黑客不希望你知道的六个安全技巧

皆大欢喜 · 发表于 2010-11-24 15:27:58

这可能是最能够确保互联网安全的建议：避开JavaScript，特别是对于你不信任的网站。

　　JavaScript非常流行，它适用于几乎所有的浏览器，并且它为网络增添了很多活力，但同时它也让黑客能够更容易地诱使浏览器做一些不应该做的事情，例如要求浏览器加载来自另一个网页的元素，或者更加复杂的操作，例如跨站脚本攻击，在这种攻击中，攻击者模拟合法网站让用户访问。

　　JavaScript攻击无处不在。如果你使用Facebook，你就可以看到最新的JavaScript攻击。最近，黑客建立了非法Facebook网页提供免费的价值500美元的礼品卡，如果用户剪贴并复制某些代码到浏览器的地址栏，就会受到攻击。

　　这些代码就是JavaScript代码，用户不应该将它添加到浏览器中，“黑客利用这种技术来打开不必要的调查，诱使用户填写社交网络资料，或者将用户链接到钓鱼网页，”Sunbelt软件公司的安全研究人员Chris Boyd表示。

　　黑客也可以添加JavaScript到恶意网页。为了避免这些攻击，你可以使用免费的Firefox插件，被称为NoScript，该插件可以让你控制哪些网站可以在浏览器中运行JavaScript而哪些网站不可以允许应。当你访问一个新网站时，NoScript可以防止流氓杀毒程序或者在线攻击弹出。

　　通过阻止脚本，然后使用NoScript来建立信任网站白名单，你可以抵御目前互联网上大部分所谓的web攻击。

　　NoScript还带有一个跨站脚本拦截器。跨站脚本已经存在一段时间了，不过最近黑客开始频繁地使用这种攻击来获取在线帐户的控制，如Facebook和Youtude等网站。

　　如果你使用的不是Firefox浏览器，你仍然有其他办法来阻止脚本。与Firefox用户一样，Google Chrome用户可以禁用JavaScript，然后建立信任网站白名单。

　　遗憾的是，无论是互联网浏览器还是Safari都没有类似NoScript的插件，不过IE用户可以调整互联网安全设置要求在使用脚本前进行提示，而IE8包括新的跨站脚本保护来抵御这些攻击。

　　在Adobe Reader中禁用JavaScript也有所帮助。据赛门铁克公司称，去年将近一般的网络攻击都是与恶意PDF文件有关的。如果受害者将其安全设置调整为禁止PDF执行JavaScript的话，他们将能够阻止大部分攻击。

　　要禁用Reader中的JavaScript，点击Edit/Preferences/JavaScript，然后取消勾选Enable Acrobat JavaScript。

　　所有这些防御方法的缺点就是不方便。禁用浏览器中的脚本后，很多动画、电影和动态网页都无法打开了，很多用户对于网页不能正常工作都会感到很烦恼，然后不得不选择允许脚本。

　　对于Reader也同样是如此，如果禁用JavaScript的话，基于PDF形式可能无法正常提交，不过很多人并不介意每次使用阅读器时打开JavaScript。

　　恶意软件

　　很多人最近都有这样的经历：你在完全合法的网站冲浪，然后突然弹出看似可怕的警告信息，信息提示说你的计算机已经被感染。你试图关闭这个警告信息，而越来越多的窗口不断弹出，让你不得不扫描计算机。

　　如果你这样做的话，扫描总是会发现安全问题，并向你兜售安全软件来解决问题。这就是流氓杀毒软件，这个软件做的事情就是帮黑客赚钱。

　　过去几年中流氓杀毒软件一直是最烦人的安全问题之一，对于受害者而言，弹出式窗口看起来又像是病毒感染，每次试图关闭窗口，另一个窗口又会弹出来。

　　你应该这样做：

　　首先，绝对不要购买它兜售的软件。这种软件根本没有用，而只会让系统崩溃。你可以直接按Alt和F4来关闭浏览器或者按下Ctrl、Alt和Delete来打开系统的任务管理器，并关闭浏览器。关闭浏览器能够解决弹出旷课问题。

　　另一个避免流氓杀毒软件攻击的方法就是当你在阅读头条新闻时要非常小心，黑客通常都会在热门话题和头条新闻中埋伏恶意代码，这样他们就可以在谷歌搜索结果中迅速推广他们的恶意网站。

　　谷歌试图控制黑客的这种行为，但是每当重大新闻出现时，黑客总是先人一步。“避免被感染的办法就是仅阅读来自信任新闻资源的新闻，或者搜索Google News中你没见过的新闻服务，”Sunbelt的Boyd表示。

　　下一步：使用不太流行的应用程序，确保程序的及时更新。

原文出自【比特网】，转载请保留原文链接：http://sec.chinabyte.com/352/11671352.shtml