★如何防范浏览器和插件的漏洞?
在前一篇已经告诉大伙儿“如何选择浏览器”。但是光知道这个是不够滴!因为浏览器也是软件,只要是软件就可能会出现漏洞(包括安全漏洞)。
即使你按照俺的建议,选择 Firefox 或 Chrome 作为日常的浏览器,也【无法完全避免】浏览器自身出漏洞的问题。而且浏览器的漏洞中,有一些是没有补丁的高危漏洞(包括“未公开漏洞”&“零日漏洞”,俺在前面的帖子里介绍过)。因为没有补丁,所以这类高危漏洞就特别危险。这就引出了第一个问题:如何防范浏览器的漏洞?
另外,在浏览器插件中,Flash 插件既是最危险的插件,也是使用最广的插件。这就引出了第二个问题:如何安全地使用危险的插件?
要解决上述2个问题,可以使用同一个原则,那就是:【对浏览器进行隔离】。具体的隔离方式有很多种,今天俺由浅入深,分别介绍一下。
★“多浏览器”的方案
◇操作步骤
这招是最简单的——就是在一台电脑上安装多款【不同内核】的浏览器。具体步骤俺就不多说了,节约点口水。
◇优点
1. 解决网银的问题
前面提到了国内网银依赖于 IE 的问题。但是 IE 的安全性又不如 Firefox 和 Chrome,咋办捏?最简单的办法就是同时安装两款浏览器(比如 IE + Firefox)。平时你上网的时候,用 Firefox,需要用网银,则改用 IE。
由于你仅仅在使用网银的时候,才开启 IE,大大降低了 IE 被入侵的机会。
2. 解决跨站脚本(XSS)的问题
使用多种浏览器,还可以帮你解决跨站脚本攻击的问题。
单纯的XSS攻击,主要是依赖 JavaScript。而 JavaScript 只能在浏览器进程内起作用,无法跨浏览器进程。所以,如果你同时使用 A B 两款浏览器。如果 A 浏览器发送 XSS 攻击,通常不会影响到 B 浏览器。除非这个 XSS 攻击结合了浏览器漏洞或插件漏洞。那么,多款浏览器是否能防范浏览器漏洞和插件漏洞捏?请看往下看。
3. 部分解决高危插件(Flash)的使用问题
俺在上一篇提到了利用 Flash 入侵 Gmail 的案例。
比方说,你同时用 Firefox 和 Chrome。其中 Firefox 安装 Flash,用来上普通的网站;而 Chrome 不装或禁用 Flash,专门用来上 Google 的相关服务器(比如 Gmail)。
某天,你收到一封恶意的邮件,该邮件会利用 Flash 的漏洞来入侵用户的电脑。幸运的是,你用来访问 Gmail 的 Chrome 上没有 Flash 插件(被禁用),于是攻击者的阴谋没有得逞 :-)
◇缺点
1. 无法彻底解决浏览器漏洞和插件漏洞的问题
细心的读者会注意到,刚才那个小节的标题是
部分解决高危插件(Flash)的问题。为啥俺要特地强调【部分解决】捏?因为浏览器的漏洞和插件的漏洞有很多种。有些漏洞只是让浏览器崩溃,无伤大雅;而有些漏洞可以导致在本地执行代码,并且能进一步植入木马。一旦你碰到后者,即使你采用“多种浏览器”的方式,也抵挡不住。
某些天真的网友可能会问:浏览器厂商和插件厂商不是会升级补丁吗?但是问题在于,有少数一些漏洞是没有补丁的。为啥会这样捏?请看本系列上一篇《安全漏洞的基本防范》,里面介绍了"未公开漏洞"和"零日漏洞"。
不过别担心,俺后面还会介绍更高级的招数,来防范这种情况。
2. 灵活性不够
对于“多浏览器”的方案,还有一个缺点是不够灵活。
因为你要为每一种用途安装一款浏览器,如果你的用途比较多(比如:上网银、普通浏览、Web 邮箱、看视频),就要装好几款。
另外,有些用户就喜欢某一款浏览器,你让这些用户装好几款浏览器,他们会觉得不爽。
对于“灵活性不够”的缺点,大伙儿可以参考接下来要介绍的第二招——“多实例”的方案。
★【多实例】的方案
◇什么是浏览器的多实例?
