2012 年 11 月 20 日
第 10 卷，第 11 期

浏览器安全：表象可能具有欺骗性

与 Jeremiah Grossman、Ben Livshits、Rebecca Bace 和 George Neville-Neil 的讨论

似乎每天我们都会听到一些新的安全漏洞。互联网上的一切都唾手可得——每秒钟都有越来越多的敏感数据。至于隐私，我们使用 Facebook、Google、网上银行、网上购物、网上投资……我们把一切都放在那里。所有这些个人身份信息究竟得到了多好的保护？不是很理想。

浏览器是我们与网络最重要的连接，也是我们的第一道防线。但是浏览器供应商是否尽职尽责地保护了用户？他们声称以各种方式做到了这一点，但许多说法都很苍白无力。从 SSL（安全套接字层）到“请勿追踪”倡议，再到浏览器插件，再到 HTML5，加强安全和隐私保护的尝试都远未达到目标。

例如，许多专家不认同最广泛使用的互联网安全协议——SSL CA（证书颁发机构）模型——实际上提供了足够的传输层安全性的观点。但是，尽管它存在诸多缺陷，但供应商们对于改变该模型仍然非常抵触。

HTML5 正在蓄势待发，许多人认为它是改善 Web 体验，同时保持与现有浏览器兼容性的下一步。它被寄予厚望地推出，但到目前为止，它尚未充分解决安全缺陷。

供应商们试图通过提供保护性插件来提高浏览器安全性，但用户首先必须知道在哪里找到它们，然后下载、安装和配置它们。这要求太高了。这也意味着首先要意识到危险——许多企业从未听说过跨站请求伪造或点击劫持，而且大多数用户根本不知道他们的个人信息暴露得有多严重。这是一个不容易传达的信息。

同样，用户必须积极主动地从“请勿追踪”倡议中获得任何保护，“请勿追踪”倡议是一种请求互联网公司停止跟踪用户每次行动的方式。尽管获得了 W3C 和联邦贸易委员会的认可，但它也存在不足，因为它将负担放在通常不知情的用户身上，让他们选择加入，而不是将其作为默认设置。

对于这个关于浏览器安全的案例研究，召集了一个经验丰富的团队来剖析当今浏览器中一些关于安全性的神话般的说法，并为加强保护辩护。

Jeremiah Grossman 是 WhiteHat Security 的创始人兼首席技术官，该公司是 Web 应用程序安全服务的领先提供商，包括 Sentinel，一种网站漏洞管理解决方案。作为 WASC（Web 应用程序安全联盟）的创始成员，他在 Web 应用程序安全方面的专业知识备受追捧。在加入 WhiteHat 之前，他曾担任 Yahoo! 的信息安全官。

Ben Livshits 是微软研究院的研究员，也是华盛顿大学的兼职教授。他一直专注于提高 Web 2.0 应用程序和浏览器的可靠性、性能和安全性，并拥有斯坦福大学计算机科学博士学位。

安全技术专家 Rebecca Gurley Bace 是 Infidel（一家网络安全咨询公司）的总裁/首席执行官，以及南阿拉巴马大学取证、信息技术和安全中心的首席战略家。她的职业生涯包括十年监督安全投资，在多个 IT 安全社区担任创始角色，并在公共和私营部门的许多成功安全企业中担任咨询角色。此前，Bace 曾担任 NSA（国家安全局）的高级电子工程师，并曾担任 NSA 的 Infosec（信息安全）研究和技术小组的创始成员。她离开 NSA，成为洛斯阿拉莫斯国家实验室计算、信息和通信部门的副安全官。 Bace 拥有 Loyola College 工程科学硕士学位。

主持讨论的是 George Neville-Neil，一位为金融服务行业的客户构建高速、低延迟系统的软件工程师。此前，他曾是 Yahoo! Paranoids 安全团队的成员。 2004 年至 2008 年，Neville-Neil 在日本工作，在那里他开发了一套名为“偏执大学”的课程，向 Yahoo! 的工程师讲授安全编程。在过去的 10 年中，他一直在编辑委员会任职，最近他加入了从业者委员会。

