天融信阿爾法實(shí)驗(yàn)室首席安全研究員徐少培
此次會(huì)議�����,天融信阿爾法實(shí)驗(yàn)室首席安全研究員徐少培以“現(xiàn)代瀏覽器新安全研究”為主題���,從九個(gè)方面闡述了現(xiàn)代瀏覽器的安全風(fēng)險(xiǎn)�����,包括:瀏覽器URL地址欄欺騙攻擊���,瀏覽器URL狀態(tài)欄欺騙攻擊,瀏覽器頁(yè)面標(biāo)簽欺騙攻擊�,瀏覽器頁(yè)面解析欺騙攻擊,瀏覽器插件安全��,瀏覽器本地存儲(chǔ)安全�,瀏覽器安全策略被繞過(guò),瀏覽器隱私安全����,瀏覽器差異帶來(lái)的安全風(fēng)險(xiǎn)�����。目前業(yè)界體系化的瀏覽器安全研究還處于空白��,此次天融信帶來(lái)的瀏覽器威脅報(bào)告全面闡述了現(xiàn)代瀏覽器帶來(lái)的新安全風(fēng)險(xiǎn)�,為業(yè)界關(guān)注和研究瀏覽器安全起到了推動(dòng)作用����。
眾所周知�����,瀏覽器早已經(jīng)成為網(wǎng)民瀏覽互聯(lián)網(wǎng)必不可少的工具?�,F(xiàn)代瀏覽器早已經(jīng)不像以前瀏覽器是鐵板一塊���,基本都可以定制和擴(kuò)展����。隱私安全也在現(xiàn)代瀏覽器上得以體現(xiàn)�����,在HTML解析、CSS解析�、JavaScript引擎、網(wǎng)絡(luò)通信��、數(shù)據(jù)管理�����、頁(yè)面呈現(xiàn)都變的越發(fā)復(fù)雜的現(xiàn)代瀏覽器中�����,將存在更多的安全風(fēng)險(xiǎn)����。隨著網(wǎng)絡(luò)的IP化、寬帶化���、智能化以及新技術(shù)新業(yè)務(wù)新業(yè)態(tài)的快速發(fā)展����,網(wǎng)絡(luò)安全問(wèn)題更加復(fù)雜�����,形勢(shì)依然嚴(yán)峻。
互聯(lián)網(wǎng)黑色產(chǎn)業(yè)鏈年產(chǎn)值超過(guò)百億�,嚴(yán)重破壞互聯(lián)網(wǎng)公共環(huán)境安全,威脅網(wǎng)民個(gè)人隱私�����、財(cái)產(chǎn)安全和產(chǎn)業(yè)發(fā)展���?����;跒g覽器上URL地址欄,URL狀態(tài)欄�,頁(yè)面標(biāo)簽以及頁(yè)面發(fā)起的視覺(jué)欺騙攻擊也是如今互聯(lián)網(wǎng)用戶面臨最多的威脅,這些欺騙攻擊促使網(wǎng)站釣魚(yú)等網(wǎng)絡(luò)安全事件頻發(fā)��。瀏覽器視覺(jué)欺騙攻擊讓互聯(lián)網(wǎng)用戶即便是簡(jiǎn)單訪問(wèn)一個(gè)普通Web頁(yè)面就有可能遭受欺騙�����。尤其是隨著HTML5開(kāi)始廣泛應(yīng)用���,其部署的離線應(yīng)用程序緩存功能更容易受到黑客攻擊���。天融信在去年的中國(guó)計(jì)算機(jī)網(wǎng)絡(luò)安全年會(huì)上就發(fā)布了《HTML5安全威脅報(bào)告》�����,提出了HTML5的八大威脅����,引發(fā)了社會(huì)的廣泛關(guān)注��。針對(duì)目前的瀏覽器上帶來(lái)的攻擊威脅�����,天融信阿爾法實(shí)驗(yàn)室特別提醒廣大互聯(lián)網(wǎng)用戶��,不要輕易點(diǎn)擊陌生鏈接����,不要安裝未知的瀏覽器擴(kuò)展插件并及時(shí)更新插件版本,使用最新版本的瀏覽器�,這樣可以有效防范互聯(lián)網(wǎng)威脅,減少所受損失�����。
網(wǎng)絡(luò)攻擊、信息竊取�����、病毒傳播等安全事件和違法犯罪活動(dòng)多發(fā)頻發(fā)���,通信網(wǎng)絡(luò)仍然存在一些安全隱患和薄弱環(huán)節(jié)��,核心技術(shù)與關(guān)鍵資源的自主可控能力不強(qiáng)���,網(wǎng)絡(luò)安全方面的高精尖人才還比較缺乏,全社會(huì)網(wǎng)絡(luò)安全意識(shí)仍有待進(jìn)一步提高���。網(wǎng)站中的補(bǔ)丁程序好打�����,但難點(diǎn)是人們薄弱的安全意識(shí);安全設(shè)備和工具的使用也不復(fù)雜,復(fù)雜的是如何辨別社會(huì)工程學(xué)中人與人之間的信任�。個(gè)人安全意識(shí)是抵御黑客攻擊的最后一道防線。目前�,天融信已建成前沿攻防實(shí)驗(yàn)室、阿爾法實(shí)驗(yàn)室��、企業(yè)博士后流動(dòng)站、美國(guó)安全分析實(shí)驗(yàn)室��、安全云服務(wù)中心五位一體的企業(yè)級(jí)安全感知系統(tǒng)��,時(shí)刻感知網(wǎng)絡(luò)的風(fēng)云變化�,幫助互聯(lián)網(wǎng)用戶及時(shí)了解網(wǎng)絡(luò)威脅狀況,提升安全意識(shí)�,及時(shí)防范網(wǎng)絡(luò)攻擊。