所谓的浏览器多实例,有时候也称之为“Multiple Profiles”。
不论是 Firefox 还是 Chrome,默认安装的时候,只有一个实例(Profile)。和浏览器相关的各种信息,包括:插件、扩展、外观(皮肤)、页面缓存、cookie、等等,都存储在这个实例中。
反之,如果使用多实例,每个实例都具有独立的插件、独立的扩展、独立的外观(皮肤)、独立的页面缓存、独立的 cookie、等等。不同实例之间是相对隔离的,【不会】互相影响。
对于 Chrome,再特别提醒一下:
Chrome 同时支持“Multiple Profiles”与“Multiple Accounts”。但别把这两者搞混了。即使你配置了多个 Accounts,依然在【同一个】实例里。
◇操作步骤
多实例的配置,很多人不晓得。所以俺详细说一下。考虑到 Windows 用户居多,俺以 Windows 举例。Linux 和 Mac OS 的操作步骤大同小异。
多实例的 Firefox
对于 Windows 上的 Firefox,Profile 都放置于
%APPDATA%\Mozilla\Firefox\Profiles
目录下。假设你想创建一个【全新的】Firefox 实例,可以通过如下命令行来启动 Firefox。
"{PATH}\firefox.exe" -P "XXXX" -no-remote上述命令中,
{PATH}
表示你的 Firefox 的【安装目录】。XXXX
表示你要创建的【实例名】(实例名可以是任意字母组合,你也可以把 XXXX
改成其它名称)。运行完上述命令,Firefox 会启动出一个名叫
XXXX
的实例。与此同时,在 %APPDATA%\Mozilla\Firefox\Profiles
下会多出一个名叫 XXXX
的目录。按照上述方式依样画葫芦,你就可以启动出任意多个 Firefox 实例。为了省事,你可以把上述命令行做成一个快捷方式,放到桌面上,免得每次都敲键盘。
另外,Firefox 还提供了一个多实例的管理界面,用如下命令可以调出该界面。
"{PATH}\firefox.exe" -p
多实例的 Chrome
Chrome 类似于 Firefox,也可以通过命令行启动新的实例。
对于 Windows 上的 Chrome,由于 Chrome 安装的时候没让选安装目录,所以其【exe 的安装目录固定如下】:
Windows 7 或 Vista 系统
C:\Users\{USER}\AppData\Local\Google\Chrome\Application\chrome.exe
Windows XP 系统
C:\Documents and Settings\{USER}\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
上述的
{USER}
表示你的 Windows 用户名找到
chrome.exe
之后,接下来,你需要创建一个目录,用来存放新创建的实例。比方说,你用的是这个目录: X:\XXXX\
然后,通过如下命令启动 Chrome,就可以创建出新实例
Vista 或 Windows 7 系统
C:\Users\{USER}\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"Windows XP 或 Win 2003 系统
C:\Documents and Settings\{USER}\Local Settings\Application Data\Google\Chrome\chrome.exe --user-data-dir="X:\XXXX\"
按照上述方式依样画葫芦,你就可以创建出任意多个 Chrome 实例。为了省事,你可以把上述命令行做成一个快捷方式,放到桌面上,免得每次都敲键盘。
◇优点
1. 解决跨站脚本(XSS)的问题
这个优点跟“多浏览器”方案是类似的。俺就不再啰嗦了。
2. 部分解决高危插件(Flash)的使用问题
这个优点跟“多浏览器”方案是类似的。俺就不再啰嗦了。
3. 灵活性高
与“多浏览器”的方案相比,“多实例”的方案明显灵活多了。因为 Firefox 和 Chrome 可以创建出任意多个实例(只要你的硬盘够大,想建几个实例都行)。而且,这个方案可以满足某些 Firefox 粉丝或 Chrome 粉丝的个人偏好。
◇缺点
1. 无法彻底解决浏览器漏洞的问题
在这方面,“多实例方案”与“多浏览器方案”具有共同的缺陷——无法抵御具有【本地代码执行】的高危漏洞。包括浏览器漏洞和插件漏洞都有可能出现这类高危漏洞。
那么,该咋办捏,请看下一节——“多用户”的方案。
★【多用户】的方案
前面提到的两种方案,都无法防范某些浏览器或插件的高危漏洞。因为这些高危漏洞会导致在本地执行攻击代码,并有可能植入木马。现在,俺来介绍第三种方案——多用户方案。此方案可以防范大部分在本地执行的攻击代码。
先说明一下,此处的“用户”指的是【操作系统用户】。
◇某些高危漏洞为啥很危险?
俺前面反复提到“导致本地执行攻击代码的漏洞”。这样的漏洞是非常非常危险的。为啥捏?俺简单扫盲一下。
如果你的浏览器或者浏览器插件具有这类漏洞,当你访问某个恶意网页时,如果该恶意网页能够利用此漏洞,就可以在你的本地的操作系统中执行攻击代码。由于这个攻击代码是在浏览器的进程内触发的,所以该攻击代码就具有当前用户所具有的权限。
比方说,如今大部分网友都用 Windows 上网。并且,这些网友都是以“系统管理员”的身份使用浏览器。一旦碰到这类漏洞时,本地的攻击代码也同时具有了“系统管理员权限”。有了这么高的权限,攻击代码可以为所欲为。
某些网友可能会问:那不用管理员身份上网,是不是就没事了?
俺只能说,用低权限的用户身份(比如 Windows 里面的“Users 组”)上网,相对于用管理员身份上网,会好一些。但是捏,还是有问题。
举个例子:
即使你用低权限用户上网,一旦遭遇这类漏洞,攻击代码还是有可能植入木马。然后捏,这个木马有可能会查找你电脑上的各种私密文件(比如你的裸照)。然后木马会把这些私密文件发送给木马的主人。
从上述例子可见,用低权限的用户上网,【不能】彻底解决问题。所以,俺隆重推出第三种方案——多用户方案。
◇啥是“多用户方案”捏?
如今的桌面操作系统,无论是 Windows 还是 Linux 或 Mac OS,都可以创建多个操作系统用户,并且这多个用户可以同时运行程序。如果你用过 WinXP 的快速用户切换,应该对此深有体会。
多用户方案的关键在于:
你需要创建一个或多个【低权限】的“上网用户”(所谓低权限,必须低于你当前使用的用户权限)。这些“上网用户”专门用来访问各种网站。
假使你不幸访问了恶意网页,遭遇本地执行的攻击代码,问题也不大。因为这些上网用户的权限很低,所以它们触发的攻击代码,权限也很低。因此攻击代码就比较难钻空子。一般来说,对“上网用户”的权限限制得越严格,攻击代码就越难有作为。
◇操作步骤
1. 创建上网用户
如何在桌面系统中创建新的用户,大家应该都会吧?不会的同学,请看《避免使用高权限用户》一文的相关章节。上网用户可以只创建一个,也可以创建多个。具体建几个,看你的需求。
举例:
假如你非常看重网银的安全,可以创建两个上网用户,一个专门用来访问网银,一个专门用来上其它网站。
提醒一下:在这些上网用户的环境中,除了浏览器,其它啥软件都【别】装。
2. 设置上网用户的权限
再啰嗦一次,上网用户的权限,一定要低于你目前使用的用户权限。
以 Windows 为例:
在 Windows 中,常见的用户组的权限大小分别是:“Administrators 组” > “Power Users 组” > “Users 组” > “Guest 组”。
如果你平时用“Administrators 组”的用户,那么可以把上网用户设置为:“Power User”或“User”或“Guest”
如果你平时用“Power Users 组”的用户,那么上网用户就只能设置为 User 或 Guest。
以此类推......
