下載時空隧道外掛開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面 拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程式】頁(只能是這個頁面)
快速安全通道-Faststunnel是一款chrome核心瀏覽器外掛,提供國站加速服務。支援chrome、360瀏覽器、百度瀏覽器、獵豹瀏覽器、搜狗瀏覽器、QQ瀏覽器、搜狗瀏覽器等,為出國留學人員,外企外貿公司,創新創業團隊量身打造,簡單易用,無繁瑣配置,即裝即用。
方法
下載時空隧道外掛
下載時空隧道外掛開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面 拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程式】頁(只能是這個頁面)
開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面
可是,任何組織也不可能因為瀏覽器有安全問題,就宣傳停止所有瀏覽器的使用,就地等候 快速應用,一些開發人員也開始實現自己的靜默機制。比如,谷歌就給自己的Chrome瀏覽
拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程式】頁(只能是這個頁面)
使用的,而這些瀏覽器是訪問移動網站的唯一通道和入口,因此,移動網站多多少少都會受 安全性的影響。 此外,不少移動網站或手機APP很容易被植入惡意外掛,使用者一旦下載並
安裝完成後瀏覽器會自動彈出註冊頁面,註冊後,進入郵箱啟用即可登入。
最佳答案下載時空隧道外掛開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程
擴充套件閱讀,以下內容您可能還感興趣。
如何安裝chrome快速安全通道外掛
下載時空隧道外掛開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面
拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程式】頁(只能是這個頁面)
如何安裝chrome快速安全通道外掛
下載時空隧道外掛開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面
拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程式】頁(只能是這個頁面)
為什麼說一個安全的瀏覽器抵得過全副武裝的安全措施?
瀏覽器安全概述
天生低調的瀏覽器卻肩負著保護使用者安全的重任。瀏覽器的工作機制,就是向整個網際網路請求指令,請求到以後幾乎不加任何質疑地去執行。瀏覽器之所以為瀏覽器,就是要忠實地匯聚遠端獲取的內容,把它們組織*類可以辨識的形式,同時還要支援今天所謂的Web 2.0應有的豐富功能。
但是作為一款軟體,瀏覽器又是如此重要:它不僅要幫你維護社交網路,還要替你完成線上銀行的交易。這個軟體有義務保證你在網路世界中的安全,無論你冒險闖入的是什麼衚衕街巷。這個軟體有義務支援你在一個標籤頁裡不知深淺的探險,同時又在另一個標籤頁裡進行重大涉密交易。很多人把自己的瀏覽器當成裝甲車,認為自己能坐在裡面安全舒適地觀察外面的世界,而不用擔心洩漏任何個人隱私,或者遭受任何威脅。等把這本書全看完,你就會明白這個假設是否成立了。
