下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面 拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程序】頁(只能是這個頁面)
快速安全通道-Faststunnel是一款chrome內核瀏覽器插件,提供國站加速服務。支持chrome、360瀏覽器、百度瀏覽器、獵豹瀏覽器、搜狗瀏覽器、QQ瀏覽器、搜狗瀏覽器等,為出國留學人員,外企外貿公司,創新創業團隊量身打造,簡單易用,無繁瑣配置,即裝即用。
方法
下載時空隧道插件
下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面 拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程序】頁(只能是這個頁面)
打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面
可是,任何組織也不可能因為瀏覽器有安全問題,就宣傳停止所有瀏覽器的使用,就地等候 快速應用,一些開發人員也開始實現自己的靜默機制。比如,谷歌就給自己的Chrome瀏覽
拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程序】頁(只能是這個頁面)
使用的,而這些瀏覽器是訪問移動網站的唯一通道和入口,因此,移動網站多多少少都會受 安全性的影響。 此外,不少移動網站或手機APP很容易被植入惡意插件,用户一旦下載並
安裝完成後瀏覽器會自動彈出註冊頁面,註冊後,進入郵箱激活即可登錄。
最佳答案下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程
擴展閲讀,以下內容您可能還感興趣。
如何安裝chrome快速安全通道插件
下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面
拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程序】頁(只能是這個頁面)
如何安裝chrome快速安全通道插件
下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面
拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程序】頁(只能是這個頁面)
為什麼説一個安全的瀏覽器抵得過全副武裝的安全措施?
瀏覽器安全概述
天生低調的瀏覽器卻肩負着保護用户安全的重任。瀏覽器的工作機制,就是向整個互聯網請求指令,請求到以後幾乎不加任何質疑地去執行。瀏覽器之所以為瀏覽器,就是要忠實地匯聚遠程獲取的內容,把它們組織*類可以辨識的形式,同時還要支持今天所謂的Web 2.0應有的豐富功能。
但是作為一款軟件,瀏覽器又是如此重要:它不僅要幫你維護社交網絡,還要替你完成在線銀行的交易。這個軟件有義務保證你在網絡世界中的安全,無論你冒險闖入的是什麼衚衕街巷。這個軟件有義務支持你在一個標籤頁裏不知深淺的探險,同時又在另一個標籤頁裏進行重大涉密交易。很多人把自己的瀏覽器當成裝甲車,認為自己能坐在裏面安全舒適地觀察外面的世界,而不用擔心泄漏任何個人隱私,或者遭受任何威脅。等把這本書全看完,你就會明白這個假設是否成立了。
這款“無所不能”的神奇軟件的開發團隊,必須確保其龐大身軀的每個角落、每道接縫,都不給黑客留下可乘之機。不管你是否這麼想過,實際上你每次使用瀏覽器,都默認信任了從未謀面(很可能這輩子永遠也不會見面)的一羣人,相信這羣人能夠保障你的重要信息不會被互聯網上的黑客竊取。
本章介紹Web瀏覽器攻防相關的方*。我們會討論瀏覽器在Web生態系統中扮演的角色,包括它與Web服務器之間的互動關係。此外,本章還會介紹一些瀏覽器安全基礎知識,為本書後續各章的內容提供脈絡。
1.1 首要問題
