扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
我们当中的很多人选择Firefox作为默认的网络浏览器可能是处于各种各样的原因。但其中比较重要的一条应该是安全地进行网上冲浪。在这里,我想向大家提供几个小窍门,让你在使用Firefox进行网上冲浪时可以变得更安全。
--------------------------------------------------------------------------------------------
通常情况下,能否利用简单的方法就可以确认地网站是否使用了https协议是一件非常重要的事情。Firefox最早采用的是一种方便可靠的简单方法。如果网站使用了https协议的话,地址栏将变成黄色,同时一个锁状图标将出现在地址栏的右边:
在Firefox第三版中,该功能被一个围绕在网站图标周围的小蓝框所取代。此外,只要点击小蓝框,就可以获得关于网站SSL证书的更多详细信息:
我并不认为,新的做法更好。这很容易导致人们在辨认网站是否是使用HTTPS时出现错误,特别是在网站图标本身也是蓝色的情况下。并且,我发现这个小蓝框和很多网站图标类似。
至于为何作出这样的改变,我的猜测是Firefox开发团队认为延伸验证(EV)证书将成为新的规范,应该专注于更好的显示EV信息。我认为,他们成功地将网站名称放在一个绿色框架里的效果是更好的,也更容易区别。
这是一个不错的概念,但问题在于EV证书的使用目前并不普遍,因此,可以说整个目的是失败了。如果我没有记错的话,在所有网站中大概只有不到百分之一的使用了SSL EV证书。这是可以理解的,因为根据设计原理,整个审核过程是非常深入的,这导致为了获得一个EV证书要花费相当大的代价。
隐藏得很好的一个小窍门
一位好朋友告诉我一个隐藏的窍门,我在这里说出来与大家分享。它并不完美,但可以帮助人们更准确地判断一个网站是否使用了HTTPS协议。整个操作过程非常简单:
1. 在地址栏中键入about:config。
2. Firefox将显示下列警告信息。
3. 点击“我会小心,我保证”按钮。
4. 在过滤器中输入“browser.identity.ssl_domain_display”(减号引号)。
5. 双击打开对话框。
6. 改变映射为零到一。
这样做的结果就是在地址栏上显示的是网站经常使用的SSL证书中的信息。正如你在下面所看到的,除了蓝色代替了绿色以外,它和采用了EV证书的网站没什么区别。这应该有帮于减少加密和未加密网站之间的混淆。
重新调整Perspectives的设置
在2008年8月,我曾经写过一篇文章,介绍了一种名为Perspectives的Firefox插件的使用方法。在这里,我并不打算重复文章的详细内容;我只是想强烈建议大家安装它。接下来的事情就不用管了。这个应用可以自动在后台运行,确认SSL证书的有效性。现在我要说的重点是,我打算调整一下在最初文章中使用的配置,尽管这样会让Perspectives显得有些复杂。
我建议调整的有两个方面:
· 取消默认设置下的“允许perspectives自动覆盖安全错误” 。
· 把“连接时公证人确认”设置下的默认选择改为“把所有HTTPS网站作为连接公证人”的项目。
Perspectives的效果并不是完美的,上面的调整可能会增加误报的几率,但新设定会提高网上冲浪时的安全性。
SSL黑名单
马尔顿·安卡发现了这方面的问题,并为Firefox开发了SSL黑名单插件。该应用可以对证书进行检测和分析,找出哪些还在使用弱MD5哈希算法效力薄弱或者已被撤消的证书。
NoScript:受人喜欢的小工具
如果你经常看我的文章的话,就会知道我对乔治加亚·马万开发的Firefox插件NoScript有着高度的评价。乔治加亚发现,绝大多数恶意网站都利用JavaScript脚本中的漏洞控制受害人的计算机。所以,他开发了NoScript,让用户可以选择是否容许或者拒绝执行NoScript认为可能是有害的某些JavaScript代码。
你可能会觉得,这样的操作会非常麻烦。NoScript会经常询问你是否信任该网站,以便容许执行JavaScript代码。如果你觉得询问太频繁的话,可以选择更改默认配置为“容许所有脚本运行(危险)”。
这样的话,NoScripts的询问将会大大减少,但对于JavaScript漏洞的防护也相当于停止了。不过值得高兴的是,即使在容许所有脚本运行的级别你也可以防范ClickJacking类型的网络攻击。
总 结
这就是全部,我自己在使用并向所有客户建议的四个小工具。它们中或许没有一个是完美的解决方案,但在利用Firefox进行网上冲浪时,都可以让用户获得更高的安全性。如果在Firefox上,你有自己喜欢的安全插件的话,请告诉我,让我不要错过。如果你使用的是Internet Explorer 8的话,我希望了解你是怎么认为它和Firefox在安全性上的差别的。
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。