现代主流浏览器集成的6大安全技术

发表于 1年以前  | 总阅读数:494 次

1.摘要

浏览器已经成为人们访问互联网必不可少的工具。作为用户访问互联网的主要工具,浏览器自然成为网络攻击者和安全研究人员的重要目标。

一方面,互联网的快速发展吸引了众多厂商参与到浏览器市场份额的争夺战中, 他们不断丰富浏览器功能并提升浏览器的安全性。另一方面,浏览器安全又与Web安全标准紧密相关, 厂商在提升浏览器安全性的同时也积极参与安全标准的制定, 使自己的产品获得竞争优势,而新的安全标准又促使厂商积极更新自己的产品, 以免被市场淘汰, 这样便形成良性竞争, 使浏览器在安全性各方面越来越趋于完善。

2.同源策略

同源策略(Same origin policy) 是一种约定, 它是浏览器最核心也是最基本的安全功能, 它限制了JavaScript不能读取和操作其它源的资源。对于广泛依赖Cookie来维护用户会话的现代Web应用来说, 这种机制机制具有特殊意义, 浏览器只有严格限制不同源的资源互访问,才能保证网站会话凭证的安全, 防止敏感信息泄露。

从具体实践的角度, 所谓同源是指: 域名、协议、端口相同。

假设现在有一个URL: http://www.example.com/dir/page.html, 那么与该网站同源的网站有哪些呢? 参考以下表格:

URL结果原因
http://en.example.com/dir/other.html
不同域名
http://example.com/dir/other.html
不同域名(需要完全匹配)
http://username:password@www.example.com/dir2/other.html
只有路径不同
http://v2.www.example.com/dir/other.html
不同域名(需要完全匹配)
http://www.example.com:81/dir/other.html
不同端口(若未标明,http://默认端口号为80)
http://www.example.com/dir/page2.html
只有路径不同
http://www.example.com/dir2/other.html
只有路径不同
https://www.example.com/dir/other.html
不同协议(http和https)

另外,同源策略又分为以下两种:

  1. DOM同源策略: 禁止对不同源页面DOM进行操作, 这里主要场景是iframe跨域的情况, 不同域名的iframe是限制相互访问的。
  2. XMLHttpRequest同源策略:禁止使用XHR对象向不同源的服务器地址发起HTTP请求。

如果没有DOM同源策略, 也就是说不同域的iframe之间可以相互访问,那么黑客可以这样进行攻击:

  • 做一个假网站, 里面用iframe嵌套一个银行网站: http://hackerbank.com
  • 把iframe宽高参数调整到页面全部, 这样用户进来除了域名, 别的部分和银行的网站没有任何差别。
  • 这时如果用户输入账号密码, 我们的主网站可以跨域访问到http://hackerbank.com的dom节点, 就可以顺利拿到用户的账号密码。

如果没有XMLHttpRequest同源策略, 那么黑客可以进行CSRF(跨站请求伪造)攻击,攻击过程如下:

  • 用户登录了自己的银行页面:http://mybank.com, http://mybank.com向用户的cookie中添加用户标识。
  • 用户浏览了恶意页面http://suntiger.com, 执行了页面中的恶意AJAX请求代码。
  • http://suntiger.com向http://mybank.com发起AJAX HTTP请求, 请求会默认把http://mybank.com对应cookie也同时发送过去。
  • 银行页面从发送的cookie中提取用户标识,验证用户无误, response中返回请求数据, 此时数据就会泄露。而且由于AJAX在后台执行,用户无法感知这一过程。

因此, 有了浏览器同源策略, 我们才能更安全的上网冲浪。

3.浏览器沙箱

据保守估计, 平均每千行代码至少会产生一个安全漏洞。浏览器是非常复杂庞大的项目, 像Firefox浏览器已经有超过2500万行代码, 代码量已经接近Linux内核。要想确保一个程序不出现安全漏洞, 需要保证程序在各种输入条件下都能正常工作, 像浏览器这样的复杂项目,它接收的输入是全互联网复杂多样的网页, 做安全测试时要覆盖所有的输入条件组合几乎是不可能完成的任务。所以,现代浏览器都引入了多进程架构和沙箱机制, 它假设程序会存在安全漏洞, 通过沙箱来限制漏洞被进一步利用, 而多进程架构则可以确保单个页面或组件崩溃时不会影响整个浏览器。

