详解2016年浏览器的安全机制

来源:本网整理

(互粉走起)赵本山不仅本人很红,赚了很多钱,还带红了一大批徒弟。今天就来说说赵本山几个有代表性的徒弟,看看他们现在过得怎么样。第一位:宋小宝赵本山很多徒弟出身贫寒。早年刷过盘子,住过一晚三块钱的小旅馆,想想就心酸。如今跟过去太不一样了,赵本山徒弟中,宋小宝自称第二,恐怕没人敢称第一。他天生带着幽默感,口才好,善于抓住机会,走红几年来人气一直上升。其实宋小宝可能会红得更早,据说《不差钱》里那个角色本是宋小宝的,但赵本山觉得小沈阳形象更适合。不管怎样,宋小宝后来红了。第二位:王小利王小利1969年出生,是赵本山徒弟中年龄比较大的。2006年,王小利参演《乡村爱情》,饰演刘能。以后很多人叫他“刘能”

s">

详解2016年浏览器的安全机制

作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-01 11:14:08 我要评论 随着互联网的迅速发展,浏览器渐渐的融入到社会中,现在的浏览器的版本形形色色,丰富多彩,发展的同时浏览器的安全问题也受到了广大用户的关注,一起来看看吧 ">

大家都知道现在浏览器的安全问题备受大家的关注,下面突袭网小编为大家讲解一下2016年浏览器的安全机制问题,一起来看看吧。

这分明是拉着日本人来打中国人,陈导你太让人失望了。泱泱大国十四亿人口,再怎么样找个演员不是难事,不知你出于什么考量,挖空心思找个日本人来主演,这也太伤中国人民感情了。中日二国历史恩怨不是说了就了的。虽说艺术无国界,但观众是有国界的,主题是有国界的。好的电影,除了制作导演演员水平还有全体主创演职人员的人品,你如此人品,笔者可以肯定不会为该片买单。希望更多同胞站出来与我一起抵制,抵制这位毫无民族自尊心的陈凯歌。青年画家俞果说了对,我们在审视历史,但我们终将成为历史,我们可以贫困,但我们无权被后人耻笑。(本题用图由果酱女王俞果创作)

一、背景

看到有人回答会去天堂,不知道这个天堂是不是欧美宗教里的天堂,如果是,可以肯定,动物包括猫咪死后是不可能去天堂的。天堂没有动物,这是常识。而且根据欧美宗教的教义,动物和人并不是一个等级,人可以去天堂,动物不行。动物和人无法相互转化。按照佛教的说法,六道众生轮回。动物究竟去哪一道,看他们哪种业力先成熟,就投胎到哪里。最好的可以去天上做天人。希望猫咪死后到天堂是种美好愿望,但并不符合宗教教义。如果希望猫咪死后能转到好的地方去,可以简单超度一下,念一下往生咒,或者干脆念佛祈求佛菩萨加持,祈愿猫咪能到佛国世界,或者投生人道,不再受苦。

随着互联网的快速发展,种类繁多的浏览器也变得越来越复杂,它们不仅分析纯文本和HTML,还包括图像、视频和其他复杂的协议和文件格式等。这些极大地丰富了浏览器的功能,给用户带来了方便和更好的浏览体验,然而也带来了一系列的安全问题,各种各样的安全漏洞层出不穷,成为了黑客最易攻击的对象之一。为此,浏览器厂商也在不懈努力,在积极修复漏洞的同时,也在浏览器安全机制方面做着努力,本文将展示和对比主流浏览器当前对安全机制的实现状况。

  大家可能都有这样的疑惑,为什么我们在网上经常看到淘宝开店赚多少W的新闻,而我的淘宝店铺却不赚钱?那网上那些淘宝开店赚多少W的新闻是真的吗?看完下面的分析,真相震惊!  比如新闻爆料“家门口开淘宝店XX一农民月净赚万元”,小编仔细阅读了整篇文章内容,得出这一一个结论,就是通过淘宝服务站帮助农民朋友该购,然后赚钱赚取服务费。又比如“XX80后小伙600元淘宝创业7年后年售额过亿”主要讲的是80后小伙靠着600元,在淘宝开起了网店。7年的时间,在不断学习摸索下,他从一个人、一台电脑做到目前拥有三家公司,年销售过亿元,上演了一出屌丝变身高富帅的创业奇迹。像这样的新闻,可以说在网上可以找到很多……每

