开发的.推荐大家还是用原版的Ghrome(谷歌浏览器),有些习惯使用的功能如果没有话,可以安装扩展功能的.

    回复删除
    回复
    1. 我也在用枫树,是最新绿色版,说实话,枫树还是不错的,还有侧边栏,优化的比较好。听说还有一个基于谷歌内核的国外浏览器,隐私很强,不知是什么名字了,听说这个浏览器比谷歌还要安全,

      删除
    2. 应该是Chrome浏览器吧?国产浏览器都和伟光正合作监控你的,不知道有什么好的。

      删除
  26. 想问一下,安全性方面用http://firefox.com.cn这里的火狐没问题吧

    回复删除
    回复
    1. 这是兲朝版的

      删除
    2. 虽然 http://firefox.com.cn 还没有出过啥大问题。
      但是俺下载 Firefox,还是去 Mozilla 的官网,比较放心。

      Mozilla 的官网的下载链接如下:
      http://www.mozilla.org/en-US/firefox/all.html
      可以选择各种不同语言的版本。

      删除
    3. 这是北京谋智网络技术有限公司的

      删除
    4. 怎么有这么多回复选项?

      删除
    5. TO 楼上的网友
      BlogSpot 默认的中文提示比较土。
      俺把其中一个“回复”改成“折叠/展开”

      删除
  27. TO 博主

    我是18楼的网友,你怎么不回答俺的问题啊?这个软件怎么样啊?

    博主的楼层功能显示了,太好了,这样以后就不用说“楼上的楼上的楼上了”博主就可以说“TO 18楼”了。赞一个。

    对了,附上此检测软件的网址:http://hi.baidu.com/ithurricane/item/521dd0c82b08e41150505821,在新浪和腾讯有他的微博。

    回复删除
    回复
    1. 你就是提问 “PowerTool” 的网友吧?
      俺下午在折腾评论功能,刚才已经回复你了。

      顺便说一下,俺博客的评论已经支持“针对某条留言的直接回复”。以后再也不用数楼层了 :)

      俺之前没用过 PowerTool。
      刚才看了一下你给的链接,感觉它是个比较小众的工具,而且是国产的。
      说实话,俺个人对国产的杀毒工具,不太放心。
      另外,它貌似不开源,但却在 Google Code 提供下载——这不符合 Google Code 的条款。

      删除
    2. 我基本都是把win7的权限开高点,然后FF+各种安全扩展裸奔咯。

      删除
    3. TO 编程随想

      power tool 在google code 提供下载,那此软件可以放心用吗?我下载了可没有用过一次,看到评论说能够检测到杀毒软件所不能检测到的病毒等,隐藏的病毒都能够检测并删除掉,貌似该软件很强大的,纠结啊,是用呢还不不用呢?

      删除
    4. TO 沦陷区居民

      win7权限怎么调的高一些?在哪调?你不用杀毒吗?这也太可怕了。

      删除
    5. 就是UAC嘛,你到控制面板搜索UAC,拉到最高,任何程序想要动你的系统都会弹出通知你,你自己决定要不要提供权限。杀软对系统来说并不是绝对必须的,用好windows系统自己的限权功能,特别是组策略都足够了。再用Firefox或者Chrome装好扩展,哪那么容易中毒呢。

      卡巴/小红伞/麦咖啡/Norton什么的都用过了,时间长点我就发现总有这样那样的不爽。就是Win8自己带的MSE也很垃圾,卡exe后,台狂读硬盘很烦人。

      好多病毒都是杀软公司自己开发出来吓唬用户,刺激杀软销售的。

      删除
    6. TO 沦陷区居民

      UAC就是用户账户控制,我看到是默认的,于是我把它设置到了最高,可杀毒软件升级或者我从网上下载东西并没有出现提示,那会不会有些病毒木马会自动下载到电脑呢?我感觉还是不可靠。

      删除
    7. 如果在每个回复的留言下再有个独自的回复那该多好啊。

      删除
    8. TO 楼上
      你说的
      “每个回复的留言下再有个独自的回复”
      是不是现在这个样子?

      删除
    9. 好像不是这样呢,我记得美国之音搞过在每个回复下边还能回复,让你知道你回复的是谁的留言,这样就不用关心楼层和标明TO XXX 这么麻烦了。编程兄还能再改改吗?

      删除
    10. PowerTool在 Google Code 提供下载,不符合 Google Code 的条款怎么会提供下载呢?没有原则性这可让人们怎么放得下心呢?博主建议我们使用吗?

