人们总是说 Linux 比 Windows 更安全。主要原因似乎是一般的系统设计理念以及用户是用户而不是 root 的事实。
使用 Windows 和 Internet Explorer 时的一个主要安全问题似乎是 ActiveX。每隔几天我就会读到另一种使用 ActiveX 的漏洞利用,几乎所有的解决方法都是停用 ActiveX。我经常读到,我想知道为什么人们根本不需要激活 ActiveX。(一个原因可能是名称包含“活动”;另一个可能是 Windows 更新功能。)
使用 Ubuntu 和 Firefox,在阅读有关 ActiveX 漏洞的信息时,我总是感到非常安全。我知道还有许多其他使用 JavaScript 和/或 Adobe Flash 的安全漏洞,但据我所知,这些安全漏洞只能在我的用户权限允许的范围内造成尽可能大的损害。当然,当恶意软件想要销毁我的所有数据时,这并没有多大帮助 - 但今天的大多数恶意软件只想将我的 PC 用作僵尸网络无人机,因此对销毁我的数据不感兴趣。
那么问题又来了:在安全漏洞方面,在 Ubuntu 下运行的 Firefox 是否有类似于 ActiveX 的东西?
另一个可能相同的问题:涉及 Adobe Flash 和/或 JavaScript 的安全漏洞是否可以“轻松”利用来造成与 ActiveX 漏洞一样多的破坏?
当我说“简单”时,我的意思是攻击不需要利用系统的另一个组件来提升用户权限。例如,一个涉及 Adobe Flash 的漏洞将使用我的用户权限访问我的 PC,然后继续利用一些已知的漏洞X来获得 root 访问权限。这并不“容易”。
在安全漏洞方面,ubuntu 下的 firefox 是否有类似于 activeX 的东西?
“ActiveX”可以分为两部分,对象模型和安装方法。Firefox 对两者都有类似的东西——并且跨平台兼容,Ubuntu 或其他。
ActiveX 的对象模型是Microsoft COM;Firefox 的等效项是XPCOM。许多其他与 Web 浏览无关的 Windows 功能和应用程序使用 MS COM,并且传统上存在无穷无尽的问题,即不是为安全 Web 使用而编写的 COM 控件仍然可用于网页。这引起了许多妥协。Firefox 在这里更好,因为 XPCOM 不与系统的其余部分共享。较新版本的 IE 具有更好的控制来减轻允许哪些站点使用哪些控件。
(作为一个附带问题,由于 Firefox 的许多附加组件本身都是用 JavaScript(一种高级脚本语言)编写的,因此与通常用 C 编写的 IE 扩展相比,它们通常更安全,不会出现缓冲区溢出和字符串处理错误[ ++]。)
ActiveX 的控制下载器部分也被清理了一些,因为在我的电脑区域中的任何东西都可以安装它喜欢的任何软件的糟糕过去,并且积极的加载程序脚本可能会让您陷入alert循环,直到您同意批准 ActiveX迅速的。Firefox 的等效项XPInstall 的行为大致相似,默认情况下,除 Mozilla 站点外的所有站点上都有“信息栏”,并在安装前提供合适的警告/提示。
您可以在 Mozilla 中使用另一种内置方式来妥协:签名脚本。我从未见过实际使用过它,并且在脚本获得额外权限之前肯定会出现另一个警告窗口,但我有点担心这完全可用于网页。
例如,通过闪存的漏洞利用将在我的用户权限下访问我的电脑
是的,当今大多数 Web 攻击都发生在插件中。Adobe Reader、Java(*) 和 QuickTime 是最流行/最脆弱的。IMO:摆脱这些,并使用 FlashBlock 仅在您需要时显示 Flash。
(*: 和 Java 在让你放弃所有安全性给一些不受信任的小程序之前的对话也有点赤裸裸。)
默认情况下,Ubuntu 为您提供了一些有问题的插件,特别是一个媒体播放器插件,它可以使您的任何媒体编解码器中的每个漏洞都可以通过网络利用(类似于 Windows 媒体播放器插件,只是可能具有更多格式)。虽然我还没有遇到过像这样针对 Linux 的漏洞利用,但这实际上只是通过默默无闻的安全性。
请注意,ActiveX 本身也不例外。基于 ActiveX 的 Web 浏览器妥协仍然只提供用户级别的访问权限;只是因为在 Vista 之前,每个人都习惯性地以管理员身份运行所有内容,这才升级为完全生根。
然后利用X中的一些已知漏洞获得root权限。这并不“容易”。
也许,也许不是。但我认为您会发现,即使是普通用户帐户,某些恶意软件也能造成的破坏已经够糟糕的了。复制您的所有个人数据,观察您的按键操作,删除您的所有文件......
| 归档时间: |
|
| 查看次数: |
7175 次 |
| 最近记录: |