首先来看看最近全球浏览器的市场份额,根据Net Market Share的统计数据,2016年7月份全球浏览器的市场份额如下图所示:Chrome占据市场份额最多,占50.95%,其次是占29.60%的IE,接下来依次是Firefox、Safari和Edge,这五款浏览器占据了全球98.27%的市场份额,其影响力非同一般。

图1 2016年7月份全球浏览器市场份额分布图

二、浏览器安全机制简介

近来,我们对上述五款浏览器的安全机制做了初步的探究,发现其内部的安全机制大同小异,下面就其主要的安全机制做一下简单介绍。

1、沙箱(Sandbox)

沙箱是一种隔离对象/线程/进程的机制,控制浏览器访问系统资源的权限,从而达到保护用户的系统不被网页上的恶意软件侵入、保护用户系统的输入事件(键盘/鼠标)不被监视、保护用户系统中的文件不被偷取等目的。最初的浏览器沙箱是基于Hook实现的,后来的Chrome沙箱是利用操作系统提供的一些安全机制实现的。

2、地址空间布局随机化(ASLR)

ASLR是一项缓解缓冲区溢出问题的安全技术。其原理是将进程运行所需的系统核心组件和对象在内存中的分布随机化。为了防止攻击者利用在内存中跳转到特定地址的函数,ASLR技术随机排列进程的关键数据区域的位置,包括可执行的部分、堆、栈及共享库的位置。

3、JIT Hardening

JIT Hardening是防止对JIT引擎本身的滥用的机制。JIT引擎通常在可预测的地址空间中放置可执行代码,这无疑给攻击者提供了可乘之机。只要攻击者计算出可执行代码放置的地址,极有可能通过代码覆盖来进行恶意活动。因此,必须有一项类似于ASLR的技术来保护JIT引擎,即JIT Hardienng。JIT Hardening常用技术包括:代码库队列随机化、指令库队列随机化、常量合并、内存页面保护、资源限制等。

4、数据执行保护(DEP)

DEP是一种阻止数据页执行代码的机制。将数据所在内存页标识为不可执行,当程序尝试在数据页面上执行指令时会抛出异常,而不是去执行恶意指令。

5、缓冲区安全检查(/GS

/GS是一种不强制缓冲区大小限制的代码常用技术。通过将安全检查插入到已编译代码中完成,检测某些改写返回地址的缓冲区溢出。

6、执行流保护(CFG)

CFG是对CFI(控制流完整性)的一个实用性实现,是一种编译器和操作系统相结合的防护手段,目的在于防止不可信的间接调用。对基于虚表进行攻击的利用手段可以有效防御。

7、附加组件签名机制

附加组件签名机制是Firefox43版本开始正式采取的一项对其附加组件管理的机制。Mozilla 根据一套安全准则对其附加组件进行验证并为其“签名”,需要签名的类型包括扩展,未被签名的扩展默认被禁用。这一机制对阻止来自第三方的恶意扩展起到了很好的作用。

8、W^X

W^X是“写异或执行”(WriteXOR Execute)的缩写,是OpenBSD中富有代表性的安全特性之一。W^R内存保护机制能够让网页使用内存写入代码或执行代码,但不能够同时进行这两种操作,可以阻止某些缓冲区溢出的攻击。

9、MemGC

MemGC即内存垃圾收集器(Memory Garbage Collector),是一种内存管理机制,由IE11的Memory Protector改进而来,首次在EdgeHTML和MSHTML中使用,采用标记清除(Mark-Sweep)算法对垃圾进行回收,能够阻止部分UAF(Use After Free)漏洞。

需要指出的一点是,上述几种安全机制并不是浏览器独有,有些机制,例如ASLR、/GS、CFG等,也被操作系统和编译器广泛采用。以上就是对几种主要安全机制的简单介绍,不够全面和详尽,还请大神勿喷。

三、主流浏览器对安全机制的实现情况

对于前面提到的几种浏览器安全机制,主流浏览器并不是全部实现了,具体情况如下表所示:

图2 主流浏览器安全机制的对比情况表

由表可以明显看出,除了Safari以外,其他四种浏览器均实现了前六种安全机制。而Safari不支持缓冲区安全检查机制,未实现CFG执行流保护机制但有资料显示其实现了控制流完整性(CFI)。对于后面三种安全机制,附加组件签名机制和W^X机制是Firefox浏览器独有的,而MemGC机制是Egde浏览器独有的。

