據(jù)國(guó)外媒體報(bào)道，網(wǎng)絡(luò)瀏覽器一直以來(lái)都被黑客作為攻擊電腦安全的主要切入點(diǎn)。近日，網(wǎng)絡(luò)應(yīng)用安全專業(yè)廠商Cenzic聯(lián)合蘋果Safari，Mozilla火狐（Firefox）和微軟Internet Explorer，在2009年度全球黑客大賽CanSecWest中Pwn2own競(jìng)賽的一份報(bào)告強(qiáng)調(diào)指出：必須不斷提升瀏覽器的安全性。

從微軟Internet Explorer 8到蘋果Safari，知名的網(wǎng)絡(luò)瀏覽器均在16日舉行的黑客大賽上遭到了公眾的批評(píng)。即使黑客們的注意力主要還是集中在網(wǎng)絡(luò)應(yīng)用程序上，但是針對(duì)瀏覽器進(jìn)行的攻擊還是令大家惱火。

在Cenzic18日發(fā)布的《網(wǎng)絡(luò)應(yīng)用安全性趨勢(shì)報(bào)告》中指出，在2008年下半年針對(duì)瀏覽器進(jìn)行的攻擊增加了7%，其中微軟的Internet Explorer占43%，排在第二位的是Mozilla的火狐瀏覽器(39%), 而蘋果的Safari和Opera軟件的Opera瀏覽器分別占了10%和8%。

全球黑客大賽CanSecWest是由業(yè)界領(lǐng)先的IPS廠商TippingPoint主辦，今年的側(cè)重點(diǎn)即為IE，Safari和火狐瀏覽器的安全性。在此大背景下來(lái)看，過(guò)去幾年內(nèi)瀏覽器安全性問(wèn)題整體上一直在不斷改進(jìn)，正如2009年P(guān)wn2Own競(jìng)賽獲獎(jiǎng)?wù)咧坏腃harlie Miller所講，不論是微軟IE8的跨站腳本過(guò)濾器，還是Google

Chrome的沙盒（sandboxing）都在一定程度上限制了可能的損害。

Miller表示，“大多數(shù)供應(yīng)商均承認(rèn)漏洞的存在，這意味著接下來(lái)的工作主要是防止其被惡意利用。沙盒（sandboxing）就像柵欄一樣阻擋了不懷好意的入侵者。”

高德納（Gartner）公司的分析師John Pescatore則認(rèn)為，在主流瀏覽器中的反網(wǎng)絡(luò)釣魚過(guò)濾功能也可以增強(qiáng)其安全性，但不能因此就夸大其優(yōu)良的服務(wù)功能。他表示，“從商業(yè)角度來(lái)講，確實(shí)非常需要明確到底是人在操作瀏覽器還是蜘蛛（Spider）、僵尸網(wǎng)絡(luò)客戶端（botnet client），或者屏幕截取器（screen-scraper）。瀏覽者可以通過(guò)網(wǎng)絡(luò)應(yīng)用服務(wù)器，如微軟和Apache等獲悉瀏覽器是否由本地控制，從而有效打擊自動(dòng)化欺詐?！?

The Ogren Group 的首席分析師Eric Ogren指出，在使用激活碼進(jìn)行驗(yàn)證方面進(jìn)行的努力使得用戶無(wú)法再利用cookies令電腦記住用戶名和密碼，或?qū)χT如緩沖溢出等攻擊有所察覺(jué)，最根本的問(wèn)題就在于標(biāo)準(zhǔn)化的使用性和安全性問(wèn)題之間的矛盾。他說(shuō)，“瀏覽器需要滿足諸多要求，使得其攻擊界面的安全性難以得到保證，最大的問(wèn)題就是傳統(tǒng)的安全技術(shù)限制了用戶使用瀏覽器進(jìn)行一些違規(guī)訪問(wèn)?！?

【編輯推薦】

1. 美國(guó)大學(xué)研制出“最安全瀏覽器” 預(yù)計(jì)5月面市
2. 瑞星互聯(lián)網(wǎng)威脅報(bào)告：黑客利用瀏覽器進(jìn)行多形式攻擊
3. PWN2OWN黑客大賽2009到底準(zhǔn)備了哪些瀏覽器