請大家暫時忘掉瀏覽器,只想着眼前有一塊空白的安全畫布。假設你身處這麼一種境況:你要對一家公司的安全負責,必須作出某些決策。你在決定部署某個軟件時,會不會考慮它可能面臨的風險有多大?這個軟件必須在標準運行環境(Standard Operating Environment,SOE)中無差異地安裝到公司內的幾乎所有機器上。人們要通過它來存取最敏感的數據,執行最敏感的操作。這個軟件幾乎是公司每個員工的日常工具,包括CEO、董事會成員、系統管理員、財務、人力資源,甚至你們的客户。鑑於它對公司的核心業務數據擁有如此高的權限,毫無疑問會成為黑客的理想攻擊目標,因而面臨極大風險。
這個軟件的設計規格大致是這樣的。
它要向互聯網請求指令,然後執行獲取的指令。
防禦者無法控制這些指令。
某些指令會要求這個軟件從以下來源再次請求其他指令:
互聯網的其他地方;
內部網的其他地方;
非標準的HTTP和HTTPS TCP端口。
某些指令會要求這個軟件通過TCP發送數據。這可能會造成對其他聯網設備的攻擊。
它會與互聯網中任意服務器進行加密通信。防禦者無法看到通信內容。
它會不斷向攻擊者暴露攻擊目標。它會在後台靜默更新。
它經常會依賴插件獲得某些功能。沒有統一的機制更新這些插件。
此外,對這個軟件的相關研究表明:
插件一般來説都不如核心軟件本身安全;
這個軟件的每個變體都有文檔載明的漏洞;
一份安全情報報告(Security Intelligence Report)得出結論,説這個軟件是企業最大的威脅。
1. 瀏覽器沙箱
很多層面都可以使用沙箱機制。比如,可以應用在內核級別,把不同用户隔離開;可以應用在硬件級別,實現內核與用户空間的權限分離。
瀏覽器沙箱屬於用户空間程序中最高層次的沙箱,它隔離的是操作系統賦予瀏覽器的權限和在瀏覽器中運行的子進程的權限。
要想完全拿下瀏覽器,至少要兩步。第一步是找到瀏覽器功能上的漏洞,第二步就是突破沙箱。後者也叫繞開沙箱(sandbox bypass)。
在有的瀏覽器中,沙箱策略體現在用不同的進程打開不同的網站,讓惡意網站很難影響其他網站乃至操作系統。這種沙箱同樣也應用於插件和擴展,比如把PDF渲染進程獨立出來。
繞開沙箱能夠得逞,通常是因為編譯後的代碼種類龐雜,而且攻擊者企圖破壞整個進程。這種情況下沙箱有效性的標誌就是它能否通過檢驗,即能否阻止被破壞的執行路徑取得全部進程的權限。
2. IFrame沙箱
作為一種機制,可以使用IFrame顯示來自不同來源不被信任的內容,有時候也可以用於顯示來自相同來源但不被信任的內容。比如,的社交媒體部件13就是一個例子。利用IFrame幹壞事並不新鮮,瀏覽器廠商很長時間以來一直致力於設置各種防範措施,降低這個傢伙對瀏覽器造成的威脅。
HTML5規範也提出了一個IFrame沙箱建議,而且已經被現代瀏覽器支持。開發者對它只有最低限度的權限。沙箱IFrame指的是給這個嵌入的幀添加一個HTML5屬性。
添加這個屬性後,就不能在其中使用表單、執行腳本,也不能導航到頂層頁面,而且只能限於與一個來源通信。施加於每一個父框架的*,都會被嵌在其中的子框架自動繼承。
1.3.4 反網絡釣魚和反惡意軟件
通過偽造在線內容(包括電子郵件)竊取證書等個人信息的行為,一般稱為網絡釣魚(phishing)。很多組織都會公佈釣魚網站的信息,而現代瀏覽器可以利用這些信息。
瀏覽器會在訪問網站時,將其與惡意站點名單進行對照。如果檢測到要訪問的網站是一個釣魚網站,瀏覽器就會採取措施。相關內容將在第2章介紹。
類似地,服務器也可能在所有者未察覺的情況下被利用,或者有人專門運行這種服務器,託管着一些利用瀏覽器的隱患內容。這些網站會*用户手工下載和執行軟件,從而繞過瀏覽器防禦措施。
關於託管有惡意代碼的惡意網站,有很多組織都提供了相應的黑名單。瀏覽器可以直接引用,以便實時檢測14。
1.3.5 混入內容
所謂混入內容(mixed content)網站,是指某個來源使用HTTPS協議,然後又通過HTTP請求內容。換句話説,所有頁面內容都不是通過HTTPS發送的。
不通過HTTPS傳輸的內容有可能被修改,使得任何加密數據的措施形同虛設。如果通過未加密的通道傳輸的是腳本,那麼攻擊者就可能在數據流中注入指令,進而破壞瀏覽器與服務器間的交互。
