企业和黑客使用Cookie和各种秘密的网络攻击手段获取用户的个人数据。那么本文CHIP将告诉大家如何正确配置自己的浏览器,确保各种数据采集器无法对我们造成危害。
大部分用户认为只需要及时更新Windows且安装一个病毒扫描软件并确保它能够获得最新的病毒数据库,即可确保网上冲浪的安全。但是,他们仍然遗漏了网上冲浪安全的关键一环:浏览器。只有正确设置浏览器和使用适当的附加组件才可以真正保护自己免受攻击,不仅仅攻击者尝试通过浏览器入侵系统获取我们的数据,广告商和情报机构同样希望跟踪我们,获取信息分析我们的上网行为。浏览器中隐藏着许多信息,我们需要费不少功夫才能够删除特定的信息。
CHIP将告诉大家如何保护浏览器及阻止隐私泄漏和数据窃贼、应该禁用哪些插件以及如何完美地管理附加组件。除此之外,我们还将介绍如何保护Android和iOS移动版本的浏览器,确保我们在手机上可以安全地进行浏览。
对于现在的浏览器来说,保护个人数据是非常困难的。隐藏文件夹和特殊的存储方式给广告商和网站经营者提供了机会,尽管我们已经采取了保护措施,但仍然很难避免上网行为被跟踪并加以分析和利用。
Cookie
在正常情况下,网站通过Cookie保存用户的登录数据、用户标识以及相关的信息,当用户再次登录网站时,将能够自动登录网站,并看到更多自己感兴趣的内容。Google等许多互联网公司也通过这些数据来显示特定的广告。例如,如果我们查找或者浏览运动鞋的信息,那么很快我们在各种网站上都能够看到相关的广告,因为很多网站上的广告都是由Google公司提供的。因而,如果我们不希望被跟踪,那么应该在关闭浏览器时删除Cookie,不过,如果我们希望继续享受自动登录网站的便利,那么也应该定期地删除Cookie。如果我们使用的是Chrome,那么点击右侧的菜单按钮,选择“设置”,然后点击“显示高级设置”,在“隐私”部分点击“内容设置”按钮,在“Cookie”下选择“仅将隐私数据保存到您退出浏览器为止”选项。
在Firefox中,可以单击右侧菜单按钮,选择“选项”,然后在“隐私”下面“Firefox将会”选项中选择“使用自定义历史记录设置”,并选择“保存,直到我退出Firefox”。如果我们正在使用Internet Explorer或Edge,那么进入Internet选项,打开“常规”选项卡,并选择“退出时删除浏览历史记录”选项即可。
对于Android设备,我们应该通过类似的方法像使用桌面浏览器一样地清理Cookie。而对于iOS,用户可以自定义的设置不多,但是在Safari上我们可以严格禁止创建Cookie,可以通过设置菜单选项选择“阻止Cookie”,并选择“始终阻止”来禁止创建Cookie。
FlashCookie
然而,仅仅删除浏览器的Cookie是不够的。网站经营者有更多的机会清楚地识别我们的身份。除此之外,我们通过浏览器能够删除的只是一些正常的Cookie,仍有一些所谓的Super Cookie继续存在着:这些背信弃义的家伙即使在我们重新安装浏览器之后仍然存在着,例如Flash播放器的Cookie。
为了删除这些信息,我们需要在浏览器上打开“http://www.macromedia.com/support/documentation/de/flashplayer/help/settings_manager03.html”,通过“AdobeFlashPlay设置管理器”进行操作。在打开的窗口中,将“全局存储设置”的滑块拉到最左边,同时取消下方两个选项的选中状态。通过上述设置,可以阻止网站继续将Flash Cookie存储在电脑上。除此之外,我们也可以通过完全卸载Flash播放器来进一步地提高安全性,现如今大多数网站已经开始使用Web标准的HTML5来处理视频元素,我们可以不必担心影响网络应用的问题。这可以彻底解决Flash Cookie的问题,臭名昭著的Flash播放器总是不断地出现安全漏洞,很容易受到黑客的攻击,卸载它也可以对系统的安全性有一定的帮助。而卸载它最理想的工具是Flash Player Uninstaller(helpx.adobe.com/flash-player/kb/uninstall-flash-player-windows.html)。