GEORGE NEVILLE-NEIL 在谈到当前的 SSL CA 模型时，Jeremiah，你之前曾评论说，SSL 功能永远不会被关闭。从 CA 模型中关闭某些东西究竟意味着什么？

JEREMIAH GROSSMAN 许多安全专家，包括我自己，认为 Convergence 是可行的，并且认为它应该尽快取代 CA 模型，因为我们目前拥有的显然行不通。但到目前为止，这一点尚未得到普遍接受。除了接受之外，更大的挑战将是管理向 Convergence 的迁移。假设我们只是将其与 CA 模型并行添加。我们会在什么时候关闭 CA 模型？毕竟，只有这样做，我们才能真正实现 Convergence 的安全优势。否则，就像等待切换到 IPv6 一样，每个人都只会继续被困在和以前一样的烂摊子里。

GN-N 这实际上会如何运作？

JG CA 将被转换为公证人，然后浏览器用户将选择信任哪些公证人。如果任何这些公证人因任何原因变得不可信，用户可以轻松地撤销对特定公证人表示的信任。这非常重要，因为在当前的 CA 模型中，很难（如果不是不可能）撤销对任何一个 CA 的信任而不破坏 Web，这使得事情非常具有挑战性。

计算机安全研究员 Moxie Marlinspike（笔名）对 CA 模型提出的主要批评之一与这种缺乏信任敏捷性有关。也就是说，无论我们决定信任谁，我们都必须永远信任他们。尽管如此，Moxie 和负责推出 Convergence 插件的团队表示，他们已经尽可能地推进了这个想法，现在浏览器供应商需要完成剩下的工作，但浏览器供应商似乎对此不感兴趣。

GN-N Convergence 模型的最大问题在于它信任用户会做正确的事情，但大多数用户只会做别人告诉他们的事情。

JG 也许这很天真，但我认为用户很清楚他们信任谁，他们希望信任谁，以及他们知道他们不会信任谁。

Convergence 还提供了灵活性。我今天可以信任五个公证人，明天可以换成五个不同的公证人。我无需太多的技术知识就能做到这一点。

尽管如此，Convergence 仍面临两大挑战。第一个挑战与让浏览器供应商实施它有关，坦率地说，他们似乎没有太大的动力这样做。然而，为了论证起见，假设他们确实这样做了。下一个挑战将是让人们运行公证人。这是一个相当大的挑战，因为没有明显的商业模式——也就是说，没有人可以从中赚钱。因此，实现公证人的临界质量将非常困难。

话虽如此，现在还有人认真相信 CA 模型有效吗？它完全崩溃了。

REBECCA BACE 即使在证书模型的早期，也有很多批评认为它是从过时的纸质 DoD 模型中盲目采用的，而没有真正从技术的角度进行深入思考。

JG 在一次关于身份验证的演示中，Moxie 说他找到了对我们所知的浏览器 SSL CA 模型负有直接责任的人，那个人告诉他：“哦，是的，CA 模型……我们只是在最后把它扔进去的。我们真的不知道。”

那么，为什么浏览器供应商要坚持这个明显过时的 CA 模型，同时又明显表示他们不想在 Convergence 上提供帮助，尽管社区对 Convergence 提供了全力支持？

GN-N 这可能是因为转向 Convergence 会给他们带来更多的工作。这通常是人们抵制做某事的原因。

无论如何，实施者是否需要担心它，还是他们只是等待浏览器供应商创建它？

JG 据我了解 Convergence 规范，目前启用了 SSL 的 180 万个网站不应该做任何事情，因为想法是让一切都像现在一样工作。一切都应该发生在浏览器和公证人端。我们应该能够通过过渡时期延续 CA 模型，但我们也需要在不同的组织中建立 20 或 100 个公证人，并且浏览器需要支持这一点。