(如果你想了解这些用户组之间的权限差异,可以参考本系列的第一个帖子《避免使用高权限用户》)
提醒一下:
Guest 用户组的权限是最低,低得难以想象。所以,从安全角度而言,把上网用户设置为“Guest 组”是最安全滴。但是,也是最麻烦滴。你需要进行好多设置——否则的话,你可能连浏览器都跑不起来。
所以,除非你对 Windows 系统比较熟悉,否则的话,俺【不】建议使用“Guest 组”的权限。比较理想的权限是“Users 组”。这个组的权限也比较低,但是用起来不麻烦。
3. 设置文件目录的访问控制权限(ACL)
每个人的电脑中,都会有某几个目录是用来存放你的敏感个人资料的。
你必须设置这些目录的访问控制权限(简称 ACL),设置为:“上网用户”所在的组【不允许读写】。这样一来,你可以把自己那些敏感的,私密的文件(比如自己的裸照),都通过上述 ACL 保护起来。即使“上网用户”遭遇高危漏洞的攻击,本地执行的攻击代码也【难以拿到】你的隐私(俺说"难以拿到",意思就是说,还是有可能滴,但是可能性很小,后面会解释)。
顺便提醒一下:对于 Windows 系统,只有使用 NTFS 格式的分区,才支持 ACL。FAT32 格式的分区是不支持滴!
如果你是个菜鸟,不懂得如何设置文件及目录的 ACL,没关系!Google 一下,你就知道。
4. 多用户浏览器共享同一个桌面的技巧
你可以直接用 Windows 提供的“快速用户切换”。对于 Windows 系统,从 WinXP 开始就提供了"快速用户切换"的功能。用它来切换用户还是很方便滴。但是这招有一个缺点:你一次只能看到某一个用户运行的软件,其它用户运行的软件看不到。
不过没关系,还有一个小技巧,可以让你在同一个桌面中,运行不同用户的软件(包括浏览器)。
假设你创建了 A & B 两个用户。其中 A 是主用户,用来完成你日常的工作;B 是上网用户。那么你可以先登录“A用户”,然后在“A用户”的桌面上创建一个浏览器的快捷方式。(如何创建快捷方式,就不用俺手把手教了吧)
用鼠标选中该快捷方式,在快捷菜单(右键菜单)中,选择“属性”菜单项。出现如下对话框。
在该对话框中,点“高级”按钮。出现如下对话框。把“以其他用户身份运行”选项打勾,就可以啦。
之后,如果你想在“A用户”的桌面上运行“B用户”的浏览器,只需点击该快捷方式,就会弹出如下对话框。然后输入“B用户”的用户名/口令,就能以“B用户”的身份运行浏览器。
刚才介绍的是图形界面的配置。对于习惯于命令行的 IT 专业人员,还可以用命令行的方式启动指定用户的某个进程。Linux 系统和 Mac OS 系统有
su
或 sudo
命令;Windows 系统有 runas
命令。◇优点
1. 解决跨站脚本(XSS)的问题
这个优点跟前两种方案类似,俺就不再啰嗦了。
2. 解决高危插件(Flash)的使用问题
这个优点跟前两种方案类似,俺就不再啰嗦了。
3. 防范各种浏览器漏洞
正如刚才提到的——前两种方案(多浏览器、多实例)无法防御浏览器及插件的某些高危漏洞(具备本地执行攻击代码的漏洞)。而“多用户方案”可以大大降低这类漏洞的危害性。使得攻击代码只能威胁到“上网用户”本身,而不会威胁到其它操作系统用户。
◇缺点
1. 初始配置稍嫌麻烦
相比前面两种方案,这个方案的【初始配置】比较麻烦。而且你要分清楚哪个用户是用来干啥的。不过捏,一旦用久了,习惯了,也就不觉得麻烦了。
2. 无法防范极个别高明的攻击者
“多用户方案”之所以可以隔离攻击代码,是因为如今所有主流的桌面操作系统,都能够在操作系统层面,对不同的系统用户进行隔离。因为有操作系统层面的隔离,所以才限制了攻击代码的危害性。
但是,操作系统层面的隔离,也不是百分之百可靠滴。不要忘了,操作系统本身也是软件,也可能出现安全漏洞。在操作系统的安全漏洞中,有一类漏洞叫做“权限提升漏洞”(简称“提权漏洞”)。所谓的“提权漏洞”,顾名思义,就是能够提升【当前执行代码】的权限。比方说,本来攻击代码没有管理员权限,通过"提权漏洞",就可以拿到管理员权限。
如果你的操作系统本身存在“提权漏洞”,同时你的浏览器或者插件存在“能够在本地执行代码的漏洞”,那么,高明的攻击者就有可能把这两者组合起来,对你的系统进行组合攻击。
不过大伙儿别担心——要实现这类组合攻击,需要同时掌握【未公开的】浏览器或插件漏洞,并且还要有【未公开的】操作系统提权漏洞(俺在前面的帖子里介绍过,“未公开漏洞”总是比“零日漏洞”更危险)。另外,攻击者还需要做很多准备工作,才能诱使你访问到恶意网页。一般的入侵者根本没有这个本事,也没有耐心去搞这些。反之,有这个本事又有这个耐心的入侵者,通常不会拿这种招数去入侵普通网友(这么做简直是大材小用)。所以,如果你只是一个普通的网友,在前面三个方案中挑选一个,即可。
估计有些好奇的同学会打听了。什么样的入侵者具有这种实力?什么样的人会成为他们的目标?
由于本文的篇幅已经很长了,俺稍微调一下列位看官的胃口,在《Web相关的防范(下)》再来八卦这些,同时也介绍一下比“多用户方案”更高级的方案。虽然这种方案很多人用不到,但俺还是会写出来,就当满足一下大伙儿的好奇心 :-)
回到本系列的目录
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2012/09/howto-prevent-hacker-attack-6.html?m=0
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想和本文原始地址:
https://program-think.blogspot.com/2012/09/howto-prevent-hacker-attack-6.html?m=0
114 条评论
虽然这几种方法都比较麻烦,但必竟安全性提高了
回复删除TO paulus
删除通常情况下,安全性和可用性是矛盾的。
所以,关键是进行权衡——找到一个安全性足够且可用性也足够的平衡点。
Flash的开源传说很久了,还没非Adobe的替代品么?