      删除
    11. TO 沦陷区居民
      美国之音网站的评论功能貌似可以缩进 N 层。
      但是 BlogSpot 的评论,貌似只能有 2 层。
      俺再去研究一下,看是否能做到缩进 N 层。

      删除
    12. TO 樱桃
      通常来说,在 Google Code 提供下载的,应该是开源项目。
      貌似 PowerTool 没有开源,所以放在 Google Code 上不符合 Google 的条款。
      不过,PowerTool 的作者也不一定是有意违反条款。

      对于 PowerTool,俺主要担心的是:
      国产软件,而且比较小众。
      由于用户群比较小,软件本身是否有缺陷,不容易知晓。
      而且它貌似还不开源 :(

      俺建议观望一段时间。
      如果这个软件确实很牛,用户数和知名度自然会大幅提升。到时候再用也不迟。

      删除
    13. to沦陷区居民
      哈哈哈哈,终于看到和我一样裸奔的人啦。
      什么杀毒软件、防火墙统统得不要,手动监控,一旦发现行为异常者,直接干掉!

      删除
    14. TO fggv
      裸奔不是好习惯。
      就算不装杀毒,至少主机防火墙需要装一下。

      删除
  28. 国产浏览器都垃圾!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!!

    回复删除
    回复
    1. 完全赞同,搞来搞去就是换个外壳,里子都是窃取用户隐私。

      删除
  29. 博主,咋不显示楼层了?刚才还显示呢

    回复删除
    回复
    1. 多谢提醒 :)
      刚才把评论搞成缩进形式,出了 Bug,导致楼层没显示出来。
      现在改好了。

      删除
  30. 我常常想,如果别人是一台新电脑,没有翻墙软件,又是小白,没有翻墙软件就不能翻墙,不能翻墙就不能下载各种翻墙软件,没有第一个翻墙软件,怎么在不翻墙的情况下弄第一个可用的翻墙软件翻墙呢?翻墙还是普及的不够啊。

    回复删除
    回复
    1. 请看俺之前的博文《获取翻墙软件方法大全》
      http://program-think.blogspot.com/2011/03/how-to-get-gfw-tools.html

      教你在不能翻墙的情况下,搞到翻墙软件。

      删除
    2. 1.【一句话翻墙】“白鸽,真象,长城,河蟹,目田,穿墙,柏林墙,英雄” 八个词任选三个在一起搜(用谷歌)
      2.QQ翻墙群
      3.在QQ里问别人要
      4.有些翻墙资料你可以事先存放在网上某处(如网盘等)

      删除
    3. “白鸽,真象,长城,河蟹,目田,穿墙,柏林墙,英雄” 不会被和谐吗?

      删除
    4. 可以用https协议的google搜索啊(不要用http协议的),根本就木有敏感词的,哈哈, 自由门,无界什么的一搜一大堆.

      删除
    5. 下面这个链接搜索就不会被和谐,仔细看前面是https加密的,GFW识别不出搜索时用到的敏感词的.
      https://www.google.com.hk/webhp?hl=zh-CN

      删除
    6. HTTPS 是加密的,所以 GFW 无法进行敏感词过滤。
      但 GFW 很下流的,有时候会把 Google 的 HTTPS 端口的流量全部屏蔽掉。

      删除
  31. 博主,告诉你一个好消息.blogger首页现在可以在不翻墙的情况下用https协议连接上去,我刚刚试过了,速度还可以. 只是你的个人博客似乎还不行. 博主你可以试试让你的博客支持https协议,这样能来看你的网友会更多的.呵呵,博主,试试吧.实在不行就给google提建议,让他们帮你做.

    回复删除
    回复
    1. blogger首页用htttps,只是要加密用户登录资料。所有Google服务登录时都是https的。相信blogger还未全面部署https,这个确实很遗憾。大家也可以趋促一下Google。

      删除
    2. TO 消灭苏联第二
      俺刚才测试了一下,貌似 Blogger 还不支持 HTTPS :(
      如果 Google 不提供支持,俺就没辙。
      在界面上,Blogger 的定制功能很强;但是在后台方面,基本上没法定制 :(

      删除
  32. 凡是Google的服务,GFW故意丢数据包,可不管你http、https、敏不敏感。

    回复删除
  33. 这里收集很多不错的文章,每天更新,如果你有Google账户,登录后能看到更多文章。https配合hosts文件,基本不用代理就可以访问。
    https://www.google.com/reader/view/feed/http://feeds2.feedburner.com/chinagfwblog

    回复删除
    回复
    1. GFW blog 是一个不错的翻墙类博客。
      俺写的翻墙扫盲教程,有推荐过它。

      删除
  34. To 编程随想
    点“回复”按钮,不起作用哦。只是浏览器的状态栏出了个“javascript:;”。是不是还有问题哦?