在移动系统中,只有Android支持Flash,并且只有个别浏览器支持。而苹果公司的iOS,所有主要的应用都使用HTML5,所以如果我们没有使用一个特意支持Flash的浏览器,那么在智能手机或平板电脑上我们无需为这一问题做任何事情。
隐藏浏览器存储区域
除了完全正常的Cookie之外,网站还可以在浏览器中使用一个特定的存储区域即所谓的文档对象模型(Document Object Model,简称DOM)。相对于普通Cookie只有几个KB的大小,DOM Cookie可以最多达到10MB。尽管很少有网站开发人员利用它,但是我们仍然需要在系统上禁止此类Cookie。通过浏览器设置删除Cookie通常也会删除DOMCookie,但是只有当我们删除整个浏览器历史记录时才可以。
完全禁用DOM Cookie是更好的方法,为此,如果使用Chrome浏览器,那么我们可以进入设置,单击“显示高级设置”,然后选择“阻止网站设置任何数据”选项,该设置将适用于普通的Cookie和DOM Cookie。如果你只是想删除DOM Cookie,那么可以使用扩展程序Ghostery。在Firefox中可以在地址栏中输入“about:config”打开设置页面,响应警告信息,然后在设置选项中查找“dom.storage.enabled”,并双击将其设置修改为“false”。在Internet Explorer和Edge中,进入Internet选项并转到“高级”选项卡,取消安全设置中的“启用DOM存储”的选中状态即可。
数据的安全成本
还有其他类型的Super Cookie在系统的更深处:HTTP严格传输安全(HTTP Strict Transport Security,简称HSTS)。HSTS是互联网工程任务组所发布的互联网安全策略机制,网站可以选择使用HSTS策略,在用户的电脑上存储Cookie以便将来确定浏览器可以通过加密连接与服务器进行通信,以减少会话劫持风险。但是根据爱德华·斯诺登的举报,HSTS Cookie被情报机构用作跟踪Cookie。所以是否继续允许HSTS Cookie的使用我们必须自行取舍,而取舍的关键取决于我们需要的是更安全还是更多的隐私。目前,HSTS Cookie所保护的会话劫持比较少见,它们更多的是被用于跟踪用户的目的,因为HSTSCookie没有到期日,并且能够在浏览器删除Cookie之后继续存在。如果我们使用Chrome浏览器,即使在使用隐身模式的情况下也无法保护我们受到HSTS Cookie的追踪,因为对于Google来说,安全重于隐私。而相比之下,Mozilla的Firefox浏览器以及微软的IE和Edge更强调隐私。同样地,类似的情况也出现在这些浏览器的移动版本上。
如果HSTS Cookie不想离开我们的系统,那么摆脱它们的难度根据使用的浏览器各有不同。最复杂的是Firefox,因为我们必须对相关的文件进行编辑,同时还需要修改文件的属性。首先,我们需要在地址栏中输入“about:support”打开“故障排除信息”页面,单击“配置文件夹”的“显示文件夹”案例,Windows资源管理器将打开,在资源管理器中查找文件“SiteSecurityServiceState.txt”,使用Windows的编辑器打开此文件,按[Ctrl]+[A]和[Del]删除文件的所有内容,然后按[Ctrl]+[S]保存文件。接下来,为了防止未来新内容被存到文件中,我们还需要对文件进行写保护。要实现这一目的,我们需要右击该文件,然后在快捷菜单中选择“属性”,并选中“只读”复选项。
在Chrome中这是很容易的事情,我们可以在地址栏上打开“chrome://net-internals/#hsts”,通过该页面即可清除所有的HSTS Cookie。在Internet Explorer 11和Edge中也是很容易的,进入Internet选项,在“常规”选项卡中选择“删除”按钮,即可清除“Cookie和网站的数据”。