沙箱利用操作系统提供的安全性,允许不能对计算机做出持久性改变或访问持续变化信息的代码执行。谷歌的Chrome是第一个采用多进程架构的浏览器, 通过Chrome的任务管理器功能可以看到, 浏览器将工作拆分到多个进程中完成, 主要的进程包括:浏览器进程、GPU进程、渲染进程、扩展进程、插件进程、网络和存储等功能进程。如下图:

由于每个网页由一个独立的进程来渲染, 每个扩展和插件也放在不同的进程中运行, 这就极大降低了单个模块崩溃产生的影响。

多进程模式只是让各个模块相互隔离, 但是当存在漏洞的模块被恶意利用时还是会对系统造成破坏。虽然现代操作系统和编译器提供了各种安全机制来保证程序的安全,如:DEP、ASLR、SafeSEH、StackGuard等内存保护技术, 但这些机制还是不断被安全研究人员突破,所以现在主流的浏览器都采用沙箱技术来进一步提升安全性。

以下是Chrome浏览器的沙箱架构图:

在Chrome中,浏览器进程也称为代理进程(Broker),其它的模块(如渲染引擎、插件)进程称为目标进程(Target),目标进程都运行在沙箱中。在目标进程中, 高风险的系统API调用会被拦截器截获(也叫Hook)并通过IPC方式转发给代理进程, 该调用行为需要通过代理进程的策略引擎检测后才会执行并返回结果, 违反策略的调用行为将直接返回失败。

理论上,有同源策略的限制, 恶意网站不能在浏览器中获取其它站点的数据, 但是任何代码都有可能存在安全漏洞,如果同源策略在实现上存在漏洞,将带来不可估量的危害。为此, Chrome提供了"站点隔离"特性, 它确保了不同站点的页面被放在不同的进程中渲染, 即使是一个标签页中的网页通过iframe加载了不同站点的页面,它们也将在不同的进程中渲染。

站点隔离可以看成同源策略之后的另一道防线, 即使攻击者找到了漏洞, 能绕过同源策略的限制, 但还是被限制在只渲染当前站点的沙箱进程中, 无法获取其它站点的数据, 这种做法就是典型的纵深防御的体现。

4.XSS保护

在2007年前后,XSS漏洞被OWASP评为互联网最大的安全威胁。为了在安全领域获得竞争力, 微软率先在IE8中推出了XSS Filter功能,用以对抗反射型XSS攻击。开启XSS Filter后, IE会检测HTTP请求中是否存在可疑的恶意脚本, 并且检测HTTP响应中是否存在相同的代码, 如果存在, 则认为这是一次反射型XSS攻击, 并改写HTTP响应内容, 让恶意脚本失效。随后, Chrome和Safari也发布了相应的XSS防御功能, 称为:XSS Auditor。

由于XSS Filter和XSS Auditor本质上还是通过特征过滤实现XSS防御,因此还是会被针对性的绕过, 因此Firefox主推另一种更加严格的方案- 内容安全策略(CSP), 这一策略是由安全专家Robert Hanson最早提出的, 其原理是由服务端返回一个名为Content-Security-Policy的HTTP头, 并在其中描述该页面应该遵守的安全策略, 然后由浏览器来执行, CSP语法可以实现非常灵活的策略, 比如下面的语句定义了当前页面只允许加载和执行来自当前域和https://apis.google.com的脚本:

Content-Security-Policy: script-src 'self' https://apis.google.com

另一种添加策略的方式是在HTML源码中通过标签添加,例如:

<meta http-equiv="Content-Security-Policy" content="default-src 'self'; img-src https://*; child-src 'none';">

目前主流的浏览器都支持CSP, 它本质上是一种白名单机制, 由开发者明确告诉浏览器, 哪些可信的资源是允许加载的。所以CSP是一个更加安全的机制, 新版的Chrome和Edge浏览器已经移除了XSS Auditor和XSS Filter功能,开始主推CSP方案。

5.隐私策略

当你在一个网站上搜索某商品后, 在接下来的一段时间里,你访问其它网站时,它们也会展示与你搜索的商品相关的广告,甚至在跨设备时这种关联都有效。我们在互联网上的各种行为在被持续的跟踪和分析,虽然它带来了更精准的广告投放和个性化推荐, 但是在个人隐私数据越来越受到重视的今天, 极易引发人们对个人隐私安全的担忧。