    回复删除
    回复
    1. 俺可以回复。
      如果你在浏览器的状态栏看到“javascript:;”,有可能你是打开新的标签页(比如 Firefox 里点鼠标中键)。

      删除
    2. 俺是点鼠标左键的。不过现在好了 :)

      删除
  35. 怎么有两个回复?比如说38楼 JUN 中有一个回复,在38楼楼主下面的回贴下还有一个字体粗一些的回复,我发现点击哪个回复都一样。

    提个建议,楼层界面方框中的颜色与回复方框中的颜色不一样就好了,比如说,在38楼JUN留言的方框界面是现在的颜色,38楼下的回复应该颜色再浅一些会更好,这样主次更加分明。

    回复删除
    回复
    1. 多谢提建议 :)

      那两个“回复按钮”功能是一样的。
      主要是考虑到缩进的回复可能会很长,为了方便点击,所以放了两个。

      由于天色已晚,关于颜色的问题,俺明天再微调一下。

      删除
  36. 种种迹象表明,兲朝的经济眼看就要崩溃了,非藏富于民的政策崩溃是必然结果,过去几年在世界上狂吹“风景这边独好”完全是意淫,独裁下的经济严重下滑必然导致共匪在网络上的严加封锁与控制,内忧外患,共匪将会在十年内彻底倒台完蛋,请相信我!民主是有希望的!

    回复删除
    回复
    1. 前两周,俺刚发过一篇博文:
      [http://program-think.blogspot.com/2012/08/weekly-share-17.html 每周转载:关于天朝近期的宏观经济数据]

      从各国独裁政权垮台的历史来看,大部分案例都是由经济问题引发的。
      估计天朝也不会免俗。

      如今的当务之急,是尽快普及民众的心理素质和政治素质,为今后发生的政治变革做好准备。

      删除
  37. 磨刀霍霍向土匪2012年9月2日 22:05:00

    如果博主把此博客修改一下,能够在回复留言处发送图片就完美了,有时只用语言不于一张图片说的明白,就像国内的搜狐微博那样,这一点儿博主能办到吗?期待中……

    回复删除
    回复
    1. TO 磨刀霍霍向土匪
      在回复中发图片,貌似有点难度哦。
      俺得去研究研究。

      因为俺博客是搭建在 Google 的 Blogger 平台上。
      如果某个功能,Blogger 平台不支持,就比较难办 :(

      不过有一个折中的办法:
      可以在留言中包含某图片的链接,然后俺在留言的节目上实现图片的预览。
      (为了便于识别,链接需要以 jpg png gif 等后缀结尾)

      删除
  38. 扩展可以调用浏览器自身的 API,但是大部分扩展不能调用操作系统的 API。
    =========================================================================================
    扩展调用浏览器的API,是不是这样的扩展知道用户的隐私更多?知道的隐私更多是不是意味着这个扩展的权限更大?有的扩展如果藏有木马程式会监控上传用户的所有信息。藏有木马的扩展上传到扩展下载官网怎么懂这行的就看不出来呢?不经审核吗?

    回复删除
    回复
    1. 常规的扩展无法调用操作系统的 API,只能调用浏览器的 API。
      所以,大部分扩展只能获取跟浏览器相关的用户隐私(比如 cookie、浏览历史、等)。

      但是插件可以调用操作系统的 API,理论上啥都可以干。
      不但可以拿到浏览器层面的用户隐私,还可以拿到其它隐私。
      如果插件遭到缓冲区并被植入木马,木马可以拿到你的网银、QQ号、私人照片、等等。

      删除
  39. 据知情人透漏,奇虎360公司作为我国知名信息安全企业,已经成功加入中国GFW防火长城计划,为中国的信息安全事业保驾护航。早在在2005年的时候,奇虎360就已经特派两位高管齐向东、石晓虹加入研究搜索引擎安全管理系统,助力该项目的成功。

      据了解,GFW防火长城计划主要负责人为方xx博士,为中国的信息安全工作做出了很大的贡献,其主要产品为搜索引擎安全管理系统,该系统系统接入简单,易于部署,适用于绝大多数现有的搜索引擎,可以满足现有国内日查询量的处理要求。该系统已实际部署一些国内较大的搜索引擎,取得了良好的使用效果。全面推广和部署该系统,将为净化国内互联网空间提供有力保障。

      奇虎360方面拒绝透露其在GFW防火长城计划中承担的任务与角色,但从目前获得的一份资料来看,该项目落实在北京三际无限网络科技有限公司,主要完成人里除了方BX在列,奇虎360的高管齐向东与石晓虹也名列其中。