回复删除Flash 的 SWF 文件格式,俺记得是公开的。
删除貌似前段时间已经出现了基于 JavaScript 对 SWF 进行渲染的开源项目(成熟度如何,俺不太清楚)。
俺觉得:这是个不错的方向。
如果此技术成熟,就不需要再依赖危险的 Flash 插件了。
小众的浏览器不是更安全吗(我用opera)?当年MAC比较少黑客打它主意,其中一个原因就是市场份额小,这两年附着IOS的流行引发的苹果市场壮大,这两年针对MAC的攻击渐渐多起来,现在苹果已经不再拿“安全”当成广告语了。另外,Chome好像是闭源的吧,Firefox则没有那么强大的后台,这两者在安全性上实在很难比较。
回复删除博主是专门在linux下写博客的吗?毕竟以越纯粹、单一用途为配置目标的装备越安全。
最后提醒博主要来个综合方案。
关于“小众”
删除小众的概念是相对的。以目前的市场份额,Firefox 和 Chrome 相对 IE 还算是小众的;但是 Firefox 和 Chrome 相对于 Opera 就是大众了。
为啥俺不推荐 Opera?
在[url=http://program-think.blogspot.com/2012/09/howto-prevent-hacker-attack-6.html]前一篇[/url],俺提到了 Opera 和 Safari 的扩展和插件不够丰富,更新速度也不够快,
另外,俺觉得这两个浏览器的开发团队不如 Firefox 和 Chrome 的开发团队。
关于“操作系统的安全性”
最近两年,苹果系统被入侵的案例确实多起来了。
俺觉得,安全性的保障是多方面的。不能单依靠操作系统或安全软件。还需要靠用户自己的安全意识。
缺乏安全意识,再好的系统和安全软件,也形同虚设。
关于“综合方案”
这个建议非常好 :)
俺会考虑的。
o(︶︿︶)o 唉,也没有说把浏览器缓存设在内存条的问题。
回复删除TO 楼上的网友
删除你是上次问同一个问题的网友吧?
其实本文中提到的“多实例”方案,已经可以帮助你把缓存放到内存上了。
具体步骤是:
1、
首先你要创建一个内存盘(Linux下很容易,Windows下比较麻烦,需要另装软件)
因为“内存盘”跟本文不相关,所以没提及。
2、
创建一个新的浏览器实例,使其 Profile 位于内存盘上。
我也从网上看到如果内存有足够多的剩余的话可以把缓存放在内存上,一直想这样做,可不知怎么设置,看了半天博主的文章,还是不懂,博主能说的具体些吗?
删除我在用的是buffalo ramdisk,具体可以看这里http://www.6310.cc/?action=show&id=71 这个软件可以自动在内存中开辟1G-4G的缓存盘,自动帮你把浏览器的cache转移到缓存盘。非常好用。如果需要更高的安全防护,你就得使用EFW+FBFW了。完全限制向主系统分区写入数据,全部都在内存中完成,你可以Google下。
删除我去年曾经在一个日本的官网http://buffalo.jp/download/driver/memory/ramdisk.html下载的buffalo ramdisk。
删除现在我想卸载它,另安装一个别的软件,可不知怎么卸载buffalo ramdisk,博主能支个招吗?
向博主讨教
删除windows7系统,2G内存,我可以用上面网友提供的 buffalo ramdisk 吗?可以把全部2G内存设为虚拟内存盘吗?我认为缓存都在 buffalo ramdisk 中,是不是就可以把全部2G内存都设为虚拟内存盘呢?
TO 4单元的网友
删除不知道[url=http://zhidao.baidu.com/question/406599251.html?seed=0]这个链接[/url]是否能解答你的问题?
TO Growth with learning
2G 的内存,并不太充裕,还是不要用内存虚拟盘了。
另外,不能把全部物理内存都分配给虚拟盘的——因为操作系统本身也需要使用物理内存。
在“高级系统设置”——高级——性能——设置——高级——虚拟内存——更改——
删除你们提到虚拟内存,在电脑上也有个虚拟内存啊?也可以调节的。
TO 7单元的网友
删除前面讨论的 buffalo ramdisk,是用物理内存来虚拟一个硬盘分区(俗称“虚拟盘”)。
跟“虚拟内存”是两个概念。
Everyone,system,Authenticated Users这些权限呢?
回复删除Everyone用户组
删除这个表示所有的操作系统用户
SYSTEM用户组
这个用户组主要是用于系统进程(很多服务进程是以 SYSTEM用户组 的权限运行的)
个人用户最好不要用 SYSTEM组 的权限
Authenticated Users
这个用户组表示系统中经过 winlogon 登录认证过的用户,但不包括 Guest组。
我发现在我的D盘的中安装的Program Files中的软件都是Everyone用户组,在D盘除Program Files目录外的其它目录中的用户组基本上全是Everyone用户组和SYSTEM用户组,不过在右键属性的安全项中的组或用户名中排在第一的是Everyone,排第二是SYSTEM,那这个用户名应该是第一个呢还是第二个呢?D盘中这样正确吗?
删除我发现C盘WINDOWS中还有CREATOR OWNER用户组和TrustedInstaller用户组
TO 2单元的网友
删除在 ACL 的配置界面中,用户组的顺序不是关键,关键是每个用户组具有哪些权限。
对于 Everyone组
只有“读”权限,问题不大。如果是“读写”权限,最好改为“读”权限。
对于 SYSTEM组
这个是系统自身使用的,最好不要去改动它。
回复楼上
删除D盘中安装软件的权限是Everyone用户组和system用户组。
Everyone用户组的权限是:修改、读取和执行、列出文件夹内容、读取、写入。但有的软件的Everyone用户组权限还添加一个完全控制,比如输入法和翻墙软件还有杀毒软件等。
System用户组的权限是:修改、读取和执行、列出文件夹内容、读取、写入。
不知把Everyone改成读的权限之后软件还会正常运行吗?