這款“無所不能”的神奇軟體的開發團隊,必須確保其龐大身軀的每個角落、每道接縫,都不給黑客留下可乘之機。不管你是否這麼想過,實際上你每次使用瀏覽器,都預設信任了從未謀面(很可能這輩子永遠也不會見面)的一群人,相信這群人能夠保障你的重要資訊不會被網際網路上的黑客竊取。
本章介紹Web瀏覽器攻防相關的方*。我們會討論瀏覽器在Web生態系統中扮演的角色,包括它與Web伺服器之間的互動關係。此外,本章還會介紹一些瀏覽器安全基礎知識,為本書後續各章的內容提供脈絡。
1.1 首要問題
請大家暫時忘掉瀏覽器,只想著眼前有一塊空白的安全畫布。假設你身處這麼一種境況:你要對一家公司的安全負責,必須作出某些決策。你在決定部署某個軟體時,會不會考慮它可能面臨的風險有多大?這個軟體必須在標準執行環境(Standard Operating Environment,SOE)中無差異地安裝到公司內的幾乎所有機器上。人們要通過它來存取最敏感的資料,執行最敏感的操作。這個軟體幾乎是公司每個員工的日常工具,包括CEO、董事會成員、系統管理員、財務、人力資源,甚至你們的客戶。鑑於它對公司的核心業務資料擁有如此高的許可權,毫無疑問會成為黑客的理想攻擊目標,因而面臨極大風險。
這個軟體的設計規格大致是這樣的。
它要向網際網路請求指令,然後執行獲取的指令。
防禦者無法控制這些指令。
某些指令會要求這個軟體從以下來源再次請求其他指令:
網際網路的其他地方;
內部網的其他地方;
非標準的HTTP和HTTPS TCP埠。
某些指令會要求這個軟體通過TCP傳送資料。這可能會造成對其他聯網裝置的攻擊。
它會與網際網路中任意伺服器進行加密通訊。防禦者無法看到通訊內容。
它會不斷向攻擊者暴露攻擊目標。它會在後臺靜默更新。
它經常會依賴外掛獲得某些功能。沒有統一的機制更新這些外掛。
此外,對這個軟體的相關研究表明:
外掛一般來說都不如核心軟體本身安全;
這個軟體的每個變體都有文件載明的漏洞;
一份安全情報報告(Security Intelligence Report)得出結論,說這個軟體是企業最大的威脅。
1. 瀏覽器沙箱
很多層面都可以使用沙箱機制。比如,可以應用在核心級別,把不同使用者隔離開;可以應用在硬體級別,實現核心與使用者空間的許可權分離。
瀏覽器沙箱屬於使用者空間程式中最高層次的沙箱,它隔離的是作業系統賦予瀏覽器的許可權和在瀏覽器中執行的子程序的許可權。
要想完全拿下瀏覽器,至少要兩步。第一步是找到瀏覽器功能上的漏洞,第二步就是突破沙箱。後者也叫繞開沙箱(sandbox bypass)。
在有的瀏覽器中,沙箱策略體現在用不同的程序開啟不同的網站,讓惡意網站很難影響其他網站乃至作業系統。這種沙箱同樣也應用於外掛和擴充套件,比如把PDF渲染程序獨立出來。
繞開沙箱能夠得逞,通常是因為編譯後的程式碼種類龐雜,而且攻擊者企圖破壞整個程序。這種情況下沙箱有效性的標誌就是它能否通過檢驗,即能否阻止被破壞的執行路徑取得全部程序的許可權。
2. IFrame沙箱
作為一種機制,可以使用IFrame顯示來自不同來源不被信任的內容,有時候也可以用於顯示來自相同來源但不被信任的內容。比如,的社交媒體部件13就是一個例子。利用IFrame幹壞事並不新鮮,瀏覽器廠商很長時間以來一直致力於設定各種防範措施,降低這個傢伙對瀏覽器造成的威脅。
HTML5規範也提出了一個IFrame沙箱建議,而且已經被現代瀏覽器支援。開發者對它只有最低限度的許可權。沙箱IFrame指的是給這個嵌入的幀新增一個HTML5屬性。
新增這個屬性後,就不能在其中使用表單、執行指令碼,也不能導航到頂層頁面,而且只能限於與一個來源通訊。施加於每一個父框架的*,都會被嵌在其中的子框架自動繼承。
1.3.4 反網路釣魚和反惡意軟體