在此,还需指出一点,虽然对某一安全机制有多个浏览器支持,但各个浏览器的实现方式及实现程度不尽相同。下面举两个例子加以说明:

(1)虽然Edge浏览器和IE浏览器都实现了沙箱机制,但Edge浏览器将框架进程也包含在了整个安全体系里面,权限更低,大大提高了安全性。

(2)Chrome和IE的沙箱机制对各种行为的限制也是不同的,图3列举了一些常见行为及Chrome和IE沙箱机制对其的限制对比情况:

图3 Chrome和IE沙箱机制对部分行为的限制情况

总结

浏览器发展至今,已经拥有比较成熟的安全机制,主要包括沙箱机制、JIT Hardening、地址空间布局随机化、数据执行保护、缓冲区安全检查、执行流保护、附加组件签名机制、W^X、MemGC等。然而,浏览器的安全并不是已经完全保障,各大浏览器厂商也在安全机制方面做着不懈的努力,期待着浏览器安全方面质的提高。

以上就是突袭网小编为大家讲解的关于2016年浏览器的安全机制的教程,想了解更多精彩教程请继续关注突袭网网站!

转载自FreeBuf

扩展阅读,根据您访问的内容系统为您准备了以下内容,希望对您有帮助。

win8.1 浏览器下载东西出现"你的操作系统启用了UAC安全机制,,具体情况如下

360的内核也是ie的,你按照设置ie的方法在360重新设置下。

360到底有多垃圾啊?

【新闻摘要】《每日经济新闻》今日推出独家重磅,记者第一次查清,360是如何在“安全卫士”、“安全浏览器”中,植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制:粗暴侵犯网民的隐私权、知情权,肆无忌惮地破坏行业规则。

【360黑匣子之谜:奇虎360“癌”性基因大揭秘】昨日是奇虎360所有APP产品被苹果全面下架一个月的日子。此外,这家以声称安全起家的互联网公司,正面临“不安全”的声讨。《每日经济新闻》记者经过数月调查,并在一批程序“猿”的帮助下,揭开了360的层层内幕。

【360产品被苹果下架

疑因泄露用户隐私】有证据显示,360手机卫士及360手机通讯录会将用户名(手机号)、手机IMEI码和密码等高度敏感信息明文传输。等于把手机用户隐私暴露在阳光下。360所有APP被苹果下架已经一个月,在隐私保护方面触怒了苹果,或许会被永久*。

【360黑匣子之谜:工蜂般盗取个人隐私信息】根据评测报告,360安全卫士v7.3.0.2003l对用户信息的处理涉嫌未遵守其中的用户知情权、选择权及禁止权,未经同意记录和上传用户行为数据。曾有公司上新产品,上线前一天360也出了同类产品,几乎一模一样,原来不少员工安装了360产品。

【360“偷梁换柱”浸润网银安全】切勿轻易信任和依赖360的“绿色网站认证”。360浏览器直接屏蔽权威认证机构VeriSign,换成自己的认证机制。技术专家试验,用假的招行网银能轻松通过360的认证。用IE等主流浏览器均会弹出错误提醒,用户收到信息后自然会停止交易、避免损失。

【360后门秘道:“上帝之手”,抑或“恶魔之手”?】360安全卫士在评分后的“一键修复”功能,更是其占领市场的利器。其借助傻瓜式的“一键修复”,导致用户在电脑上用什么、不用什么,都由360安全卫士说了算,至于是否都与安全性有关,一般用户自然看不出门道,相反还会对360的这些“*”行为“感恩戴德”——这些用户原本连安装或卸载软件的操作都不熟练,而360安全卫士就是一台“傻瓜相机”。

【360制胜“秘籍”:神秘的V3升级机制】V3由360高层决策层下达指令,通过后门机制,将指令性信息传达给用户电脑中安装的360安全卫士,主要指令为产品推广、删除竞争对手产品、新配置数据等。互联网专家称,如果工信部要管,就把360的V3升级禁止了,360就立刻死定了。

【360的后门】技术专家指出,凡安装360安全浏览器或360安全卫士的电脑,都已客观上成了360可以任意支配的“肉鸡”。360浏览器数亿量级,如果有人破解360安全浏览器,从而控制这个后门的话,那将是灾难性事件,它导致一个国家的瘫痪都是完全可能的。