Firefox在2011年首次引入了一个称为"请勿追踪"(Do Not Track)的特性, 它允许用户配置自己的浏览器,通过HTTP请求中加入一个名为DNT的头来表明自己不希望被追踪。很快, 主流的浏览器都开始支持这一特性, 微软甚至在IE10中默认开启DNT选项, 而且DNT选项也成为W3C的一个标准。

苹果的Safari浏览器更进一步,其提供的"智能防跟踪"功能会在本地分析所有的第三方Cookie,鉴别其中的追踪Cookie,并周期性将它们删除,更大程度减少用户被追踪。

著名的安全搜索引擎DuckDuckGo发布了一个名为Tracker Radar的项目,它通过分析全互联网的数据生成了一份域名列表, 涵盖了绝大部分跨站点追踪的网站。DuckDuckGo将其开源, 并将这份列表分享给其他厂商使用, Safari内置的跟踪器列表正式由Tracker Radar提供的。

与此同时,一向以隐私保护著称的苹果还在其Safari浏览器中加入了隐藏IP地址的功能, 苹果为用户提供了代理IP地址,当用户访问这些追踪用户的网站时, 实际上是通过苹果的代理IP地址访问的,用户的真实IP地址被隐藏起来,实现了更强的隐私保护。

同样的,谷歌发起了一个名为“隐私沙盒”的项目, 隐私沙盒的主要目的是将用户隐私数据转由浏览器来管理,并通过API的方式供Web站点调用,最终将第三方Cookie完全废除。目前该项目仍然处于试用阶段。

6.浏览器扩展

现在主流的浏览器普遍都支持扩展, 允许开发者为浏览器添加新的特性。浏览器为扩展程序提供了非常多的权限,以实现复杂的功能,例如:读取和更改网页上的数据、读取和修改剪切板内容,甚至屏幕录像。和移动平台的权限管理相似,浏览器也实现了扩展程序的权限管理,扩展程序都需要声明自己所用到的权限,在安装时需要征得用户同意后才能添加到浏览器中, 而且扩展程序在运行中无法使用未授权的权限。以下是在Chrome浏览器中添加扩展需要申请权限:

浏览器为了减少扩展程序带来的危害,一方面加强扩展商店的安全审查,另一方面也在逐步把权限做的更加精细, 比如只对特定网站授权,或者每次使用时授权, 而不是一次性给全部网站永久授权。除此之外,即时用户已经同意安全扩展,在安装之后,用户仍然可以通过查看详情详细了解该扩展拥有的权限所能够做的事情, 例如Chrome浏览器的某个扩展权限详情:

7.可信网站自识别

网络钓鱼一直以来是互联网的一大威胁, 针对钓鱼网站, 浏览器厂商推出了恶意网站拦截功能, 除了拦截钓鱼和诈骗网站, 还会拦截下载恶意软件的站点。

恶意网站拦截的工作原理很简单, 一般都是浏览器周期性从服务端获取一份最新的恶意网址黑名单,如果用户访问的网址存在此黑名单中, 浏览器就会弹出一个警告页面,以下是Safe Browsing的拦截页面:

Google的Safe Browsing和微软的SmartScreen是应用最广泛的反恶意网站功能, Safe Browsing不仅被应用于Google的各个产品中, 它还提供了API供其他厂商使用, Safari和Firefox也都集成了Safe Browsing。微软的SmartScreen不仅提供拦截恶意网站和恶意程序的功能,还提供了基于文件信誉值高的文件, 它维护了一份曾被大量用户下载的热门文件列表, 其中的文件都被认为是信誉高的文件, 如果用户下载的文件不在这这个高信誉文件列表中, SmartScreen将给出警告。这项功能极大降低了用户下载恶意软件带来的危害。根据NSS Labs的统计数据, 基于文件信誉保护功能的SmartScreen阻止了99%的恶意文件下载。

除此之外,为了让用户更容易辨识可信网站, 全球数字证书颁发机构与浏览器厂商共同制定了一个更安全的增强型数据证书,叫做:EV SSL证书(Extended Validation SSL Certificate)。这个证书有更加严格的身份验证标准, 数字证书颁发机构除了验证申请者的域名所有权,还要对申请者进行严格的审查以确认身份的真实性,只有拥有良好信誉的申请者才能通过审查, 恶意仿冒网站很难申请到EV SSL证书。

对于没有使用https协议的网站,浏览器默认会对其标识为:不安全, 提醒用户注意, 如图:

而采用https协议的网站, 在地址栏前面会看到一把锁, 点击可以看到该网站的证书,以下是苹果Safari浏览器显示的证书:

