我听说网络浏览是当今计算机上最有可能的恶意软件来源。我还听说人们不必担心 Linux 上的病毒。那么,我是否应该使用允许我有选择地为喜欢的域启用 javascript 的浏览器扩展,例如 No-Script 或 Not-Script?
Ped*_*ram 13
确实!
攻击者可以使用恶意脚本进行XSS等多种攻击:
跨站脚本 (XSS) 是一种常见于 Web 应用程序中的计算机安全漏洞,它使恶意攻击者能够将客户端脚本注入其他用户查看的网页中...
在维基百科中阅读更多内容。
没有任何脚本可以让您控制网页(或网站)上的所有脚本及其使用的插件,例如 flash、java 等。您将受信任的站点添加到白名单,而其他站点则不允许运行脚本,除非你让他们(暂时或永久)。
一个问题,它的回答就没有脚本的网站(FAQ)可以提供一些澄清:
为什么我应该只允许对受信任站点执行 JavaScript、Java、Flash 和插件?
JavaScript、Java 和 Flash,即使是非常不同的技术,也有一个共同点:它们在您的计算机上执行来自远程站点的代码。这三个都实现了某种沙箱模型,限制了远程代码可以执行的活动:例如,沙箱代码不应该读/写您的本地硬盘,也不应该与底层操作系统或外部应用程序交互。即使沙箱是防弹的(不是这种情况,请阅读下文),即使您或您的操作系统用另一个沙箱(例如 Vista 上的 IE7+ 或 Sandboxie)包装了整个浏览器,仅在浏览器中运行沙箱代码的能力就可以被用于恶意目的,例如窃取您在网络上存储或输入的重要信息(信用卡号、电子邮件凭据等)或“冒充”您,例如 在虚假金融交易中,发起“云”攻击,如跨站点脚本 (XSS) 或 CSRF,无需逃离浏览器或获得比普通网页更高的权限。仅此一项就足以允许仅在受信任的站点上编写脚本。此外,许多安全漏洞旨在实现“权限提升”,即利用沙箱的实施错误来获取更大的权限并执行诸如安装木马、rootkit 和键盘记录程序等令人讨厌的任务。这种攻击也可以针对 JavaScript、Java、Flash 和其他插件:仅此一项就足以允许仅在受信任的站点上编写脚本。此外,许多安全漏洞旨在实现“权限提升”,即利用沙箱的实施错误来获取更大的权限并执行诸如安装木马、rootkit 和键盘记录程序等令人讨厌的任务。这种攻击也可以针对 JavaScript、Java、Flash 和其他插件:仅此一项就足以允许仅在受信任的站点上编写脚本。此外,许多安全漏洞旨在实现“权限提升”,即利用沙箱的实施错误来获取更大的权限并执行诸如安装木马、rootkit 和键盘记录程序等令人讨厌的任务。这种攻击也可以针对 JavaScript、Java、Flash 和其他插件:
对于坏人来说,JavaScript 似乎是一个非常宝贵的工具:如果禁用 JavaScript,迄今为止发现的大多数已修复的浏览器可利用漏洞都将无效。也许原因是脚本更容易测试和搜索漏洞,即使你是一个新手黑客:每个人和他的兄弟都相信自己是一个 JavaScript 程序员 :P
Java 有一个更好的历史,至少在它的“标准”化身 Sun JVM 中。有一些病毒是为 Microsoft JVM 编写的,例如 ByteVerifier.Trojan。无论如何,Java 安全模型允许已签名的小程序(其完整性和来源由数字证书保证的小程序)以本地权限运行,即就像它们是常规安装的应用程序一样。这一点,结合这样的事实,总有用户在警告之前,如“此小程序使用错误/伪造证书签名。您不想执行它!您是否如此疯狂地执行它?[ Never!] [Nope] [No] [Maybe]”,会搜索,找到并点击“是”按钮,甚至对Firefox也造成了一些不好的声誉(注意这篇文章很蹩脚,但你可以想象得到很多回声)。
Flash 曾经被认为是相对安全的,但自从它的使用变得如此广泛以来,已经以更高的速度发现了严重的安全漏洞。Flash 小程序也被利用来对它们所在的站点发起 XSS 攻击。>
其他插件更难利用,因为它们中的大多数不像 Java 和 Flash 那样托管虚拟机,但它们仍然可以暴露诸如缓冲区溢出之类的漏洞,当输入特制内容时可能会执行任意代码。最近我们看到了几个这样的插件漏洞,影响了 Acrobat Reader、Quicktime、RealPlayer 和其他多媒体助手。
请注意,上述技术通常(95% 的情况下)都不会受到已知且尚未修补的可利用问题的影响,但 NoScript 的重点在于:防止利用即使是未知的安全漏洞,因为当它们被发现时可能为时已晚;) 最有效的方法是禁用不受信任站点上的潜在威胁。
理论上,您可以在 Linux 和 Mac OS 上感染病毒。大多数人不这样做的原因是因为 Linux 和 Mac OS 不是大目标。恶意软件编写者希望以最少的努力广撒网。其次,Linux/Unix 提供了更多的安全性和更明智的用户(一般而言)。话虽如此,我始终在 Windows、Mac OS X 和 Ubuntu 上使用 Flashblock 和 No Script。页面加载速度更快,它通过防止 Flash cookie 和各种其他问题来帮助实现在线匿名。无论平台如何,我都强烈推荐它们。至少,它们让您更加了解页面正在尝试做什么。