每经记者

秦俑

昨日(2月25日),正是奇虎360所有APP产品被苹果全面下架一个月的日子。

就在此前,360的CFO亲赴美国“负荆请罪”,但360相关产品并未重新上架。

知情人士向

《每日经济新闻》记者透露,国家版权局内部已讨论确定,360搜索引擎严重违反Robots国际规则,目前正在拟定相关处罚决定,近期将在行政处罚会议上责令360停止侵权,进行整改。

据悉,有“*”代表委员正在草拟严惩不正当恶性竞争破坏产业,以及“3·15”应该将隐私保护列入重点的议案提案。

《信息方略》的一份调研结果显示,回答“拒绝安装360”的企业比例高达60%。

一家以声称安全起家的互联网公司,正面临“不安全”的声讨……

360到底怎么了?这是一家什么样的企业?带着这样的疑问,《每日经济新闻》记者经过数月调查,并在微博名人“独立调查员”等一批程序“猿”的帮助下,揭开了360的层层内幕。

360创始人周鸿祎一直对外宣称,360成功的秘诀是

“破坏性创新”。但记者调查发现,360的成功,更重要的是在于其“创新型破坏”:破坏才是目标。通过破坏,打破既有规则,从中获得市场与利益。

而这一破坏的基础,便是对互联网世界最基本的准则——最小特权原则的践踏。

为全面还原360的真实面目,“独立调查员”们以超人的技术能力与艰辛的劳动,剥茧抽丝般一层层揭开,将其内部机制破解成功。

360发家于

“360安全卫士”、“360安全浏览器”,而这两款产品甫一面世,便携带了这家公司的癌性基因:以违反“最小特权原则”为基石而构建。

《每日经济新闻》记者第一次查清,360是如何在其庞大的以安全著称的“安全卫士”、“安全浏览器”软件中,植入非法程序,并通过该非法程序中的“后门机制”与360云端配合,形成全球独一无二的秘密内部机制。

最令人惊诧的,是即使在360内部也属高度机密的

“V3升级机制”。当360要发动一场讨伐竞品的战争时,其便启动“V3机制”——通过“安全卫士”、“安全浏览器”,在用户电脑中私自卸载竞争对手的产品,私自安装自己要推广的产品,从而以最便捷的方式一举占领市场,这就是360常胜不衰的真正秘诀。

在这场看不见的战争中,360表现出两个粗暴:粗暴侵犯网民的合法权益(隐私权、知情权、同意权)、粗暴侵犯同行的基本权益,肆无忌惮地破坏行业规则,从而实现其“一枝黄花”式的疯狂成长。

360现象,不仅对行业有巨大的破坏性,对互联网秩序产生严重的破坏力,更是对整个社会产生“癌性浸润”。

这种“癌性浸润”,让原本的市场竞争转向了底层控制力的交战。《每日经济新闻》记者获悉,百度即将砸重金投向安全领域,最快将于今年上半年正式推出,这与经历“3Q大战”的腾讯进驻安全领域如出一辙。

更为可悲的是,为了防御360的“癌性浸润”,从底层控制到应用层几大巨头均涉足其中,这样带来的直接后果就是,未来中国互联网将变成一个腾讯、百度、阿里、360“四国顶立”的擎天柱式体系。而这将让一个个丰满、丰富的热带雨林式生态环境变成巨无霸们为生存而生灵涂炭的地方。

360会“立地成佛”么?这或许会是一场持久战……

《每日经济新闻》将持续关注。

(出于保护记者人身安全的考虑,本组稿件记者署名均为化名)

调查员独白:我为什么反360?