保护我们的隐私和数据安全,除了需要小心广告商和各种情报机构之外,还需要特别注意一个对个人用户数据非常感兴趣的危险群体:黑客。卡巴斯基一个统计显示,网络犯罪分子利用浏览器漏洞实施的攻击占所有攻击的近60%,其原因是,只有少数用户会及时更新自己的浏览器。
自动更新
要降低受到攻击的风险,我们需要及时更新,确保浏览器总是最新的。大多数浏览器能够自动执行更新,在Firefox中,在地址栏中输入“about:preferences#advanced”,并选择“更新”和启用选项“自动安装更新”即可。而Chrome的自动更新功能默认被激活,但美中不足的是如果我们不经常关闭浏览器而只是习惯将它最小化,那么浏览器无法完成更新。当浏览器的菜单图标改变了颜色,我们需要知道,这意味着有一个新的更新可用。如果它是红色的,那么更新已经出现了7天,当它的颜色是绿色时,这意味着更新已经出现了两天。
微软的Internet Explorer和Edge能够通过Windows Update功能自动更新,因此我们应该启用Windows更新的自动更新服务。我们可以在控制面板下找到并打开“更新”,启动我们需要的更新功能。而在移动通信系统中,应用程序将自动完成系统漏洞的修复工作。
防御JavaScript攻击
网站客服人员可以利用JavaScript编程语言直接在浏览器窗口中启动小程序,但是除了正常的用途之外,JavaScript也可以被作为攻击的手段,例如通过跨站点脚本的缺陷,攻击者可以在浏览器上显示一个假的网站登录界面。而实现类似的攻击要求我们的浏览器启动JavaScript,为此,我们可以使用插件NoScript控制JavaScrip的适用范围,该插件提供适用于各种热门浏览器的版本。
在iOS上禁用JavaScript是有必要的,因为攻击者可以通过JavaScript显示一个看起来有点像苹果ID登录界面的对话框,攻击者通过类似的方式可以获取用户的账户数据。打开“设置”并在左侧选择“Safari”,在浏览器设置中选择“高级”,并通过滑块将“JavaScript”设置为关闭,类似的设置也适用于第三方开发商的浏览器。而在Android上,我们将需要为每一个浏览器分别进行配置,一般情况下,我们可以完全禁用JavaScript,如果对于应用程序的配置有疑问,则可以参考本文中的表格。
防御插件攻击
另一个需要特别注意的是浏览器的插件,即使浏览器是安全的,但攻击者仍然可以通过插件的漏洞入侵电脑。通常,大部分用户都没有注意及时更新插件,这将导致插件的安全漏洞此前未被修复。如果我们使用Chrome,那么在地址栏中输入“chrome://extensions”,然后点击“开发模式”,再点击“立即更新扩展程序”。如果我们使用Firefox,输入“about:addons”,并按下上方的菜单按钮,确保“自动更新附加组件”选项被选中,这样,浏览器将会自动查找附加组件的新版本。而在IE浏览器中,我们将不得不打开“管理加载项”,并手动检查每一个加载项,看一下它是否能被更新。
防御病毒广告
过去,广告横幅被利用于散播恶意软件,用户只需访问网站即可能被感染。为此,Google决定不再使用Flash内容的广告横幅,但是这并不能够完全摆脱危险,而且有理由相信未来恶意软件也可能通过HTML5广告入侵系统。因而,如果希望100%地避免通过广告入侵系统的病毒广告,那么拦截所有广告是最佳的方法,但是美中不足的是这样将会剥夺了网站获得收入的一个重要来源。当然,我们也可以在使用广告拦截的同时,指定不拦截可信任的网站。使用Adblock Plus可以完全满足我们的需要,此插件可用于所有热门的桌面浏览器以及Android和iOS上的浏览器。
注意:在iOS上我们必须在Safari启用Adblock,而在Android上,我们有两个选择,一个是使用Chrome浏览器,一个是使用Firefox浏览器,它们都可以使用Adblock的广告过滤功能。不过,目前病毒广告尚不多见,即使没有拦截广告也可以相对安全地上网冲浪。