分享
 
 
 

Firefox与IE谁更强?三回合安全评测报告

王朝other·作者佚名  2008-05-21
窄屏简体版  字體: |||超大  

微软的IE浏览器正在被异军突起的开源浏览器MozillaFirefox挑战着,但是在我们的测试中,没有一个浏览器可以经受摧毁性攻击。

这时还不要对微软的IE凶巴巴的。诚然,IE在过去已被证实是易受攻击的,另外不断的打补丁也是件令人生厌的事。 去年CERT协调中心甚至警告人们停止用IE.最近,Mozilla基金会的Firefox正在得到更多的认可,在不到100天的时间下载次数就达到250万。但是我们针对两种浏览器的测试显示,选择其中之一并不是件容易的事,尤其是对企业应用环境来说。IE之所以易被攻击,部分上是由于他有更丰富的功能,从而具有更广泛的"受攻击面".另一方面,Firefox获得安全性的代价是:更少的功能和不能访问基于Windows的Web应用程序。

因此在你放弃IE之前,要权衡一下得失。一个折中的办法是在内部使用IE而用Firefox纯浏览Web.

安全性测试

我们着手的测试在于测试其安全性而非易用性。运行IE6.0的环境:操作系统带有SP2和最新补丁的WindowsXP客户端,一百带有512M内存的奔四笔记本。借助于VMware作站,在同一台机器的虚拟机上,相同的操作系统上安装MozillaFirefox1.0.1.测试机器通过384Kbps DSL线路连到网络上。

我们同时打开两种浏览器,对其进行不同的测试,如浏览公共的Web站点,通过MicrosoftOutlookWebAccess来查看邮件,访问我们的ApacheWeb服务器的内部资源和管理工具,另外我们通过知名的黑客站点来查看在受攻击的情况下浏览器是如何处理的。

访问常规的Web站点如CNN.com或Yahoo,得到相同的结果。两种浏览器都阻止弹出窗口,并提供了不同的插件以支持诸如Macromedia Flash 和 Adobe PDF 文件。

然而,关键不同的地方是,由于IE拥有许多Windows相关的功能如ActiveX、。net、 ActiveServerPages,而这些是Firefox所不具备的,访问某些基于Web的应用程序对于Firefox来说是非常困难的。

IE和Firefox都有工具支持对插件进行数字签名。但是签名并不是普遍存在的,用户可能要接受和执行未签名的具有潜在危险的代码。

这就是你为什么要把你的浏览器保护在一个防止入侵的系统中,或者安装防病毒软件以检测、通知或阻拦来自于浏览器的恶意代码,我们用的是F-Secure的防病毒客户端。

Firefox的基础更好?

那么Firefox的架构会使他从根本上更安全么?我们发现Firefox不是一个必定更安全的浏览器。他只是有更少的易被攻击的特征。

他支持更少的和复杂度低的脚本机制,所以在一个Web页面内要写出可以攻击它的强大而又危险的代码不是非常容易。

Firefox不与任何特定的操作系统紧密集成一起,这样浏览器没有多少方法可以使用专属于操作系统的功能。这意味者对探测者来说,有更少机会可以利用浏览器作为访问底层操作系统的入口。

同时,开源代码的本身特点,提供了更多人对代码评审、更快的修复以解决漏洞,当然这不是必然的。

企业策略

想让你的单位完全停止使用IE是不现实的,尤其是当你的用户必须访问部署着丰富功能的服务器,这些功能需要通过内部网络或公众网络支持。

那么你可以选择使用Firefox么?假若你只是纯基于浏览器的环境,使用标准的脚本和插件,那么你可以这样考虑。

面对基于Web的攻击时,Firefox会使你的环境完全安全的么?不。和其他可以选择的浏览器一样,Firefox也不是完美的,但是假若你尽可能少的使用很复杂功能,受攻击面会大大减少,例如不使用如通过Web页面传输ActiveX.