GN-N 到目前为止，我们讨论了保护。现在让我们看看攻击方面正在发生的事情。

JG 几年前，我在一次会议上谈论内网黑客攻击引起了一些轰动。我所说的意思是，您可以访问一个网站并使用它来强制您的浏览器向您想要的任何位置发出基本上任何类型的 Web 请求。我们现在通常将其称为跨站请求伪造，但在 2006 年之前，没有人真正考虑过这一点。当然，人们知道您可以强制您的浏览器向任何公共网站发出请求，但随后 Robert Hampton 和我观察到您可以强制您的浏览器向 RFC-1918 网络（例如 10.0.0.1）发出请求，然后开始入侵内网。

我们展示了您如何访问公共网站并强制您的浏览器从内部入侵您自己的 DSL 路由器，然后转到 Web 界面并更改设置。通常，内网上的设备没有很好的 Web 安全性，因为人们认为您无法从外部入侵它们，这是真的。但与此同时，没有什么可以阻止浏览器本身被外部的坏人用作攻击平台。

我曾向多家浏览器供应商提出以下问题：“如果我在公共网站上，为什么您允许该网站强制我的浏览器发出 RFC-1918 请求？” 他们通常会提出两点回应。一种是，否则可能会搞乱某些代理配置——我不确定他们是什么意思。另一点是，有时实际上存在合法的用例——也就是说，一些公司公共网站实际上引用了各种资源，以方便 RFC-1918 网络上的员工。因此，基本上，论点是，因为一些大公司采用了一些非常愚蠢的做法，所以我们其他人不得不忍受互联网上受损的安全性。

GN-N 然而，我有点怀疑他们会以这种方式来表达它。

JG 浏览器供应商只是不愿意做任何会破坏 Web 的事情，因为他们担心市场份额。任何可能会破坏 Web 的一小部分并失去 1% 市场份额的功能都是他们不会考虑的事情。在这里，记住我们这些使用这些浏览器的人实际上不被认为是客户是很有用的。相反，我们是产品——或者至少与我们的在线行为相关的数据是产品。

GN-N 在隐私方面，现在似乎有一些动静来挑战现状。您对联邦贸易委员会推动的“请勿追踪”倡议有何看法？

JG 基本上，这相当于浏览器可以传递给网站的标头，上面写着“请勿追踪此用户”。它有效地将网站置于关于追踪的荣誉系统上。

GN-N 您是说这有点像 robots.txt，只是方向相反吗？

BEN LIVSHITS 也许有点类似。

JG 没有刑事制裁来支持它，因此一旦该倡议真正开始被采纳，任何执法都将以民事诉讼的形式出现。谷歌是最后一个在浏览器支持方面持观望态度的公司，但没有承诺任何具体日期。

另一个挑战是，对于“不追踪”某人意味着什么，没有明确的定义。有些人认为这意味着他们可以追踪你，但不对你投放广告。

BL 浏览器供应商很容易将此作为一项功能来实现。然后有些人会选择打开它，但如果该功能不是默认打开的，则可能比例不高。即使他们确实决定打开“请勿追踪”，并且能够弄清楚如何操作，他们仍然必须理解它到底是什么。如果一个网站验证了用户身份，那该网站是否也不允许追踪用户？那将有点荒谬——自相矛盾。那么在线商家呢？他们必须追踪东西才能确保您的订单能够送达，对吗？

真正奇怪的是，我们有浏览器支持这个很可能很快就会在各个方面普及的东西，但对于它到底意味着什么仍然没有共识。

JG 唯一真正有意义告诉用户“请勿追踪”的地方是在浏览器级别，而浏览器厂商完全不愿意做任何类似的事情。就像 Ben 所说的那样，如果您查看迄今为止的所有实施方案，您会发现“请勿追踪”在所有方案中都是默认关闭的，并且埋在三层点击深处，没有人会找到它。有一个值得注意且极具争议的例外：Internet Explorer 10，它实际上是在启用“请勿追踪”的情况下安装的。