TO 楼上
删除对于比较正规的软件(比如 Firefox、Office、7-Zip、等),在安装目录下面只会保存软件的程序文件、帮助文档、等。
不会保存用户数据(比如用户的配置选项等)。
用户数据通常保存在 %APPDATA% 目录下。
对于这类软件,你把安装目录的 Everyone组 的权限设置为只读,是没有关系的。
对于某些软件(比如 自由门、无界),会在安装目录下存放一些数据文件。这时候你就需要给安装目录设置读写权限。但是,也不用把读写权限开放给 Everyone组(这个组的范围太大了,不安全)。
举例:
如果你平时以 Users组 的身份使用这些软件,那么读写权限只要开放给 Users组 即可。
假如绿色软件安装在D盘就会有临时文件等用户数据,我用的几个绿色浏览器和几个其它软件的各种数据都在D盘。
删除TO 和平鸽
删除用户数据和临时数据,是两个概念。
比较正规的软件,用户数据保存在 %APPDATA% 目录下;临时文件保存在 %TEMP% 目录下。
而那些不太正规的软件,则有可能乱放。
Vista 或 Windows 7 系统
回复删除C:\Users\\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"
Windows XP 或 Win 2003 系统
C:\Documents and Settings\\Local Settings\Application Data\Google\Chrome\chrome.exe --user-data-dir="X:\XXXX\"
按照上述方式依样画葫芦,你就可以创建出任意多个 Chrome 实例。为了省事,你可以把上述命令行做成一个快捷方式,放到桌面上,免得每次都敲键盘。
-------------------------------------------------------------
命令行怎么做个快捷方式啊???可以说的具体些吗?
这个是填写自己的用户名吗?
要创建快捷方式,很容易的。
删除在桌面上点鼠标右键,选“新建”,再选“快捷方式”
你提到的“填写自己的用户名”,是指什么?能否说具体点?
TO 编程随想
删除创建命令行快捷方式时,有个“浏览”,不知选哪个项?是选创建好的“实例”吗还是……?以后点击这个快捷方式可以快速启动此“实例”下的浏览器吗?我是小白真搞悄懂啊。
C:\Users\\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"
我指的是上面的,比如说我的用户名是“飘啊飘”在这里就可以填上,对吗?
怪了,2单元都写上了怎么没有显示?
删除上接2单元,请仔细看下面的填写:
C:\Users\\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"
-------------------------------------------
C:\Users\\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="D:\google Profiles \"
是这样填吗?对吗?
C:\Users\\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"
删除奇了怪了,在c:\Users\ 与 \AppData间的一段,发送成功了怎么没有显示?现在是两个\\了,复制你博文中的粘贴上发送总是不显示,我自己填写的一段也没有显示,这是为什么呢?
删除C:\Users\\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="D:\google profiles\"
删除这次全是自己写上的,看还显示不?
发现两个小于号与大于号和其之间的内容发送后都不显示。
删除在chrome.exe 与 --user-data-dir……之间还相隔的很远。奇怪了。
博主可以亲自试下。
删除TO 楼上的网友
删除因为评论中的大于号和小于号被识别为 HTML 的 tag,
所以,大于号和小于号之间的内容被吃掉了。
创建快捷方式的时候,你不需要去点“浏览”按钮。
只要把那串命令直接粘贴到编辑框里,就可以了。
你最好先在命令行窗口中试验成功了,再创建快捷方式。
TO 编程随想
删除我打开cmd.exe后,看到在闪烁条块前写着:c:\Users\本机用户名>
请问,在以上大于号〉后就不用再重复写C:\Users\〈USER〉这样的信息了吧?直接在c:\Users\本机用户名>后写上\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"
是这样吗?不过,在cmd中的c:\Users\本机用户名 后只有一个大于号〉,而不是你博文中所说的用户名前的一个小于号〈 和用户名后的一个大于号 〉
可能有点乱,不知您能否看得懂。
TO 楼上的网友
删除你大概理解有误。
文中给出的命令行中,那个“〈USER〉”,直接替换成你的操作系统用户名,即可
俺用大于号和小于号只是为了看起来方便(其实也可以用其它符号,比如大括号)
这跟命令行提示符里面的那个大于号没有关系。
谢了!得,这不明白了。
删除替换用户名俺知道,只是纠结俩符号,本来以为只替换掉 USER 呢,才知道是整个〈USER〉,命令行没用过,我还以为在命令行中必须要写入那俩符号才能正确执行呢。
你看,你直接用粗体只写 USER 多好。o(∩_∩)o 哈哈
恭喜你搞定了 :)
删除因为俺的博文会被网友转载。
某些转载的场合(比如论坛)只能使用纯文本格式。所以俺不能光用[b]粗体[/b]来表示醒目,还得借助一些符号。
这次选了尖括号,可能不太恰当,把你误导了 :(
比如我的,在cmd插口运行 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe --user-data-dir="C:\Chrome_safe" 可以打开,然后桌面创建快捷方式,粘贴这段文字时,点击下一步弹出窗口“找不到文件 C:\Program Files" 是怎么回事啊
删除TO 14单元的网友
删除因为你的 chrome.exe 所在的全路径中存在空格,所以被截断了。
需要把这整个路径用半角引号引用起来(如下),表示其是一个整体
"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe"
安装flash block 插件,默认block所有flash,必要时才点击播放。或者白名单站点才默认播放。
回复删除多谢补充 :)
删除稍微纠正一下,Flashblock 是“扩展”,不是“插件”
俺本来的计划是,在《Web相关的防范 (下)》介绍浏览器在安全方面的扩展。
我说系统不同用户下firefox怎么不共用插件,貌似也是多实例?
回复删除TO john Lewis
删除是这样的。
如果使用 Firefox 或 Chrome,对于不同的操作系统用户,用户之间的 Profiles 是隔离的。
Firefox 和 Chrome都有国内版和国际版吗?国内版和国际版有何区别?如何鉴别自己安装的是国内版还是国际版?