假若你的网络中包含着数千用户,这样的改变是非常难于执行的。另一方面,有必要比较一下成本,是附加的客户端安全产品或者防入侵设备以确保IE安全的成本大,还是简化、标准化你的基于浏览器的基础架构的成本大。

需要做什么

基于浏览器的针对企业网络的攻击的风险是重大的。从风险管理的观点来看,根据正在使用的人数,来寻找一个IE得替代者无疑是一个好的主意。但是企业环境可能不允许你删除IE,因为你得单位可能已经利用基于IE得微软技术创建了一套对内部资源的访问体系。

一个解决得办法是让Firefox来访问外部资源,而通过IE访问企业内部应用。政策强制工具可以有助于实现这种命令。

也可以考虑通过采取浏览器外的安全措施来避免浏览器风险,如采用应用防火墙,入侵检测和防护系统,策略执行系统以确保客户只访问可以信赖的站点。

常见攻击情况

针对浏览器的攻击一般分为三类:回合一:针对正被浏览器器处理的内容的协议攻击;回合二:针对运行在浏览器环境内得活动脚步语言的攻击;回合三:针对通过浏览器传输但是被插件或组件处理的数据的攻击,如提供图形显示服务得动态链接库。

回合一:Internet Explorer具有微弱优势。

通过他们直接处理的站点内容攻击,IE 和Firefox都存在潜在危险。在这个方面IE表现略好,因为微软为了应付针对他的黑客活动已经投入了如此多的工作来加强他的浏览器安全。但是从原理上来说,因为他们都处理本质上相同的HTML数据流,所以两种浏览器都可能遭受这种方式攻击。

回合 2:Firefox具有优势。

在第二类中,IE 提供ActiveX, JavaScript和许多其他机制来执行通过Web传输过来的代码,如Visual Basic script 和 Active Server Page 和。Net 组件。因为有更多的方式来编写通过浏览器传输的程序,Explorer更易被这种方式攻击。目前这种完全在微软Web环境工作的复杂的功能正越来越少。

回合3:都没有优势。两种浏览器都支持独立于浏览器的插件,这对攻击来讲是脆弱的。最近得一个例子是RealOne插件的漏洞。缺陷被发现在Explorer中,而问题在于插件中,没有技术理由可以认为这种问题某一天不会发生在Firefox身上。

 
 
 
免责声明:本文为网络用户发布,其观点仅代表作者个人观点,与本站无关,本站仅提供信息存储服务。文中陈述内容未经本站证实,其真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
2023年上半年GDP全球前十五强
 百态   2023-10-24
美众议院议长启动对拜登的弹劾调查
 百态   2023-09-13
上海、济南、武汉等多地出现不明坠落物
 探索   2023-09-06
印度或要将国名改为“巴拉特”
 百态   2023-09-06
男子为女友送行,买票不登机被捕
 百态   2023-08-20
手机地震预警功能怎么开?
 干货   2023-08-06
女子4年卖2套房花700多万做美容:不但没变美脸,面部还出现变形
 百态   2023-08-04
住户一楼被水淹 还冲来8头猪
 百态   2023-07-31
女子体内爬出大量瓜子状活虫
 百态   2023-07-25
地球连续35年收到神秘规律性信号,网友:不要回答!
 探索   2023-07-21
全球镓价格本周大涨27%
 探索   2023-07-09
钱都流向了那些不缺钱的人,苦都留给了能吃苦的人
 探索   2023-07-02
倩女手游刀客魅者强控制(强混乱强眩晕强睡眠)和对应控制抗性的关系
 百态   2020-08-20
美国5月9日最新疫情:美国确诊人数突破131万
 百态   2020-05-09
荷兰政府宣布将集体辞职
 干货   2020-04-30
倩女幽魂手游师徒任务情义春秋猜成语答案逍遥观:鹏程万里
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案神机营:射石饮羽
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案昆仑山:拔刀相助
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案天工阁:鬼斧神工
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案丝路古道:单枪匹马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:与虎谋皮
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:李代桃僵
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案镇郊荒野:指鹿为马
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:小鸟依人
 干货   2019-11-12
倩女幽魂手游师徒任务情义春秋猜成语答案金陵:千金买邻
 干货   2019-11-12
 
推荐阅读
 
 
 
>>返回首頁<<
 
靜靜地坐在廢墟上,四周的荒凉一望無際,忽然覺得,淒涼也很美
© 2005- 王朝網路 版權所有