BL 还有很多人担心，任何对“请勿追踪”的真正执行都可能最终摧毁 Web 经济的根本收入模式。我认为我们不太可能在短期内看到任何形式的执法。

JG 无论如何，很难想象他们将如何执行这项规定。作为用户，我如何才能发现有人违反“请勿追踪”规定跟踪我？您永远如何发现这一点？

RB 我这个老顽固的观点是，这是一个典型的例子，说明了当决策者仅仅因为某个想法看起来不错就决定发布一些指令时，通常会发生什么情况。然后，技术解决方案提供商欣然同意，他们非常清楚新政策将完全无法执行。该政策只不过是行业的门面装饰。

数据就是金钱，这涉及到浏览器安全辩论的核心。浏览器用户并不完全了解他们自身数据的价值，但 Facebook 和 Google 等公司当然知道。引入帮助用户保护其数据的措施会妨碍最大限度地榨取这些数据的价值。这对于实施强大的浏览器隐私保护措施来说是一个强大的抑制因素。

添加更强的安全性也伴随着权衡——更高的安全性通常意味着更少的功能。功能的丧失会带来市场份额的丧失，这是供应商最害怕的事情。

只有当用户开始看到他们数据的价值并要求对其进行更多保护时，隐私措施才能得到应有的重视。如果市场朝着这个方向转变，并且供应商看到在其浏览器中添加更好的保护实际上可以增加市场份额，那么只有到那时，这些措施才会成为标准操作惯例。

GN-N 我们早些时候谈到过，真正的产品是浏览器用户，而不是浏览器本身。有人愿意详细说明一下吗？

RB 嗯，情况确实如此，这对于整个领域来说是根本性的。我认为，浏览器安全领域的所有难题都源于我们没有处理经典的商业模式。也就是说，目前用户不会为浏览器制造商支付软件费用，也不会支付该软件的维护和保养费用。

JG 浏览器制造商正在直接或间接地将您的数据货币化，因此他们看不到在不亏钱的情况下保护这些数据的方法。这造成了一个非常困难的局面。

BL 我不确定您是否真的可以说“将您的数据货币化”的是浏览器制造商。如果有的话，那是网站在将您的数据货币化。

JG 实际上，这里存在明显的相互作用。看看 Google Chrome；很明显它正在将您的数据货币化。 Mozilla 的收入有 98% 直接来自 Google。然后是微软，您可能会说微软现在也迫切希望进入广告业务。因此，这就提出了一个问题：当这些努力显然与整个业务赖以建立的基础背道而驰时，您如何努力建立更健康的商业激励机制？

BL 我不知道。隐私问题之一在于，很难衡量它的价值。甚至很难让用户相信他们自己的隐私实际上值那么多钱。

JG 也许用户只是没有意识到他们每次点击鼠标都会放弃什么。

BL 是的，但是有一些公司，例如 Allow (http://i-allow.com)，会明确地为您注册，让您为每个您愿意分享信息的网站支付 20 到 50 美元。还有各种正在进行的实验来确定每个 Facebook“赞”的价值，例如。他们发现，虽然一些用户的信息非常有价值，但许多其他用户的信息基本上毫无用处。

RB 我认为这个问题乘着更大的价值浪潮，其中年龄动态开始发挥作用。很难找到任何 25 岁以下真正关心隐私的人。我年轻的侄女们高兴地告诉我，她们从来没有觉得自己有什么隐私，所以她们为什么要现在开始关心隐私？

GN-N 您还会遇到那些经历过 60 年代和 70 年代的人，当时到处都是关于人们的数据被政府泄露的故事。有很多那个年龄段的人已经对侵犯隐私习以为常了。他们可能在人生的某个阶段关心过隐私，但他们现在已经不在乎了。