1.4 核心安全問題
瀏覽器安全特性的一度擴張,奠定了如今既廣闊又複雜的局面。傳統網絡安全一般依賴外圍或邊界防禦設施的部署與維護,比如防火牆。隨着時間推移,這些設備似乎要把除了基本流量之外的一切都過濾掉。
對網絡的管控雖然越來越嚴密,但訪問信息的需求一點沒有減少,投入實際使用的Web技術(相當多流量走的都是80或443端口)也越來越多。實際上,防火牆非常有效地起到了限流的作用,而只給我們剩下了HTTP流量。日益增多的SSL VPN技術取代過去的IPSEC VPN的應用就是一個很好的例子。
當然,防火牆所做的就是把所有網絡流量都歸總到兩個端口上:80和443。這樣的流量遷移極大依賴於瀏覽器的安全模型。
接下來我們討論一下瀏覽器安全的基本情況,以及攻防之中的有利和不利因素構成的複雜局面。特別地,我們會專注於為什麼Web流量沒有被*住,反而為各種攻擊提供了可能性。
1.4.1 攻擊面
攻擊面(attack surface)不是個新概念,它指的是瀏覽器容易遭受未信任來源攻擊影響的範圍。這樣説來,最小的情況下,瀏覽器的渲染引擎就是問題所在。瀏覽器的攻擊面是越來越大了,畢竟大量的API和各種存取數據的抽象功能也在與日俱增。
相反,網絡的攻擊面很大程度上已經受到了嚴密控制。接入點和受控流量的概念已經深入人心,而改變控制流程,結果就會不一樣。比如,訪問防火牆不同端口流量可以通過人們熟悉的方法得到輕易驗證和*。
很少聽説瀏覽器廠商會刪減瀏覽器功能的,倒是經常會聽到宣傳説某某瀏覽器又增加了什麼功能之類的。與多數產品一樣,削弱功能的同時還要維護向後兼容並沒有什麼可以預見的好處。而隨着功能不斷增多,攻擊面勢必也越來越大。
現代瀏覽器的更新都採用後台自動和靜默方式。有時候,攻擊面的變化是防禦者意識不到的。某些情況下,這是一個好現象。可是,對一個成熟和可靠的安全團隊而言,這樣往往會造成更多麻煩,而不是帶來更多好處。
然而,也很少有哪個組織,其安全團隊成員敢説自己在瀏覽器防禦方面非常有經驗。即使這個軟件是最值得信任的軟件之一,它也仍然對互聯網暴露着自己最大的攻擊面。
1. 升級速度
瀏覽器安全團隊不一定會與組織的步調一致。更常見的情況是,希望維持自己安全形象的廠商卻無力修復瀏覽器的問題。
修復瀏覽器的安全bug常常被開發者排在最低優先級,這與安全社區的期望恰恰相反。2013年1月,隨着Firefox 18.0的發佈,Mozilla吹噓15自己修復了一個混入內容的問題,也就是説,使瀏覽器在來源使用HTTPS協議時,不能加載HTTP內容。如果我告訴你Firefox的這個bug早在2000年12月就被人發現了16,你會作何感想?也許這是一個極端的例子,但瀏覽器安全bug被漠視的情況由此可見一斑。
從終端用户對瀏覽器安全升級沒有發言權這一點來説,瀏覽器與其他軟件也沒有什麼差別。可是,任何組織也不可能因為瀏覽器有安全問題,就宣傳停止所有瀏覽器的使用,就地等候一個重要的安全補丁發佈。這麼説來,從瀏覽器安全bug被爆出之日起到這個bug被修復的這段時間內,大多數組織的瀏覽器都處於容易被攻擊的狀態。
2. 靜默更新
靜默的後台更新,雖然會增大受攻擊的可能性,但應該説也能給用户帶來很大的價值。為保證可用更新的快速應用,一些開發人員也開始實現自己的靜默機制。
比如,谷歌就給自己的Chrome瀏覽器實現了一個靜默更新功能17。用户無權禁用這個功能,以此保證及時提供所有更新,而不會被用户阻斷。
這方面一個明顯的例子,就是谷歌在Chrome中部署自己的PDF渲染引擎取代Adobe Reader。這確保了每個自動更新的Chrome都不再受制於這個第三方插件的更新進程。
這裏面的確有問題。如果瀏覽器在後台更新和新增功能時出現問題,就可能增大每個瀏覽器的攻擊面。這樣所有組織的安全團隊都不得不在某種程度上依賴瀏覽器的開發者,而在瀏覽器開發者對終端用户組織的需求還不夠關注的情況下,這種依賴着實令人懊惱。
3. 擴展
擴展可以增強瀏覽器功能,而又不需要單獨開發一款軟件。但擴展可以影響瀏覽器加載的每一個頁面,反過來,每個頁面又會影響擴展。
