火狐用户必读:提高Firefox安全性的小窍门

ZDNet安全频道原创翻译 转载请注明作者以及出处

我们当中的很多人选择Firefox作为默认的网络浏览器可能是处于各种各样的原因。但其中比较重要的一条应该是安全地进行网上冲浪。在这里，我想向大家提供几个小窍门，让你在使用Firefox进行网上冲浪时可以变得更安全。
--------------------------------------------------------------------------------------------

　　通常情况下，能否利用简单的方法就可以确认地网站是否使用了https协议是一件非常重要的事情。Firefox最早采用的是一种方便可靠的简单方法。如果网站使用了https协议的话，地址栏将变成黄色，同时一个锁状图标将出现在地址栏的右边：

　　

　　在Firefox第三版中，该功能被一个围绕在网站图标周围的小蓝框所取代。此外，只要点击小蓝框，就可以获得关于网站SSL证书的更多详细信息：

　　

　　我并不认为，新的做法更好。这很容易导致人们在辨认网站是否是使用HTTPS时出现错误，特别是在网站图标本身也是蓝色的情况下。并且，我发现这个小蓝框和很多网站图标类似。

　　至于为何作出这样的改变，我的猜测是Firefox开发团队认为延伸验证(EV)证书将成为新的规范，应该专注于更好的显示EV信息。我认为，他们成功地将网站名称放在一个绿色框架里的效果是更好的，也更容易区别。

　　

　　这是一个不错的概念，但问题在于EV证书的使用目前并不普遍，因此，可以说整个目的是失败了。如果我没有记错的话，在所有网站中大概只有不到百分之一的使用了SSL EV证书。这是可以理解的，因为根据设计原理，整个审核过程是非常深入的，这导致为了获得一个EV证书要花费相当大的代价。

　　隐藏得很好的一个小窍门

　　一位好朋友告诉我一个隐藏的窍门，我在这里说出来与大家分享。它并不完美，但可以帮助人们更准确地判断一个网站是否使用了HTTPS协议。整个操作过程非常简单：

　　1. 在地址栏中键入about:config。

　　2. Firefox将显示下列警告信息。

　　

　　3. 点击“我会小心，我保证”按钮。

　　4. 在过滤器中输入“browser.identity.ssl_domain_display”(减号引号)。

　　

　　5. 双击打开对话框。

　　6. 改变映射为零到一。

　　这样做的结果就是在地址栏上显示的是网站经常使用的SSL证书中的信息。正如你在下面所看到的，除了蓝色代替了绿色以外，它和采用了EV证书的网站没什么区别。这应该有帮于减少加密和未加密网站之间的混淆。

　　

　　重新调整Perspectives的设置

　　在2008年8月，我曾经写过一篇文章，介绍了一种名为Perspectives的Firefox插件的使用方法。在这里，我并不打算重复文章的详细内容;我只是想强烈建议大家安装它。接下来的事情就不用管了。这个应用可以自动在后台运行，确认SSL证书的有效性。现在我要说的重点是，我打算调整一下在最初文章中使用的配置，尽管这样会让Perspectives显得有些复杂。

　　我建议调整的有两个方面：

　　· 取消默认设置下的“允许perspectives自动覆盖安全错误” 。

　　· 把“连接时公证人确认”设置下的默认选择改为“把所有HTTPS网站作为连接公证人”的项目。

　　

　　Perspectives的效果并不是完美的，上面的调整可能会增加误报的几率，但新设定会提高网上冲浪时的安全性。

　　SSL黑名单

 　　Firefox第三版可以利用在线证书状态协议查看证书的撤销情况。但在这里存在一个尴尬的问题，象EV证书一样，这个协议的使用者非常有限。并且，具有讽刺意味的是，所有的SSL证书都没有包含如何获得证书颁发机构的证书吊销列表之类的信息，并且Firefox也没有安装或者使用它们。对，你想的没错，这也就意味着Firefox是不可能够知道现有的大多数SSL证书是否还在有效期中。

　　马尔顿·安卡发现了这方面的问题，并为Firefox开发了SSL黑名单插件。该应用可以对证书进行检测和分析，找出哪些还在使用弱MD5哈希算法效力薄弱或者已被撤消的证书。

　　NoScript：受人喜欢的小工具

　　如果你经常看我的文章的话，就会知道我对乔治加亚·马万开发的Firefox插件NoScript有着高度的评价。乔治加亚发现，绝大多数恶意网站都利用JavaScript脚本中的漏洞控制受害人的计算机。所以，他开发了NoScript，让用户可以选择是否容许或者拒绝执行NoScript认为可能是有害的某些JavaScript代码。

　　你可能会觉得，这样的操作会非常麻烦。NoScript会经常询问你是否信任该网站，以便容许执行JavaScript代码。如果你觉得询问太频繁的话，可以选择更改默认配置为“容许所有脚本运行(危险)”。

　　

　　这样的话，NoScripts的询问将会大大减少，但对于JavaScript漏洞的防护也相当于停止了。不过值得高兴的是，即使在容许所有脚本运行的级别你也可以防范ClickJacking类型的网络攻击。

　　总 结

　　这就是全部，我自己在使用并向所有客户建议的四个小工具。它们中或许没有一个是完美的解决方案，但在利用Firefox进行网上冲浪时，都可以让用户获得更高的安全性。如果在Firefox上，你有自己喜欢的安全插件的话，请告诉我，让我不要错过。如果你使用的是Internet Explorer 8的话，我希望了解你是怎么认为它和Firefox在安全性上的差别的。