回复删除Chrome全部都是从谷歌服务器下载安装的,会根据你所在的地区下载对应语言的浏览器,不过你可以另外设置成英文或者其他语言。Firefox的确是有中国版的,在你下载安装时会帮你装好一堆扩展,国际版则什么都没有,从这个网址http://www.mozilla.org/en-US/firefox/all.html可以找到不同语言的Firefox版本。
删除问一下,在linux下,我为了方便把很多文件777或755了,那么多用户不就无法阻止攻击了么?还是可以上传我的文件。
回复删除chmod 777 是不好的习惯。
删除这种方式向,其它用户还是可以读取你的文件并通过网络发出。
对于敏感的数据文件,最好是 chmod 600 或 chmod 660
第四种方案是不是虚拟机或沙箱?
回复删除恭喜你,猜对了 :)
删除TO:编程随想
删除猜对了能否给个礼物:) 最好的礼物就是写出更多的好文章
TO 楼上的网友
删除多谢鼓励 :)
俺会努力,多写各种有用的博文。
能否介绍下原版emule的用法,发现这个比迅雷难用得多 www.emule-project.net
回复删除emule 的用法应该不是很难。
删除请问你是否碰到啥困难或疑问?
回复删除楼主,
回复删除重庆彭洪转发帖子,电脑右下角就弹了一个小框框,想知道这是什么技术?
俺看了一下关于“重庆彭洪”的报道。
删除但是里面说得比较含糊,没有说弹出的对话框是页面形式的,还是其它软件弹出的。
如果是网页形式的对话框,应该不难。
估计某些国内的论坛会有类似功能——根据用户的发言内容,弹出警告提示。
如果是其它软件弹出的,那可能是电脑中被安装了监控软件了。
对于网吧的电脑,这种情况会比较常见。
博主嘛都没回答。直接无视。
回复删除为嘛你们不自己Google下呢,这些都是些很简单的问题啊。多多利用搜索工具嘛。
删除都别提问,都别写文章了,都GOOGLE算了,GOOGLE就是百分之千的正确?GOOGLE就是世界权威?那都在这浪费时间干什么?都散了吧?
删除每个人涉及的领域不同,知识面不同,各种状况不同,你懂得的地方别人未必知晓,别人优秀的地方你未必懂得,不要以自己的狭隘想法去要求别人,如果请教别人问题也是错,别人也感到不爽的话,还有什么值得别人认同你的想法?
每个人追求的政治目标可能是一个比较漫长的过程,一些刚走进门槛的人需要同道者耐心的讲解,当然,你也可以这样说这是很简单的问题你们都去GOOGLE吧?
我们的一些问题或许你认为不屑一顾,你自认为很高端的问题但在别人眼里也许是小儿科的问题。
不知道你干嘛这么激动?多大了?谁说了google是万能的,不过google确实提供了一个解决问题的平台,你在提问前为什么都不探索一下,你问的问题确实都很低端很重复,google完全能回答你,更何况上边的回答都有提到了,只能说明你看帖不仔细。每个人的时间精力都有限,怎么可能每个问题都期望得到别人的耐心解答?
删除你不赞同我的想法完全无所谓阿,这是个可以自由表达的场所,你的离去与否其实都意义不大。
呵呵!庐山真面目出来了。
删除人家编程都没有解释你瞎激动个啥?这不是典型的奴才嘴脸吗?你这么神经质你还能有啥理性?自由表达也不是你这样放屁的,你说“你的离去与否其实都意义不大”,那你的意义有多么大?你威胁到中共哪里了?你有人家大陆维权人士的万分之一能力与作为吗?你有人家陈光诚一丁点儿的勇气与见识吗?你就知道躲在阴暗的角落叽叽歪歪,自认为意义重大的你就这点儿出息?呵呵!人家编程是什么想法你怎么知道?你代表人家了?你是“人民代表大会”的?莫非你是“编程”?
我不得不说,你展现的一切与当今大陆何其的相似。
”你就知道躲在阴暗的角落叽叽歪歪,自认为意义重大的你就这点儿出息?”这个和你“匿名”倒是挺相称的。你继续扯好了,什么中共啦,代表谁谁啦,继续。听不进人话,做不来人事那就继续当阉奴好了。
删除你还要想攻击多少“匿名”?你既然这么的有出息这么的光明磊落,那你的博客注册链接与GOOGLE+链接在哪?一个在“回复形式”中谁都可以填写的“沦陷区居民”居然好意思说比“匿名”是多么的伟光正,你这点儿又比伟光正强到哪里去?你自己再回头看看你说过的所谓人话是多么的“高端”?你做过的人事是多么的为我独尊,你有强大的专制内心还怎么去追求民主?你这般说话,即便是在专制社会中你不得意,就是在民主社会中也没有你的位置。
删除明白了,意思是说民主是由一个高端人士得来的,别人奋斗不奋斗都意义不大。
删除TO 楼上各位:
删除大家都消消气
TO 15楼的网友
你提到说:“博主嘛都没回答。直接无视。”
是指14楼的那个问题吗?
