打造永不中毒的IE
在浏览器界,微软以其操作系统得天独厚的优势,让IE稳稳的坐上头把交椅。也同样是因为使用者众多,漏洞频频,让很多用户感觉IE不甚安全,稳定性很差。有这么糟糕么?如果你正在用IE6的话,新建一个文本,输入引号中的内容“<style>*</style><table><input></table>”,保存成一个html文件,用IE打开它,竟然出现错误关闭窗口。这不过是个小把戏,因为它并没给你造成什么实质性的伤害。
反过来,客观的说,目前从使用者的数量与曝出漏洞的数量比例来说,IE算安全的了。但,我们这些还在使用IE或基于IE核心浏览器的用户,在网上不是冲浪而是站在风口浪尖。病毒、漏洞、流氓插件……,其实通过我们一些注意以及合理的方法,完全可以避免这些问题发生在IE身上。
一、补丁的威力
一个老生常谈的问题,不过千万别轻视它,如果你的IE没有更新最新的补丁,如果对方的程序或者脚本正是利用了这些新漏洞,那不管是开了多少杀毒软件、防火墙都无济于事。这就是漏洞最可怕的地方,打开Windows UPDAte一点也不复杂,剩下的事情全由Windows处理吧。
二、新的IE7有用吗
IE7在把所有人的关注引过来的一项重要特性就是安全。Active X、防phishing、安全域、隐私保护等方面都有很大的飞跃。做一个简单的测试,我们打开http://www.kephyr.com/popupkillertest/test/index.html,这是一个测试网页拦截各种弹出窗口能力的页面,叫做“Test your pop-up blocker!”
我们先用IE6打开,并在使用浏览器类型中给IE投上一票,看结果可以知道,目前在这里的测试者有60%使用的是Internet Explorer。
IE的使用比例还是很大的
点back回到初始页面,再次进入“Start the test”开始测试。整个过程分27步,每项测试后都可以通过投票来查看通过该项测试的比例。对于IE6来说,第11、17、21、26、27项都不能通过测试,而IE7则只有第11、27项不能通过,虽然不算完胜,但至少比IE6更有优势,再加上本身增强的安全模块,选谁不言自明。
可能此处会遭到一些质疑,为什么我们选择弹出窗口测试呢?根据《2007年上半年网络安全报告》的调研表明,网上攻击的20%都来自恶意代码,而恶意代码的主要承载者正是各式各样的弹出窗口。
三、权限裂变
权限是计算机应用中一个非常重要的概念,普通的用户在使用中可能早已淡化了权限的真正意义,每个人都在用admin级别的账号,同样,网络上的病毒、木马也和你一起分享这个权限,于是浏览器甚至是系统的灭顶之灾就在所难免了。
如果把IE运行权限降低,一些恶意网页的动作也就不能顺利完成了。
最简单的办法是换个身份运行IE,在CMD下运行命令“net user bigfrog 123456 /add”,建立一个用户名为bigfrog,密码为123456的受限帐户,以后使用这个帐户上网即可。
创建受限账户
接下来在桌面上建立一个IE快捷方式(使用IE快捷方式向导,不要使用桌面IE创建),右击快捷方式选择“运行方式”,在打开的运行身份窗口单选“下列用户”,然后输入上述受限帐户的名称和密码,单击“确定”,这样启动IE的用户就是受限帐户bigfrog。
这样再次运行IE等同于换一个身份后重新登录运行一样,原来用户的收藏夹、Cookies等并不会加载。同样,网络上的攻击也只针对这个账户为对象,和我们的admin系统是没有关系的。
现在你可以用受限用户身份来测试一下。比如你遇到一个恶意代码的网站,再次用bigfrog的IE登录一下,系统会提示没有权限更改配置。而对于那些捆绑了插件的网站,即使我们被强行下载这个软件并安装,系统仍然会提示无法安装。
插件无法运行
对于权限限制的方式,我们在这里再引申一下,告诉大家知道运行的具体模式。其实系统是调用runas方式在模拟新用户的运行状态。比如输入“runas /user:bigfrog "C:Program FilesInternet ExplorerIEXPLORE.EXE"”,一样可以达到效果,同理,我们可以把容易遭受攻击的程序都以这种方式运行。
上面的方法虽然不错,但最麻烦的地方就是创建用户,我们知道如果有很多用户的话,不但管理起来麻烦,而且很有可能带来更多的系统危机,这里推荐大家使用DropMyRights(点击下载)。
使用默认安装方式,具体的使用语法如下:DropMyRights [N|C|U]
path是指应用程序的路径,N指基本用户,C指受限用户,U是指不信任用户。如果要以受限用户身份运行IE浏览器,右击桌面IE的快捷方式,然后在属性窗口的“目标”框输入“"C:DropMyRightsDropMyRights.exe" "C:Program FilesInternet ExplorerIEXPLORE.EXE" C”,以后运行这个快捷方式就可以用受限用户身份运行IE。同样的,像OE、IM等病毒喜欢的对象,也可以用DropMyRights限制一下再运行。