天融信阿爾法實驗室首席安全研究員徐少培
此次會議����,天融信阿爾法實驗室首席安全研究員徐少培以“現(xiàn)代瀏覽器新安全研究”為主題�,從九個方面闡述了現(xiàn)代瀏覽器的安全風險,包括:瀏覽器URL地址欄欺騙攻擊,瀏覽器URL狀態(tài)欄欺騙攻擊����,瀏覽器頁面標簽欺騙攻擊,瀏覽器頁面解析欺騙攻擊��,瀏覽器插件安全����,瀏覽器本地存儲安全����,瀏覽器安全策略被繞過,瀏覽器隱私安全��,瀏覽器差異帶來的安全風險�����。目前業(yè)界體系化的瀏覽器安全研究還處于空白��,此次天融信帶來的瀏覽器威脅報告全面闡述了現(xiàn)代瀏覽器帶來的新安全風險��,為業(yè)界關(guān)注和研究瀏覽器安全起到了推動作用�。
眾所周知,瀏覽器早已經(jīng)成為網(wǎng)民瀏覽互聯(lián)網(wǎng)必不可少的工具。現(xiàn)代瀏覽器早已經(jīng)不像以前瀏覽器是鐵板一塊���,基本都可以定制和擴展����。隱私安全也在現(xiàn)代瀏覽器上得以體現(xiàn)�,在HTML解析、CSS解析�、JavaScript引擎、網(wǎng)絡(luò)通信����、數(shù)據(jù)管理、頁面呈現(xiàn)都變的越發(fā)復雜的現(xiàn)代瀏覽器中����,將存在更多的安全風險。隨著網(wǎng)絡(luò)的IP化���、寬帶化����、智能化以及新技術(shù)新業(yè)務新業(yè)態(tài)的快速發(fā)展�,網(wǎng)絡(luò)安全問題更加復雜,形勢依然嚴峻。
互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈年產(chǎn)值超過百億�,嚴重破壞互聯(lián)網(wǎng)公共環(huán)境安全,威脅網(wǎng)民個人隱私��、財產(chǎn)安全和產(chǎn)業(yè)發(fā)展����。基于瀏覽器上URL地址欄�����,URL狀態(tài)欄��,頁面標簽以及頁面發(fā)起的視覺欺騙攻擊也是如今互聯(lián)網(wǎng)用戶面臨最多的威脅��,這些欺騙攻擊促使網(wǎng)站釣魚等網(wǎng)絡(luò)安全事件頻發(fā)�����。瀏覽器視覺欺騙攻擊讓互聯(lián)網(wǎng)用戶即便是簡單訪問一個普通Web頁面就有可能遭受欺騙����。尤其是隨著HTML5開始廣泛應用����,其部署的離線應用程序緩存功能更容易受到黑客攻擊����。天融信在去年的中國計算機網(wǎng)絡(luò)安全年會上就發(fā)布了《HTML5安全威脅報告》�����,提出了HTML5的八大威脅�����,引發(fā)了社會的廣泛關(guān)注����。針對目前的瀏覽器上帶來的攻擊威脅,天融信阿爾法實驗室特別提醒廣大互聯(lián)網(wǎng)用戶����,不要輕易點擊陌生鏈接,不要安裝未知的瀏覽器擴展插件并及時更新插件版本���,使用最新版本的瀏覽器����,這樣可以有效防范互聯(lián)網(wǎng)威脅,減少所受損失�。
網(wǎng)絡(luò)攻擊、信息竊取�、病毒傳播等安全事件和違法犯罪活動多發(fā)頻發(fā),通信網(wǎng)絡(luò)仍然存在一些安全隱患和薄弱環(huán)節(jié)���,核心技術(shù)與關(guān)鍵資源的自主可控能力不強�,網(wǎng)絡(luò)安全方面的高精尖人才還比較缺乏��,全社會網(wǎng)絡(luò)安全意識仍有待進一步提高�����。網(wǎng)站中的補丁程序好打����,但難點是人們薄弱的安全意識;安全設(shè)備和工具的使用也不復雜���,復雜的是如何辨別社會工程學中人與人之間的信任���。個人安全意識是抵御黑客攻擊的最后一道防線。目前�,天融信已建成前沿攻防實驗室���、阿爾法實驗室、企業(yè)博士后流動站���、美國安全分析實驗室�����、安全云服務中心五位一體的企業(yè)級安全感知系統(tǒng)���,時刻感知網(wǎng)絡(luò)的風云變化,幫助互聯(lián)網(wǎng)用戶及時了解網(wǎng)絡(luò)威脅狀況���,提升安全意識�,及時防范網(wǎng)絡(luò)攻擊�。