14楼的问题,俺刚刚回复。
现在电脑上的安全问题似乎大都是与web相关的吧,我的意思是基本是要连网才会造成目的性损失。要讲web防范,社会工程学攻击防范、软件选择尤其是国产、系统选择、电脑使用习惯等等,扩展来一大堆的可讲。除非特指浏览器和IRC等网络软件。我觉得这个问题可以相当近似理解为电脑安全问题了,在现在这个时代。
回复删除Web 安全确实是如今信息安全的重头戏。所以俺才写成“上中下”三篇。
删除关于“社会工程学”的防范,俺之前已经专门写过一个系列(在 [url=http://program-think.blogspot.com/2009/05/social-engineering-0-overview.html]这里[/url]),所以这次没有再提。
关于国产软件的问题,尤其是政治层面导致的安全问题,在《Web相关的防范 (上)》已经提到了。
至于“用户的使用习惯”,这块比较杂,俺会分散在不同主题里面介绍。
博主有没有记得说过要写些什么的,比如前面有文章说要爆一下国内IT公司的一些内幕,流氓行为等等。。
删除TO 2单元的网友
删除多谢提醒 :)
俺不会忘记的!改天抽个空,俺会发一篇。
在火狐浏览器的火狐捷径中可以设置多个实例, 就是在 %APPDATA%\Mozilla\Firefox\Profiles 目录下,我已设置了多个用户配置了,切换很方便。
回复删除“火狐捷径”本身是一个扩展,还需要额外安装。
删除俺倒是觉得用如下命令行,也可以可视化地进行实例的管理。
firefox.exe -p
学习了 佩服楼主的知识和高深的技术
回复删除chrome的多用户和多实例一样的,扩展,cookie,设置都是分开的,安装目录User Data里也有多个Profile
回复删除我也认为chrome的多用户与多实例是一样的,如果另设一个新用户,这个新用户开启的浏览器将是一个全新的浏览器,缓存、扩展、coolies什么的都是独立的,根本不受其它用户浏览器的影响。
删除火狐浏览器正如14楼的那位仁兄所说,可以下载一个“火狐捷径”的扩展,能够设置无数个用户配置,这个用户配置也和多实例一样,当然觉得火狐的“火狐捷径”不好,或者不想下载扩展,使用博主的方法也不错。
TO 19楼 和 19楼1单元
删除关于 Chrome 的多用户 和 多实例(profile),可以参考如下文章:
[url]http://www.labnol.org/software/create-family-profiles-in-google-chrome/4394/[/url]
俺摘录第一段
Google Chrome lets you create multiple user accounts but if you want to keep your web history and passwords hidden from other Chrome users, you need to create a separate profile in Chrome and not just user accounts.
再看 chromium 官网的如下链接:
[url]http://www.chromium.org/developers/creating-and-using-profiles[/url]
俺摘录第一段
This page deals with establishing entirely separate data directories for running parallel instances of the Chrome browser. [b]To create separate user accounts within the same Chrome browser instance[/b], please read about the multiple accounts feature.
其实使用沙盘配合上网也是一个不错的方案。
回复删除听说谷歌浏览器中自带有沙箱?不知效果如何?在国内的一些杀毒软件中也是有沙盘的,曾经下载过一次金山毒霸,看到过里边也有沙箱。
删除浏览器内置的沙箱,经常被攻击者突破。
删除貌似之前有一次全球黑客大会,主流的几款浏览器(包括 Chrome)的沙箱都被攻破。
墙外真不赖
删除浏览器内置的沙箱,经常被攻击者突破。
这个所谓的沙箱在计算机网络技术中是否也叫沙盘,博主可否专门写一个沙子箱的教程,计算机网络安全是一个系统工程,仅靠一种手段或者技术很难保障,沙箱可以认为是其中的一种技术,请不要舍弃。
我现在一直用comodo安全套装自带的沙箱 虚拟运行firefox
删除firefox安装了一些必要的安全插件 比如NoJavaScript、 flashblock之类 。
一般都在win8的标准用户里上网
这样应该没什么漏洞了吧?
TO 墙外真不赖
删除你这条留言,俺当初漏看了。抱歉 :(
有空的话,俺可以考虑普及一下“沙箱”技术的原理。
TO 4单元
用 comodo 自带的沙箱运行浏览器,也是一个安全招数。
但是俺觉得:软件级别实现的沙箱,不如虚拟机彻底。
不过对于普通用户,类似 comodo 这样的沙箱,应该是够用了。
老牌好用的沙箱还有Sandboxie
删除请问这位老师:
回复删除我电脑的硬盘读写指示灯这几天突然不闪了,开机后一直是黑的,但能听见读盘声音,进行硬盘碎片整理时一点也不闪,开机什么的都正常,用着UPS。
大概是你的硬盘读写指示灯坏了吧。
删除博主还好吧?
回复删除我的鼠标左键点击没有反应,必须很用力点击才有反应,右键还好。问QQ网友有的说是中毒了,有的说是鼠标坏了。
我认为这个情况与中毒与否没有关系,可能是鼠标中的微动开关不好用了,买个微动开关焊上即可,不知编程兄是这样认为的吗?
删除俺也觉得:
删除硬件故障的可能性比较大。
如果真有哪个病毒会产生这种效果,估计也是一个恶搞的病毒 :)
听说这次的ie远程漏洞影响很大呀 因为在国内使用的网银很多 怎么能最大程度避免呢??
回复删除可以参考本文中提到的:"多浏览器"的方案
删除IE 只用来上网银,其它场合一概不用。
只有上、中篇,没看到下篇,没发表“如何防止黑客入侵[6]:Web相关的防范 (下)”吗?
