科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道火狐用户必读:提高Firefox安全性的小窍门

火狐用户必读:提高Firefox安全性的小窍门

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

我们当中的很多人选择Firefox作为默认的网络浏览器可能是处于各种各样的原因。但其中比较重要的一条应该是安全地进行网上冲浪。

作者:ZDNet安全频道 来源:ZDNet安全频道【原创】 2009年7月1日

关键字: 信息安全 Web安全 浏览器 Firefox

  • 评论
  • 分享微博
  • 分享邮件

ZDNet安全频道原创翻译 转载请注明作者以及出处

我们当中的很多人选择Firefox作为默认的网络浏览器可能是处于各种各样的原因。但其中比较重要的一条应该是安全地进行网上冲浪。在这里,我想向大家提供几个小窍门,让你在使用Firefox进行网上冲浪时可以变得更安全。
--------------------------------------------------------------------------------------------

  通常情况下,能否利用简单的方法就可以确认地网站是否使用了https协议是一件非常重要的事情。Firefox最早采用的是一种方便可靠的简单方法。如果网站使用了https协议的话,地址栏将变成黄色,同时一个锁状图标将出现在地址栏的右边:

  

火狐用户必读:提高Firefox安全性的小窍门

  在Firefox第三版中,该功能被一个围绕在网站图标周围的小蓝框所取代。此外,只要点击小蓝框,就可以获得关于网站SSL证书的更多详细信息:

  

火狐用户必读:提高Firefox安全性的小窍门

  我并不认为,新的做法更好。这很容易导致人们在辨认网站是否是使用HTTPS时出现错误,特别是在网站图标本身也是蓝色的情况下。并且,我发现这个小蓝框和很多网站图标类似。

  至于为何作出这样的改变,我的猜测是Firefox开发团队认为延伸验证(EV)证书将成为新的规范,应该专注于更好的显示EV信息。我认为,他们成功地将网站名称放在一个绿色框架里的效果是更好的,也更容易区别。

  

火狐用户必读:提高Firefox安全性的小窍门

  这是一个不错的概念,但问题在于EV证书的使用目前并不普遍,因此,可以说整个目的是失败了。如果我没有记错的话,在所有网站中大概只有不到百分之一的使用了SSL EV证书。这是可以理解的,因为根据设计原理,整个审核过程是非常深入的,这导致为了获得一个EV证书要花费相当大的代价。

  隐藏得很好的一个小窍门

  一位好朋友告诉我一个隐藏的窍门,我在这里说出来与大家分享。它并不完美,但可以帮助人们更准确地判断一个网站是否使用了HTTPS协议。整个操作过程非常简单:

  1. 在地址栏中键入about:config。

  2. Firefox将显示下列警告信息。

  

火狐用户必读:提高Firefox安全性的小窍门

  3. 点击“我会小心,我保证”按钮。

  4. 在过滤器中输入“browser.identity.ssl_domain_display”(减号引号)。

  

火狐用户必读:提高Firefox安全性的小窍门

  5. 双击打开对话框。

  6. 改变映射为零到一。

  这样做的结果就是在地址栏上显示的是网站经常使用的SSL证书中的信息。正如你在下面所看到的,除了蓝色代替了绿色以外,它和采用了EV证书的网站没什么区别。这应该有帮于减少加密和未加密网站之间的混淆。

  

火狐用户必读:提高Firefox安全性的小窍门

  重新调整Perspectives的设置

  在2008年8月,我曾经写过一篇文章,介绍了一种名为Perspectives的Firefox插件的使用方法。在这里,我并不打算重复文章的详细内容;我只是想强烈建议大家安装它。接下来的事情就不用管了。这个应用可以自动在后台运行,确认SSL证书的有效性。现在我要说的重点是,我打算调整一下在最初文章中使用的配置,尽管这样会让Perspectives显得有些复杂。

  我建议调整的有两个方面:

  · 取消默认设置下的“允许perspectives自动覆盖安全错误” 。

  · 把“连接时公证人确认”设置下的默认选择改为“把所有HTTPS网站作为连接公证人”的项目。

  

火狐用户必读:提高Firefox安全性的小窍门

  Perspectives的效果并不是完美的,上面的调整可能会增加误报的几率,但新设定会提高网上冲浪时的安全性。

  SSL黑名单

火狐用户必读:提高Firefox安全性的小窍门

 
  Firefox第三版可以利用在线证书状态协议查看证书的撤销情况。但在这里存在一个尴尬的问题,象EV证书一样,这个协议的使用者非常有限。并且,具有讽刺意味的是,所有的SSL证书都没有包含如何获得证书颁发机构的证书吊销列表之类的信息,并且Firefox也没有安装或者使用它们。对,你想的没错,这也就意味着Firefox是不可能够知道现有的大多数SSL证书是否还在有效期中。

  马尔顿·安卡发现了这方面的问题,并为Firefox开发了SSL黑名单插件。该应用可以对证书进行检测和分析,找出哪些还在使用弱MD5哈希算法效力薄弱或者已被撤消的证书。

  NoScript:受人喜欢的小工具

  如果你经常看我的文章的话,就会知道我对乔治加亚·马万开发的Firefox插件NoScript有着高度的评价。乔治加亚发现,绝大多数恶意网站都利用JavaScript脚本中的漏洞控制受害人的计算机。所以,他开发了NoScript,让用户可以选择是否容许或者拒绝执行NoScript认为可能是有害的某些JavaScript代码。

  你可能会觉得,这样的操作会非常麻烦。NoScript会经常询问你是否信任该网站,以便容许执行JavaScript代码。如果你觉得询问太频繁的话,可以选择更改默认配置为“容许所有脚本运行(危险)”。

  

火狐用户必读:提高Firefox安全性的小窍门

  这样的话,NoScripts的询问将会大大减少,但对于JavaScript漏洞的防护也相当于停止了。不过值得高兴的是,即使在容许所有脚本运行的级别你也可以防范ClickJacking类型的网络攻击。

  总 结

  这就是全部,我自己在使用并向所有客户建议的四个小工具。它们中或许没有一个是完美的解决方案,但在利用Firefox进行网上冲浪时,都可以让用户获得更高的安全性。如果在Firefox上,你有自己喜欢的安全插件的话,请告诉我,让我不要错过。如果你使用的是Internet Explorer 8的话,我希望了解你是怎么认为它和Firefox在安全性上的差别的。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章