      GFW,中文简称称中国国家防火墙、长城防火墙或万里防火墙,是对中国政府在其管辖互联网内部建立的多套网络审查系统(包括相关行政审查系统)的称呼。其英文名称得自于2002年5月17日Charles R. Smith所写的一篇关于中国网络审查的文章《The Great Firewall of China》,取与Great Wall(长城)相谐的效果,简写为Great Firewall,缩写GFW。

      经了解,搜索引擎安全管理系统提供了第三方的基于HTTP标准的规范高性能过滤接口,在输入和输出两个环节分三级进行有效的信息过滤;提供了统一管理平台,可以远程进行管理,经单点配置过滤策略即可实现全局同时生效,且策略下发过程可保证对过滤目标的保密要求系统可以采用分布式或集中式的部署结构。

    回复删除
    回复
    1. 多谢补充 :)
      俺如果有空的话,打算曝光一下 IT 行业中某些龌龊的公司。
      类似 360 之流的公司,有好多家。

      删除
    2. 建议楼主曝光 严重支持

      删除
    3. 顶 期待楼主更新

      删除
    4. 楼主 等着你曝光像360这样的龌龊公司 急等更新!

      删除
    5. 曝光一下 IT 行业中某些龌龊的公司 ,赶紧曝光。看看都是什么货色。
      360老臭了。

      删除
    6. TO 5单元 6单元的网友
      多谢提醒 :)
      俺会尽快抽空写一篇。

      删除
    7. 请问博主金山毒霸有没有后门监控进程。

      删除
    8. 坐等曝光中……

      删除
  40. 请教博主

    哪家网盘比较好,115和微软的呢?google云端硬盘呢?金山T盘呢等等

    回复删除
    回复
    1. 国内的网盘,俺基本不用,所以不好比较。

      国外的话,俺个人比较看好几个大公司的网盘:微软、Google、亚马逊。
      这三家,微软的 SkyDrive,免费容量最大(老用户有 25G)。
      Google 的 GDrive 跟 Google Docs 整合得不错。但是 GDrive 有个弱项——总是被 GFW 骚扰。
      亚马逊的云计算,推出的时间最长,成熟度比较高。

      至于名气很大的 DropBox,俺反倒不太看好。
      其一,它是小公司。
      其二,它在安全方面,出过一些问题。

      删除
    2. 我觉得如果朝廷真的盯上你了,再怎么防范都没用:你不可能只访问https网站。而任何http访问都可以被劫持,然后通过0day漏洞入侵你的系统(我绝对相信朝廷手上掌握有各个操作系统和浏览器的0day漏洞)。

      删除
    3. TO Ono Oogami(小野大神)
      对于信息安全领域而言,没有绝对的安全。

      但是,你担心的那几个问题,对俺来说其实是小菜一碟。
      1、对于你提到的 HTTP 劫持
      俺如果以“编程随想”的身份上网,通常只访问 Google、Twitter 等国外知名站点,不会访问国内网站的。对于这样的网站,朝廷的黑客很难做手脚。
      其次,俺不管以什么身份上网,都会走多重代理(使用翻墙工具+TOR,具体配置,本系列已经介绍)。TOR 的加密是比较靠谱的。

      2、对于你提到的 0day 漏洞
      俺可以很肯定地告诉你,朝廷的御用黑客手中确实有未公开的 0day 漏洞。而且有好几种。
      (更多的细节,俺不便多说)。
      但是,
      即使朝廷的黑客可以入侵 Google 等大型站点并在页面中植入“0day漏洞”的攻击代码(这种可能性极其微小),然后俺又正好倒霉,访问了此页面,也没有关系。
      为啥捏?
      俺稍微调一下胃口,留到本系列的下一篇:《Web相关的防范 (下)》再介绍。

      删除
  41. 楼主是网络安全领域中的牛人一个,膜拜!

    回复删除
  42. 博主,你挖的坑何时填平啊?这都几个下篇了?

    回复删除
    回复
    1. 抱歉,让大伙儿久等了 :(
      本周会发布《Web相关的防范 (下)》

      删除
    2. [url=http://program-think.blogspot.com/2012/09/howto-prevent-hacker-attack-6.html]刚才发布了《Web相关的防范 (中)》[/url]
      本来计划写成“上、下”两篇,结果今天写完才发现两篇写不下。只好写成“上、中、下”三篇。

      删除
  43. 在convenience.ini中写着CLASSNAME=Chrome_WidgetWin_1
    这文件安全吗?

    回复删除
    回复
    1. 这只是个配置文件,本身是没有危险性的。
      你为啥觉得此文件可疑?

      删除