8.新的技术方向

其实除以上安全功能外,现代浏览器还提供了一个自动填充功能, 能够自动填写地址、信用卡、密码等信息。但存在一个问题, 浏览器内部的自动填充系统有时会与外部密码管理器产生冲突, 例如:1Password、Bitwarden等第三方密码管理器。为了解决该问题, 谷歌的Chrome于近日即将推出一项调整来解决该问题, 谷歌目前正在测试一项新的"自动填充选项"设置, 旨在改善Chrome与第三方密码管理器的兼容性, 这种更紧密的集成消除了需要复制粘贴信息的繁琐操作,对于第三方管理器更有利, 同时也使用户在使用非谷歌应用时更加方便, 对用户来说也更加安全。

本文由哈喽比特于1年以前收录,如有侵权请联系我们。
文章来源:https://mp.weixin.qq.com/s/xdltBktXLMBChXxIH1g1uQ

 相关推荐

刘强东夫妇:“移民美国”传言被驳斥

京东创始人刘强东和其妻子章泽天最近成为了互联网舆论关注的焦点。有关他们“移民美国”和在美国购买豪宅的传言在互联网上广泛传播。然而,京东官方通过微博发言人发布的消息澄清了这些传言,称这些言论纯属虚假信息和蓄意捏造。

发布于:1年以前  |  808次阅读  |  详细内容 »

博主曝三大运营商,将集体采购百万台华为Mate60系列

日前,据博主“@超能数码君老周”爆料,国内三大运营商中国移动、中国电信和中国联通预计将集体采购百万台规模的华为Mate60系列手机。

发布于:1年以前  |  770次阅读  |  详细内容 »

ASML CEO警告:出口管制不是可行做法,不要“逼迫中国大陆创新”

据报道,荷兰半导体设备公司ASML正看到美国对华遏制政策的负面影响。阿斯麦(ASML)CEO彼得·温宁克在一档电视节目中分享了他对中国大陆问题以及该公司面临的出口管制和保护主义的看法。彼得曾在多个场合表达了他对出口管制以及中荷经济关系的担忧。

发布于:1年以前  |  756次阅读  |  详细内容 »

抖音中长视频App青桃更名抖音精选,字节再发力对抗B站

今年早些时候,抖音悄然上线了一款名为“青桃”的 App,Slogan 为“看见你的热爱”,根据应用介绍可知,“青桃”是一个属于年轻人的兴趣知识视频平台,由抖音官方出品的中长视频关联版本,整体风格有些类似B站。

发布于:1年以前  |  648次阅读  |  详细内容 »

威马CDO:中国每百户家庭仅17户有车

日前,威马汽车首席数据官梅松林转发了一份“世界各国地区拥车率排行榜”,同时,他发文表示:中国汽车普及率低于非洲国家尼日利亚,每百户家庭仅17户有车。意大利世界排名第一,每十户中九户有车。

发布于:1年以前  |  589次阅读  |  详细内容 »

研究发现维生素 C 等抗氧化剂会刺激癌症生长和转移

近日,一项新的研究发现,维生素 C 和 E 等抗氧化剂会激活一种机制,刺激癌症肿瘤中新血管的生长,帮助它们生长和扩散。

发布于:1年以前  |  449次阅读  |  详细内容 »

苹果据称正引入3D打印技术,用以生产智能手表的钢质底盘

据媒体援引消息人士报道,苹果公司正在测试使用3D打印技术来生产其智能手表的钢质底盘。消息传出后,3D系统一度大涨超10%,不过截至周三收盘,该股涨幅回落至2%以内。

发布于:1年以前  |  446次阅读  |  详细内容 »

千万级抖音网红秀才账号被封禁

9月2日,坐拥千万粉丝的网红主播“秀才”账号被封禁,在社交媒体平台上引发热议。平台相关负责人表示,“秀才”账号违反平台相关规定,已封禁。据知情人士透露,秀才近期被举报存在违法行为,这可能是他被封禁的部分原因。据悉,“秀才”年龄39岁,是安徽省亳州市蒙城县人,抖音网红,粉丝数量超1200万。他曾被称为“中老年...