通過偽造線上內容(包括電子郵件)竊取證書等個人資訊的行為,一般稱為網路釣魚(phishing)。很多組織都會公佈釣魚網站的資訊,而現代瀏覽器可以利用這些資訊。
瀏覽器會在訪問網站時,將其與惡意站點名單進行對照。如果檢測到要訪問的網站是一個釣魚網站,瀏覽器就會採取措施。相關內容將在第2章介紹。
類似地,伺服器也可能在所有者未察覺的情況下被利用,或者有人專門執行這種伺服器,託管著一些利用瀏覽器的隱患內容。這些網站會*使用者手工下載和執行軟體,從而繞過瀏覽器防禦措施。
關於託管有惡意程式碼的惡意網站,有很多組織都提供了相應的黑名單。瀏覽器可以直接引用,以便實時檢測14。
1.3.5 混入內容
所謂混入內容(mixed content)網站,是指某個來源使用HTTPS協議,然後又通過HTTP請求內容。換句話說,所有頁面內容都不是通過HTTPS傳送的。
不通過HTTPS傳輸的內容有可能被修改,使得任何加密資料的措施形同虛設。如果通過未加密的通道傳輸的是指令碼,那麼攻擊者就可能在資料流中注入指令,進而破壞瀏覽器與伺服器間的互動。
1.4 核心安全問題
瀏覽器安全特性的一度擴張,奠定了如今既廣闊又複雜的局面。傳統網路安全一般依賴外圍或邊界防禦設施的部署與維護,比如防火牆。隨著時間推移,這些裝置似乎要把除了基本流量之外的一切都過濾掉。
對網路的管控雖然越來越嚴密,但訪問資訊的需求一點沒有減少,投入實際使用的Web技術(相當多流量走的都是80或443埠)也越來越多。實際上,防火牆非常有效地起到了限流的作用,而只給我們剩下了HTTP流量。日益增多的SSL VPN技術取代過去的IPSEC VPN的應用就是一個很好的例子。
當然,防火牆所做的就是把所有網路流量都歸總到兩個埠上:80和443。這樣的流量遷移極大依賴於瀏覽器的安全模型。
接下來我們討論一下瀏覽器安全的基本情況,以及攻防之中的有利和不利因素構成的複雜局面。特別地,我們會專注於為什麼Web流量沒有被*住,反而為各種攻擊提供了可能性。
1.4.1 攻擊面
攻擊面(attack surface)不是個新概念,它指的是瀏覽器容易遭受未信任來源攻擊影響的範圍。這樣說來,最小的情況下,瀏覽器的渲染引擎就是問題所在。瀏覽器的攻擊面是越來越大了,畢竟大量的API和各種存取資料的抽象功能也在與日俱增。
相反,網路的攻擊面很大程度上已經受到了嚴密控制。接入點和受控流量的概念已經深入人心,而改變控制流程,結果就會不一樣。比如,訪問防火牆不同埠流量可以通過人們熟悉的方法得到輕易驗證和*。
很少聽說瀏覽器廠商會刪減瀏覽器功能的,倒是經常會聽到宣傳說某某瀏覽器又增加了什麼功能之類的。與多數產品一樣,削弱功能的同時還要維護向後相容並沒有什麼可以預見的好處。而隨著功能不斷增多,攻擊面勢必也越來越大。
現代瀏覽器的更新都採用後臺自動和靜默方式。有時候,攻擊面的變化是防禦者意識不到的。某些情況下,這是一個好現象。可是,對一個成熟和可靠的安全團隊而言,這樣往往會造成更多麻煩,而不是帶來更多好處。
然而,也很少有哪個組織,其安全團隊成員敢說自己在瀏覽器防禦方面非常有經驗。即使這個軟體是最值得信任的軟體之一,它也仍然對網際網路暴露著自己最大的攻擊面。
1. 升級速度
瀏覽器安全團隊不一定會與組織的步調一致。更常見的情況是,希望維持自己安全形象的廠商卻無力修復瀏覽器的問題。
修復瀏覽器的安全bug常常被開發者排在最低優先順序,這與安全社群的期望恰恰相反。2013年1月,隨著Firefox 18.0的釋出,Mozilla吹噓15自己修復了一個混入內容的問題,也就是說,使瀏覽器在來源使用HTTPS協議時,不能載入HTTP內容。如果我告訴你Firefox的這個bug早在2000年12月就被人發現了16,你會作何感想?也許這是一個極端的例子,但瀏覽器安全bug被漠視的情況由此可見一斑。