我先讲一个故事吧。

在现实生活中,我们都知道一个最简单的常识:小区的保安公司都是必须向业主收取服务费的。但是,某年某城市的一个小区,来了一个K保安公司,宣布他们将为小区提供免费服务。经过几轮波折,最终K保安公司实现接管小区保安业务。

K公司入驻后,当然全部换上K保安人员,并迅速换上K公司特产的小区监控系统——在小区的每一个视角都安装了监视体系。业主们觉得,这真是天下难找的大好事啊,居然能够免费获得最好的安全保卫。

不久,K公司出于安全考虑,将物业公司辞了,换上K安全物业公司;再接着,小区园林服务公司也换成K安全园林公司;再接着,业主所有私家车都装上了K安全GPS导航;再接着,K安全物流、K安全农贸、K安全服饰、K安全电视、K安全电脑、K安全冰箱与热水器、K安全门控与门锁……小区业主的所有一切都被换上了K安全的标志。

K安全公司能将业主的这一切统统换掉,只有一个原因:那就是,这一切“安全”方面的服务,都是免费的。

但有一天,B业主夫妇在家中*事时,黑暗中发现家中有异样,打开灯一看,一个保安正在床前监控着这对夫妇的云雨过程。这对夫妇羞愤难当:你是怎么进来的?

保安说:我有钥匙,出于对你们性生活安全的考虑,我有权保护你们。

B业主夫妇找来安全方面的专家,来保护自己的安全隐私,结果却发现,保安不仅在夫妇*事时可以进来“免费观赏”,他们在任何时候都可以自由进出业主的房间;他们不仅在小区的任何公共空间安装了监控系统,同时在业主室内的任何一个视角,都秘密安装了监控器。

这对夫妇决定召集全小区业主反对K保安公司的所有侵犯行为。

但让小区所有业主异常惊讶的是:就在开庭前一天,网络上突然出现大量B业主夫妇的信息,比如,B业主女臀部有三颗痣的图片在网络上大量流传;B业主夫妇的工资单被**业主男与前女友10年的情书来往从其前女友的电脑中被挖出来。

B业主夫妇顿时陷入网络漩涡……

在中国互联网领域,360所充当的,就是这个K保安公司。

在中国,为什么360能够获得如此重要的市场地位,除了用户在隐私权、知情权、网络自主权方面的意识不强外,最大的问题还是中国网民对互联网来说还是“小白”,他们没有办法看清360干了什么,也没有办法辨清什么是可行的,什么是不可行的;也不清楚360的一些行为在今天意味着什么,在明天又将意味着什么。

我脑海中,一直在重复卡夫卡小说《城堡》中的场景,你不知为什么,你也不知是怎么了,然后,你就任人宰割了。

森白的月光下,那把霍霍磨着的长刀……

——来自独立调查员的自白

技术篇

360:互联网的癌细胞

每经记者

秦俑

深圳,红树林,旁边就是深圳湾公园,有蜿蜒的海堤风景带;海的那端是云雾间的山峦以及错落的建筑,那是香港特别行政区。

经过前期网上100多天艰苦的技术交流后,《每日经济新闻》记者终于约到了“独立调查员”。这是我们之间的第二次见面。这一次,我们相约只做一件事情:将360(奇虎360科技有限公司,本文简称为360)在幕后所做的一些难以见光的行为,在网上重新演绎一遍。

这一过程漫长而复杂。几天几夜里,独立调查员展开的网络实证让人触目惊心,许多动态的过程无法通过平面文字呈现。事实上,独立调查员曾经在网上披露的内容,绝大多数网民也不可能看懂。

2012年10月,一个署名“独立调查员”的微博开始向360发难,时至今日,《每日经济新闻》记者已跟踪此人整整3个月:初始时基本上通过网络实现沟通,渐渐地,有了电话中的直接交流。

在思维碰撞中,记者发现,“独立调查员”对360的反感是深切的;他对360的研究也是深刻的。令《每日经济新闻》记者万分好奇而且不解的是:他的动力来自何方?

“如果你得了癌症,你的第一反应是什么?”独立调查员反问道,“那一定得赶快把它切除掉!而360正是网络社会的毒瘤。

  • 本文相关:
  • 详解网络安全:不仅要通过去,还要晓未来
  • VPN帮你翻墙?还是先顾着自己的隐私再说吧
  • 物联网时代到来 你准备好在摄像头下保护好你的隐私了吗
  • 恶意软件随处传播 企业该怎么做好安全防御
  • HTTPS是什么意思 HTTPS加密保证安全过程详解
  • 域名安全指数提高N倍的七个技巧
  • 5步教你远离物联网安全的威胁
  • 网警叔叔讲那些年经历过的奇葩DDoS案例
  • HTML5安全风险之CORS攻击详解
  • HTML5安全风险之Web Storage攻击详解
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 帮助中心 - 频道导航
    Copyright © 2017 www.zgxue.com All Rights Reserved