2009年04月《安全天下事之聚焦浏览器》

聚焦浏览器

（2009年04月）文/江海客

如果让安全研究者评选在客户端方面最火热的攻防焦点，至少有1/3以上的人会选择浏览器。而3月则颇有一些火上浇油的味道。
本月微软IE8终于发布了，但似乎对其新特性的关注并不热烈，中国用户并不关注IE与Windows Live的整合，以及微软越来越多的潜藏的雄心。

而微软提供的In Private Browsing（私人浏览）模式，很有可能重挫搜索引擎的广告模式，众所周知网络广告业的重大发展是基于浏览和搜索习惯形成用户分类，然后形成分类的广告投放。而由于“私人浏览”的模式意味着客户端本地将不进行任何的cookies、password、临时文件和访问历史的记录，则原有的分类依据和投放标志都不会被存储，类似Goolge右侧广告等价值将因失去目标用户牵引而大打折扣。
在“隐私危机”的时代，此项功能可谓恰逢所需，尽管亲Google人士暗示MS此举旨在打击Google等对手，但积极响应用户的需求不能说不是一件好事。当然这样的功能出现让那些独立的隐私保护小工具的用武之地受到了限制，也许未来在IE普及后就此退场也未得而知。
但某安全分析人士则认为，需要看到事物的两面性，搜索引擎页面内广告毕竟还只是非pop的一种轻量级浏览感染，比起动辄弹出来占用用户1/4个屏幕的广告件广告，要柔和的太多。但如果搜索引擎定位终端性质的能力变差，那么广告投入开始更多流向能更准确获取用户行为的流氓软件也未得而知。假如真有如此结局，其蝴蝶效应确实令人哭笑不得。
IE8出师不算顺利，3月18日的 Pwn2Own黑客技术大赛的浏览器攻防，给了两天后正式发布的IE8埋好了一颗地雷，获胜者之一的Nils搞定了包括IE8在内的三款浏览器，根据报道来看，当时IE8的测试版本运行于Win7平台，而其DEP出于全开模式。当然，是否真是如此，尚未得到准确的资料验证，因为DEP默认是不保护IE的，是否DEP、地址随机化两条防线都真的被Nils打破，我们还需要更多的信息验证。但至少让听者不敢对IE8的安全性有绝对的信心。
但IE8绝不是最惨的，MAC上的Safari是最先攻破的，参赛者Charlie Miller只花费了40秒时间搞定了Safari，而此人正是去年这项赛事的冠军之一。有趣的是，去年也是Safari最先被搞定。Firefox的Fans也乐不起来，Firefox也同样被Nils搞定的，Firefox是运行在Ubuntu上的，而且此人还再次突破了Safari的防线。
这个测试结果也给不久之前一家极力鼓吹MAC比windows更体系更安全的咨询机构十分受伤。其实安全性本来就是一项很综合的标准，单纯用有多少个漏洞、有多少个病毒来比较安全性本身就没有价值。况且安全注定不是唯一的选择依据，用户选择的是安全、应用之间的平衡。而现实的情况是，我们这些职业安全工作者对每个系统、每种浏览器都战战兢兢，而Linux和Firefox的部分爱好者们和部分非安全领域的专家们，反而更喜欢用安全来说事。