每個擴展都可能成為攻擊者的目標,因而它們會增大瀏覽器的攻擊面。有時候,常見的XSS隱患也會通過擴展進入瀏覽器。關於擴展及其隱患,將在第7章討論。
4. 插件
一般來説,插件就是能夠獨立於瀏覽器運行的軟件。與擴展不同,瀏覽器只會在Web應用通過對象標籤或Content-type首部包含它們的情況下,才會運行插件。
有些互聯網功能離不開合適的插件,這也是瀏覽器支持增強插件功能的原因。比如,瀏覽器在訪問Juniper等VPN網關時,就要使用Java小程序。
很多公司的業務都依賴於一批主流的瀏覽器插件,而有些插件以往就暴露出了一些隱患。在這種情況下,防禦者要麼選擇使用包含隱患的插件,要麼選擇停辦一些公司業務。
大部分插件都沒有集中更新的機制。這意味着在某些情況下必須手工確保它們的使用安全,從而給防禦帶來了不可避免的負擔和複雜性。
很多安全媒體都對插件給予負面的評價。由於一些固有的隱患,安全專家甚至建議組織清除所有這些插件。操作系統廠商也在採取措施,通過自己的自動更新機制禁用不安全的插件,禁用時間為不確定,或者至安全警報解除為止。
插件會大幅度增加攻擊面。它們既能增強瀏覽器功能,又為黑客提供了攻擊目標。第8章將深入探討插件。
這個特殊的沙箱是瀏覽器安全的重要保障機制。考慮到在網絡活動中的首要地位,瀏覽器實際上是連接互聯網上不同資源區域的事實標準,因此也應該承擔着維護和平的使命。為滿足每個區域的需求,准許訪問不同來源的自治功能相應氾濫。如果這些功能違背SOP,那麼本來合法的功能就可能成為敵人,因為它們會穿越安全區。
移動網站會遭遇哪些安全風險
首先,從操作系統來看,這是移動網站天然不可避開的環境,因為目前以智能手機為代表的移動設備都是依靠Google公司開發的Android與蘋果公司開發的iOS兩大操作系統來驅動和主宰的。
然而,這兩大主流操作系統卻沒有大家想象中的那樣安全。Android因其開源的特性,被視為存在最大安全風險的系統,也被看作惡意軟件最主要的集中平台。同樣,蘋果iOS系統本身也存在諸多漏洞,iCloud隱私泄露事件頻出,包括之前有來自美國印第安納大學、佐治亞理工學院和中國北京大學的六名研究人員稱,他們在蘋果iOS、Mac OS X操作系統裏發現了一系列安全漏洞,這些漏洞可以導致用户的密碼被竊取。
不管是手機上自帶的瀏覽器還是軟件商店下載的瀏覽器也大都是基於以上兩種操作系統來使用的,而這些瀏覽器是訪問移動網站的唯一通道和入口,因此,移動網站多多少少都會受到操作系統安全性的影響。
此外,不少移動網站或手機APP很容易被植入惡意插件,用户一旦下載並安裝,這些軟件就會強制聯網,並且私自下載未知軟件,竊取用户通訊錄、短信、照片等隱私信息,還可能使用基於位置的服務推送特定的廣告,造成用户流量的快速消耗。
在移動網絡層,移動網站也有可能陷入公共或免費WiFi的潛伏的安全陷阱。如今很多智能手機用户都有這樣的習慣:到一個地方先搜WIFI,所有這些WIFI熱點並不完全是有安全保障的,有的WiFi熱點是需要輸入手機號碼來獲得手機驗證碼才能使用無線網絡,曾經就有報道有用户連接到黑客偽造的WIFI熱點,在輸入手機號驗證的過程中,手機上的數據信息輕而易舉就被黑客竊取到了。
移動網站可能遭遇的安全風險還有一個很大且不容忽視的威脅,就是手機病毒。現在,智能手機因為覆蓋用户廣泛、承擔的功能作用越來越多,逐漸成為各種病毒滋生擴散的温牀。現在的手機病毒也已經不單單是應用內彈廣告或者從後台上載用户隱私信息等,有的通過二維碼掃描被惡意安裝軟件或植入代碼,有的甚至跳到了用户的鎖屏界面,更直接地勒索用户資費。據有關統計,現在,手機上誘騙欺詐類病毒居首位,且以扣取用户費用為主,通過消耗手機流量對用户造成一定的經濟損失。
如何安裝chrome快速安全通道插件
下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角,菜單中找到【更多工具】打開【擴展程序】頁面拖放安裝把下載的擴展包(FastStunnel.crx) 拖拽到【擴展程序】頁(只能是這個頁面)