JG 另一方面是，安全和隐私变得混淆不清。例如，如果您已决定可以信任 Google 处理您的数据，那么问题不再是隐私；一切都与安全有关。另一方面，如果您不信任您的提供商，您可以区分安全和隐私。

一旦您跨过那个门槛并决定信任某人处理您的数据，您就有点像我们之前谈到的关于 CA 模型的情况。也就是说，您基本上永远被困在信任他们。您不可能从 Facebook 那里收回您的数据并说：“嘿，您不能再拥有这些数据了。”

GN-N 是的，试试看！

JG 您可以获得一份您的数据副本——根据 [WikiLeaks'] Julian Assange 的说法，这实际上可以达到 1,000 页。但是，猜猜怎么着，我认为他们不会删除这些信息。

RB 即使在神圣的圣地——即医疗保健领域，在那里您希望个人数据的保护被认为是神圣不可侵犯的，但违反我们信任的行为也已经司空见惯。如果人们的信任在这个领域没有得到尊重，那么我们还能期待在其他任何地方获得更忠实的保护吗？

JG 这就是为什么“请勿追踪”默认关闭的事实真的让我感到困扰。等到用户弄清楚他们放弃了什么时，就无法挽回损失或收回任何程度的控制权了。正如 [计算机安全专家] Bruce Schneier 曾经指出的那样，云中没有删除按钮，或者至少不能保证一旦您按下删除按钮，东西实际上会被删除。

GN-N 有希望吗？

JG 我有一个很好的策略来保护我自己的数据——至少它足以提高我的舒适度。我认为这是其他人可以使用的方法。挑战在于，这需要一些行为纪律和一点诀窍，这两者都是大多数用户所缺乏的。人们也没有什么动力来努力清理自己的行为，因为在很大程度上，他们甚至没有意识到我们一直在谈论的问题。尽管如此，我想说的是，在您可以采取措施保护自己方面，还是有一些希望的。

GN-N 您认为浏览器供应商会对此有所帮助吗？

JG 不会。举个例子：由于我真的不喜欢整个 SSL 模型，所以我已经在 Amazon 云上安装了 SSL VPN（虚拟专用网络），这样，无论我在哪里，我都可以通过恶意或不受信任的网络进行加密，同时确保没有人能够在我最后一英里进行嗅探。这只是您可以做的一件小事。这不是我妈妈能做的事情，但任何技术人员肯定都能处理它。

RB 我和 [风险管理专家] Dan Geer 就人们何时可能开始在互联网上提供功能相当于门禁社区的服务进行了长期辩论，您可以在其中购买托管安全环境，并配备现成的互联网安全屏障，能够保护您免受隐私泄露或个人信息泄露的侵害。

JG Geer 说，问题的关键不在于谁应该为当前的混乱负责，而在于谁将承担责任。如果您说“用户是应该承担责任的人”——这有点像我们今天的处境——那么，这根本行不通，对吧？

因此，您可能会说，“好吧，ISP 应该对所有这些不良流量负责”，但那样您就必须让 ISP 监控、记录和分析您的所有流量，直至非常详细的程度。您可以要求政府处理烂摊子，但它需要对数据进行同样详细的访问，因此需要建立新的权力和法律来为此提供保障。这些选项似乎都不太有吸引力。

HTML5 可能并不完美，但它是不可避免的，并且很快将成为所有现代浏览器的一部分。它增加了功能，特别是多媒体功能，旨在使浏览器成为更丰富的环境。这正是 Web 开发人员想要的，因为它可能会增加市场份额。

HTML5 没有特别出色地完成的事情是为浏览器增加安全性。它还为一些互联网攻击敞开了大门。因此，许多安全专家开始将 HTML5 视为一个不可原谅的错失机会。任何安全变通方法都必须与 HTML5 分开制定。因此，是的，它是新的，它是改进的，但它不会拯救我们。