回复删除《Web相关的防范 (下)》还没有发,抱歉 :(
回复删除过几天抽空发一下。
中国窃取美国商业机密程度加剧
回复删除2012-10-05
中国窃取美国商业机密程度加剧, 其中许多是通过复杂的网络攻击进行。美国贸易代表办公室和美国众议院情报委员会主席迈克-罗杰斯近日都表达了不同程度的关注。
中国窃取美国的商业机密并不是什么新闻, 但是通过网络攻击窃取, 而且窃取的个案在过去一年大幅增加却在美国商会日前举行一次网络安全会议上成为一个焦点话题。出席会议的美国众议院情报委员会主席、来自密西根州的共和党籍议员迈克-罗杰斯说,他对中国通过网络攻击窃取美国商业机密表示关切,北京“搜集信息到了令人可怕的程度”。中国主要通过什么网络手段窃取美国的商业机密?为此,美国网络专家夏先生表示:
“很多是通过社交工程的方式。办法就是给某公司的相关人发电子邮件, 电子邮件被伪装成收件人的同事或朋友,传播病毒,通过病毒方式入侵了一个人的电脑,然后再攻击这个人的同事或朋友,让病毒感染更多人的电脑, 从而一步步得到许多信息。另外一个方式是在一段时间不断地研究一个锁定目标的网络, 想尽各种办法寻找目标网络的漏洞。漏洞一旦找到,就会窃取信息。再一个方法是海外中文独立媒体经历的网络攻击, 其技术上虽然很简单, 但攻击肆无忌惮, 就是瘫痪网站, 让网站无法提供服务。”
社交工程是指黑客利用人性弱点、利用人际交往上的漏洞来非法获取资料的行为。
作为撰写年度评估报告准备工作的一部分,美国贸易代表办公室星期三举行听证会,评估中国2001年12月11号加入世贸组织后是否遵守了自己当时作出得承诺。听证会上,一位来自美国企业的作证者说,美国大型和小型企业同样都面临来自中国“持续和日益复杂的黑客攻击,他们从网络上窃取美国企业的知识产权资料”;美国企业保护商业机密的难度由此日益加大,从而耗费大量的人力和物力。
美国企业指责中国窃取他们的商业秘密,这有没有可能影响到美中两国间的经贸往来?位于美国纽约的美中科技文化交流协会会长谢家叶博士表示,影响当然有:
“影响不仅仅表现在贸易方面,也表现在美国高科技产品与技术出口是否对中国解冻这一方面。同样,一些中国公司, 如华为,想把设备打入美国市场也会带来不利影响”
中国两家大型通讯设备公司华为和中兴九月底出席了美国国会举行的一次相关听证会。虽然两家中国公司一直试图将自己生产的通讯设备打入美国市场, 但由于国家安全原因,担心中国可能利用华为和中兴在美国的网络窃取机密,美方迄今没有同意。根据美国国家反间谍执行局去年10月提交给国会的报告,中国是全球经济间谍活动最为活跃的国家。
以上是自由亚洲电台记者闻剑的采访报道
多谢分享网文 :)
删除软件限制策略,受限用户的另一个选择。
回复删除特点:
系统自带,配置较灵活,不占系统资源,可以和任何软件搭配使用。可以管理员用户+软件限制策略使用
,也可以受限用户+软件限制策略使用。
软件限制策略为静态规则,没有烦人的弹窗提示,对使用者的要求较低。
迁移方便,部署到其它电脑只需要复制Registry.pol一个文件即可。
讲解使用环境为xp专业版,xp home版(家庭版)没有组策略,所以无法使用。
以下为理论讲解:
[url]http://tiandixing.org/download/file.php?id=88803[/url]
多谢分享 :)
删除利用“组策略”来限制软件的行为,也是一个好办法。
不过俺觉得,“组策略”的通用性不如“多用户”。
“多用户”的方式,不光 Windows 系统可以用,Mac OS 和 Linux 也可以用。
正在使用Chrome26,设置--用户--添加新用户 这种设置应该是多用户吗?
回复删除请注意,俺在本文中写了如下的提示:
删除Chrome 同时支持 "Multiple Profiles" 和 "Multiple Accounts"。但别把这两者搞混了。即使你配置了多个Accounts,依然在同一个实例里。
就浏览器而言Chrome和Firefox哪个更安全?
回复删除其实在本系列前一篇里面,俺有提到
删除Chrome 和 Firefox 差不多。
这两者比其它的浏览器更靠谱一些。
具体理由,请看那篇博文。
win8,运行命令"C:\Users\用户名\AppData\Local\Google\Chrome SxS\Application\chrome.exe" --user-data-dir="E:\新建文件夹\" 没创建新的实例
回复删除俺没有在 Win8 下测试过 Chrome 的多实例。
删除但是俺感觉:Chrome 的多实例功能应该是支持 Win8 的。
请问你运行这个命令之后,Chrome 有出现啥错误提示吗?
你指定的目录下,有出现 Chrome 的配置文件吗?
我把"E:\新建文件夹\"改为E:\新建文件夹就行了
删除我是根据您的评论回复提到的chromium网址里的改的,另外Firefox在网吧XP系统可以 -p启动配置管理器,我的系统就不行,我输 --no-remote可以启动配置管理器,不知道其他win8是不是这样。
TO 2单元
删除原来是目录名的结尾多了一个“反斜杠”
刚才测了下加上"引号也行,我原来以为是引号和斜杠都不行,chromium页面不加引号,引号有什么作用呢?还是一般的写法?
删除TO 4单元
删除简单地说,命令行中的引号主要是用来防止一些特殊字符。
比如:当某个参数中包含空格时,会被误以为是多个参数(因为被空格分隔开)
这时候就需要用引号把这个参数引用起来
楼主,俺chrome,想试试多实例,看了侬的文章后表示没看懂,创建目录是随便建个文件夹就行的吗?然后看评论,看到楼主回复了19楼(19楼2单元)有延伸阅读,点开第一篇看了,Step 4卡住了,cmd那里输指令怎么输都不对,俺不懂计算机,所以...能不能教一下?
回复删除对于 Chrome,你可以随便创建一个目录,用来存放 Chrome 的新实例。
删除如果你在命令行中执行出错,最好把出错信息贴出来,以便俺帮你找原因。
博主:
回复删除我用chrome,按你说的去设置多实例,为什么不一样?
我是win7的,到了C:\Users\{USER}\AppData\Local\Google\Chrome这里,就变成user data文件夹了,什么情况?进去也不找到Chrome.exe.
要不你在 C:\Users\{用户名}\AppData 目录下搜索 chrome.exe
删除应该能搜到
告诉博主,我用everything这个软件找了一下,在C:\Program Files\Google\Chrome\Application里面,别的地方还没有。
删除可能是新版本改了吧。
然后用博主的方法搞定了。
恭喜你搞定了 :)
删除用户账户控制应该很好地解决了浏览器权限的问题吧
回复删除TO Zhaofeng Yang
删除关于 Vista 开始引入的 UAC,确实可以很大程度上降低“滥用高权限用户”导致的安全问题。
但并不能彻底避免。
比如说,如果 Windows 本身出现某些高危漏洞,攻击者还是有可能绕过 UAC 的。
windows不是都只帶IE的嘛。。。。。。
回复删除