发布于:1年以前  |  445次阅读  |  详细内容 »

亚马逊股东起诉公司和贝索斯,称其在购买卫星发射服务时忽视了 SpaceX

9月3日消息,亚马逊的一些股东,包括持有该公司股票的一家养老基金,日前对亚马逊、其创始人贝索斯和其董事会提起诉讼,指控他们在为 Project Kuiper 卫星星座项目购买发射服务时“违反了信义义务”。

发布于:1年以前  |  444次阅读  |  详细内容 »

苹果上线AppsbyApple网站,以推广自家应用程序

据消息,为推广自家应用,苹果现推出了一个名为“Apps by Apple”的网站,展示了苹果为旗下产品(如 iPhone、iPad、Apple Watch、Mac 和 Apple TV)开发的各种应用程序。

发布于:1年以前  |  442次阅读  |  详细内容 »

特斯拉美国降价引发投资者不满:“这是短期麻醉剂”

特斯拉本周在美国大幅下调Model S和X售价,引发了该公司一些最坚定支持者的不满。知名特斯拉多头、未来基金(Future Fund)管理合伙人加里·布莱克发帖称,降价是一种“短期麻醉剂”,会让潜在客户等待进一步降价。

发布于:1年以前  |  441次阅读  |  详细内容 »

光刻机巨头阿斯麦:拿到许可,继续对华出口

据外媒9月2日报道,荷兰半导体设备制造商阿斯麦称,尽管荷兰政府颁布的半导体设备出口管制新规9月正式生效,但该公司已获得在2023年底以前向中国运送受限制芯片制造机器的许可。

发布于:1年以前  |  437次阅读  |  详细内容 »

马斯克与库克首次隔空合作:为苹果提供卫星服务

近日,根据美国证券交易委员会的文件显示,苹果卫星服务提供商 Globalstar 近期向马斯克旗下的 SpaceX 支付 6400 万美元(约 4.65 亿元人民币)。用于在 2023-2025 年期间,发射卫星,进一步扩展苹果 iPhone 系列的 SOS 卫星服务。

发布于:1年以前  |  430次阅读  |  详细内容 »

𝕏(推特)调整隐私政策,可拿用户发布的信息训练 AI 模型

据报道,马斯克旗下社交平台𝕏(推特)日前调整了隐私政策,允许 𝕏 使用用户发布的信息来训练其人工智能(AI)模型。新的隐私政策将于 9 月 29 日生效。新政策规定,𝕏可能会使用所收集到的平台信息和公开可用的信息,来帮助训练 𝕏 的机器学习或人工智能模型。

发布于:1年以前  |  428次阅读  |  详细内容 »

荣耀CEO谈华为手机回归:替老同事们高兴,对行业也是好事

9月2日,荣耀CEO赵明在采访中谈及华为手机回归时表示,替老同事们高兴,觉得手机行业,由于华为的回归,让竞争充满了更多的可能性和更多的魅力,对行业来说也是件好事。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI操控无人机能力超越人类冠军

《自然》30日发表的一篇论文报道了一个名为Swift的人工智能(AI)系统,该系统驾驶无人机的能力可在真实世界中一对一冠军赛里战胜人类对手。

发布于:1年以前  |  423次阅读  |  详细内容 »

AI生成的蘑菇科普书存在可致命错误

近日,非营利组织纽约真菌学会(NYMS)发出警告,表示亚马逊为代表的电商平台上,充斥着各种AI生成的蘑菇觅食科普书籍,其中存在诸多错误。

发布于:1年以前  |  420次阅读  |  详细内容 »

社交媒体平台𝕏计划收集用户生物识别数据与工作教育经历

社交媒体平台𝕏(原推特)新隐私政策提到:“在您同意的情况下,我们可能出于安全、安保和身份识别目的收集和使用您的生物识别信息。”

发布于:1年以前  |  411次阅读  |  详细内容 »

国产扫地机器人热销欧洲,国产割草机器人抢占欧洲草坪

2023年德国柏林消费电子展上,各大企业都带来了最新的理念和产品,而高端化、本土化的中国产品正在不断吸引欧洲等国际市场的目光。

发布于:1年以前  |  406次阅读  |  详细内容 »

罗永浩吐槽iPhone15和14不会有区别,除了序列号变了

罗永浩日前在直播中吐槽苹果即将推出的 iPhone 新品,具体内容为:“以我对我‘子公司’的了解,我认为 iPhone 15 跟 iPhone 14 不会有什么区别的,除了序(列)号变了,这个‘不要脸’的东西,这个‘臭厨子’。

发布于:1年以前  |  398次阅读  |  详细内容 »
 相关文章
Android插件化方案 5年以前  |  237278次阅读
vscode超好用的代码书签插件Bookmarks 2年以前  |  8114次阅读
 目录