GN-N HTML5 现在已经问世了，有些人可能一直希望它能在安全方面带来一些缓解。有什么评论吗？

JG HTML5 的整个想法是为浏览器带来更丰富的媒体——全部通过开放标准原生实现——这样您就不需要添加插件，例如 Flash、QuickTime 和各种其他疯狂的东西。这非常重要，因为插件已被证明是安全漏洞的主要来源。然而，错失的机会是 HTML5 未能解决一些长期存在的 Web 安全问题，例如跨站脚本、点击劫持和跨站请求伪造。 HTML5 开发人员只是在所有这些方面都敷衍了事。

然后他们添加了 sandbox 标签作为一种权宜之计，以便能够说他们已经尽力为 Web 安全性做出了贡献。我可以继续说下去。我有很多例子可以说明为什么我认为 HTML5 会使浏览器安全性变得更糟。

GN-N 我在跨站脚本和跨站引荐伪造方面的经验是，处理它的唯一真正方法是在服务器上处理它。这通常意味着要深入了解正在使用服务器端代码的人员，他们需要做的是确保这些漏洞不再发生。

点击劫持完全是另一回事。现在，它可能是最有可能为坏人带来丰厚回报的漏洞，而跨站脚本和跨站引荐劫持更像是您会从只想惹麻烦的人那里期望得到的。

Facebook 的大部分安全工作都花在了防止点击劫持上，而且肯定不止它一家这样做。事实上，我认为这真的是新的前沿阵地，而且我认为 HTML5 不会解决这个问题。

JG 本来可以解决的，但就目前而言，HTML5 没有安全模型来安全地将第三方数据或代码合并到您的网站中。该模型应该稍后随一种称为“跨站安全策略”或“跨站内容安全策略”的东西一起出现。即使那样，它仍然会与 HTML5 分开。

至于 Facebook，点击劫持只是一个问题，因为 Facebook 希望在 Web 上跟踪您。点击劫持的这一方面将仍然无法修复，因为 Facebook 真正想要的是在每个人的页面上放置“赞”按钮。您始终可以点击劫持旨在被框架化的内容。在其自己的网站上，Facebook 已经或多或少地解决了点击劫持问题。

GN-N 当然，不仅仅是 Facebook 希望在任何地方都放置某种按钮。

JG 是的，这就是为什么最近一次 BlueHat 会议上的一次简报介绍了一种新的解决方案，该解决方案涉及将反点击劫持功能放入浏览器中。但是，同样，所有这些工作都与 HTML5 分开。

GN-N 您还担心 HTML5 的哪些方面？

JG 您熟悉使用会话存储作为 cookie 的替代方案吗？基本上，一些 Web 程序员开始将实际可执行的 JavaScript 代码以及数据放入本地存储中。这样，当页面加载时，他们可以直接 eval 该代码，而不必进行网络调用，因为这会为他们带来性能提升。

当然，坏人觉得这很有吸引力。如果他们跨站脚本编写加载该代码的站点，他们将能够对应用程序进行后门攻击，从而永久访问恰好加载到该应用程序上的任何客户端，因为该后门代码将始终运行。

GN-N 存储过程在数据库上是一个聪明的想法，但在客户端中却是一个可怕的想法。

JG 即使您意识到该漏洞，也几乎不可能退出。您肯定无法从服务器端覆盖它。因此，虽然 HTML5 团队会说他们没有增加攻击面，但我认为他们实际上还不知道所有这些意味着什么。

GN-N 这将真正简化看起来非常像病毒的东西的分发。

JG 确实如此，但这还不明显，因为以这种方式使用 HTML5 仍然不是很普遍。但是，再过几年，它将无处不在，因为它真的快得多。

GN-N 这告诉我，浏览器供应商应该包含一个功能，让您可以刷新应用程序的程序空间——也许不是从服务器端，但用户应该至少能够刷新一个坏的应用程序。现在我突然想到病毒扫描器在您的浏览器中运行。

