Re: [分享] 一些減少中毒機會的方法
※ 引述《HZYSoft (PCMan 知識+)》之銘言:
部分引言恕刪
: 基本上,可以從網頁上對你的系統進行破壞的東西,有很多:
: 1. IE 才有的 Active X 和 plugins
: 2. IE 才有的 VBScript (這個舊版 IE 只要讀到網頁就立刻中獎)
: 3. IE 才有的 JScript (不是 Javascript,是微軟自己不合標準的修改版)
: 4. Firefox 的 extensions (這個超強大,可以對你系統為所欲為)
: 5. Firefox 的 plugins (同上,這殺傷力跟 ActiveX 完全一樣)
: 6. Java
: 7. Adobe Reader plugin 新版漏洞 (遇到內含 script 的 pdf)
: 8. RealNetwork RealPlayer (有人好像遇到過影片內嵌病毒,原理不明)
: 9. Flash 漏洞?
其實我的概念是,javascript很危險,所以我的Firefox一直都有加裝NoScript
(這個extension可以讓你自己決定某個domain下的javascript是否執行)
就本質上來說,javascript等於是在瀏覽器上面執行的任意程式碼
在還沒用Firefox之前,我的IE的安全性就已經把javascript設為詢問
但是開一個網頁前要點個十幾下是 / 否,一般的使用者是絕對受不了的
雖然到目前為止還沒有看到(或是我孤陋寡聞囧)因為"純javascript"導致嚴重的破壞
大部分惡意的javascript,都是用來加密程式碼繞過檢查
然後結合其他的漏洞,像是PCMan前輩列出來的這些漏洞,或是像XSS這樣的欺瞞手法
但是反過來說,如果在javascript的階段就不執行了,後面一系列的動作也就不會被觸發
這也是我這麼熱愛NoScript的原因,被掛馬的網頁往往也可以很快的發現
(通常看到的情形是,去呼叫奇怪domain的js檔,然後解碼一串code後丟進eval()去)
以現在網頁的趨勢來看,要使用者停用javascript大概是不可能的事
所以大概只能靠各家軟體廠商對plugin的修補以及作業系統的定時更新?
現在許多的防毒軟體已經把惡意的javascript一併納入病毒的範圍,這也是多一道防護
另外,我還蠻好奇的,對使用者來說,XSS有沒有一個有效的方法可以防禦?
我認為這應該要由browser擋掉可疑的跨站javascript
甚至是把透過表單傳遞的javascript也通通檔下來,但是這樣做算不算是矯枉過正?
NoScript是有這個功能,不知道會不會變成未來瀏覽器內建的功能之一?
我想短期內,我的NoScript會是我必備的extension XD
--
※ 發信站: 批踢踢實業坊(ptt.cc)
◆ From: 220.136.4.43
推
06/22 00:14, , 1F
06/22 00:14, 1F
→
06/22 00:16, , 2F
06/22 00:16, 2F
推
06/22 00:25, , 3F
06/22 00:25, 3F
推
06/22 01:18, , 4F
06/22 01:18, 4F
→
06/22 01:19, , 5F
06/22 01:19, 5F
→
06/22 01:19, , 6F
06/22 01:19, 6F
→
06/22 01:19, , 7F
06/22 01:19, 7F
推
06/22 01:19, , 8F
06/22 01:19, 8F
推
06/22 07:33, , 9F
06/22 07:33, 9F
→
06/22 07:36, , 10F
06/22 07:36, 10F
→
06/22 07:38, , 11F
06/22 07:38, 11F
→
06/22 07:40, , 12F
06/22 07:40, 12F
→
06/22 07:43, , 13F
06/22 07:43, 13F
→
06/22 07:44, , 14F
06/22 07:44, 14F
推
06/22 11:57, , 15F
06/22 11:57, 15F
→
06/22 11:58, , 16F
06/22 11:58, 16F
→
06/22 12:56, , 17F
06/22 12:56, 17F
→
06/22 18:35, , 18F
06/22 18:35, 18F
推
06/22 22:54, , 19F
06/22 22:54, 19F
討論串 (同標題文章)