JG 哦，是的，这肯定会成为现实。

BL 即便如此，确保数据完整性也并非易事。如果你有复杂的数据结构，谁又能保证其中一些没有以某种不易察觉的方式受到影响呢？

JG 我认为浏览器厂商所做的——有意或无意——是将浏览器变成了一个新的操作系统。

GN-N 嗯，Chrome 被称为 Google Chrome OS 并非浪得虚名，你知道的。

JG 是的。实际上，在那个沙箱内部，应用程序之间的安全缓冲并没有那么多。

GN-N 我们一直在批评 HTML5，但是否有什么人们可以做的事情来提供更好、更安全的用户体验呢？

JG 嗯，让我们明确一点：如果你正在使用任何现代浏览器，你最终都会使用 HTML5。因为这不是一个功能，所以你无法在浏览器中关闭它。它是 HTML。你无法在浏览器中关闭 HTML。

GN-N 我实际上并没有考虑关闭 HTML5，尽管这是一个有趣的想法。无论如何，我认为典型的用户永远不会关闭任何东西。这取决于客户端和服务器应用程序开发人员以这样的方式构建事物，即使面对一个完全开放的浏览器，用户也不会最终 постоянно 受到虐待。

JG 我可以分享我是如何保护自己，以及我是如何指导我妈妈去做的。拿两个浏览器——任何已更新的现代浏览器都可以。重要的是要有两个浏览器，这样你就可以对风险进行划分。其中第一个将是主浏览器，你用它来进行所有随意的浏览——阅读新闻、访问你最喜欢的网站、点击你 Twitter 订阅源中的链接，以及任何其他你想做的事情。但是永远不要使用主浏览器来处理你认为敏感或重要的在线帐户。

如果你正在使用 Chrome 或 Firefox，你应该在浏览器中启用广告拦截和跟踪器拦截作为扩展程序。这不仅是为了保持理智，也是为了防止大量恶意软件，这些恶意软件通常最终会通过广告网络传播。如果你在隐身或隐私模式下运行，那就更好了。这可能也会为你节省一点隐私。你应该做的另一件事是默认阻止插件运行。你可以随时通过右键单击来运行它们，但不要让它们自动运行。通常，当你感染病毒或恶意软件时，那是因为一些隐形的插件自动运行了。

你的辅助浏览器是你想在需要进行网上银行或网上购物或任何涉及信用卡号、帐号或任何其他你想保护的东西时才启动的浏览器。一旦你启动了那个浏览器，就进去快速完成你需要做的事情，然后关闭它。

如果你能设法将这两个世界分开，当你用你的主浏览器在网上冲浪时，甚至不可能通过跨站请求伪造请求来入侵你的银行，因为那就像你从未登录过那家银行一样。因此，点击劫持、跨站请求伪造和跨站脚本几乎不构成威胁，因为实际上不存在跨站。

GN-N 你对 Web 开发人员有什么建议？

BL 我认为 CSP（内容安全策略）和沙箱标签是安全意识强的 Web 开发人员在很长一段时间以来遇到的最好的东西之一。

JG 当然，Web 开发人员最好特别注意输入验证、参数化 SQL 语句和输出过滤。这涵盖了大约 90% 的网站漏洞。

如果你与 Facebook 的人甚至微软的人交谈，你会发现他们通常有用于打印屏幕的标准控件和库。从扩展意义上讲，这意味着删除所有非标准选项——其中一些可能是不安全的——因此人们别无选择，只能使用公司标准版本。

那么我想另一件事是：永远不要尝试自己编写加密算法。

GN-N 这是个可靠的建议。如果你不是密码学家，就不要在家尝试。

喜欢它，讨厌它？请告诉我们

[email protected]

最初发表于 Queue 杂志第 10 卷，第 11 期—
在数字图书馆中评论这篇文章