從終端使用者對瀏覽器安全升級沒有發言權這一點來說,瀏覽器與其他軟體也沒有什麼差別。可是,任何組織也不可能因為瀏覽器有安全問題,就宣傳停止所有瀏覽器的使用,就地等候一個重要的安全補丁釋出。這麼說來,從瀏覽器安全bug被爆出之日起到這個bug被修復的這段時間內,大多陣列織的瀏覽器都處於容易被攻擊的狀態。
2. 靜默更新
靜默的後臺更新,雖然會增大受攻擊的可能性,但應該說也能給使用者帶來很大的價值。為保證可用更新的快速應用,一些開發人員也開始實現自己的靜默機制。
比如,谷歌就給自己的Chrome瀏覽器實現了一個靜默更新功能17。使用者無權禁用這個功能,以此保證及時提供所有更新,而不會被使用者阻斷。
這方面一個明顯的例子,就是谷歌在Chrome中部署自己的PDF渲染引擎取代Adobe Reader。這確保了每個自動更新的Chrome都不再受制於這個第三方外掛的更新程序。
這裡面的確有問題。如果瀏覽器在後臺更新和新增功能時出現問題,就可能增大每個瀏覽器的攻擊面。這樣所有組織的安全團隊都不得不在某種程度上依賴瀏覽器的開發者,而在瀏覽器開發者對終端使用者組織的需求還不夠關注的情況下,這種依賴著實令人懊惱。
3. 擴充套件
擴充套件可以增強瀏覽器功能,而又不需要單獨開發一款軟體。但擴充套件可以影響瀏覽器載入的每一個頁面,反過來,每個頁面又會影響擴充套件。
每個擴充套件都可能成為攻擊者的目標,因而它們會增大瀏覽器的攻擊面。有時候,常見的XSS隱患也會通過擴充套件進入瀏覽器。關於擴充套件及其隱患,將在第7章討論。
4. 外掛
一般來說,外掛就是能夠獨立於瀏覽器執行的軟體。與擴充套件不同,瀏覽器只會在Web應用通過物件標籤或Content-type首部包含它們的情況下,才會執行外掛。
有些網際網路功能離不開合適的外掛,這也是瀏覽器支援增強外掛功能的原因。比如,瀏覽器在訪問Juniper等VPN閘道器時,就要使用Java小程式。
很多公司的業務都依賴於一批主流的瀏覽器外掛,而有些外掛以往就暴露出了一些隱患。在這種情況下,防禦者要麼選擇使用包含隱患的外掛,要麼選擇停辦一些公司業務。
大部分外掛都沒有集中更新的機制。這意味著在某些情況下必須手工確保它們的使用安全,從而給防禦帶來了不可避免的負擔和複雜性。
很多安全媒體都對外掛給予負面的評價。由於一些固有的隱患,安全專家甚至建議組織清除所有這些外掛。作業系統廠商也在採取措施,通過自己的自動更新機制禁用不安全的外掛,禁用時間為不確定,或者至安全警報解除為止。
外掛會大幅度增加攻擊面。它們既能增強瀏覽器功能,又為黑客提供了攻擊目標。第8章將深入探討外掛。
這個特殊的沙箱是瀏覽器安全的重要保障機制。考慮到在網路活動中的首要地位,瀏覽器實際上是連線網際網路上不同資源區域的事實標準,因此也應該承擔著維護和平的使命。為滿足每個區域的需求,准許訪問不同來源的自治功能相應氾濫。如果這些功能違背SOP,那麼本來合法的功能就可能成為敵人,因為它們會穿越安全區。
移動網站會遭遇哪些安全風險
首先,從作業系統來看,這是移動網站天然不可避開的環境,因為目前以智慧手機為代表的移動裝置都是依靠Google公司開發的Android與蘋果公司開發的iOS兩大作業系統來驅動和主宰的。
然而,這兩大主流作業系統卻沒有大家想象中的那樣安全。Android因其開源的特性,被視為存在最大安全風險的系統,也被看作惡意軟體最主要的集中平臺。同樣,蘋果iOS系統本身也存在諸多漏洞,iCloud隱私洩露事件頻出,包括之前有來自美國印第安納大學、佐治亞理工學院和中國北京大學的六名研究人員稱,他們在蘋果iOS、Mac OS X作業系統裡發現了一系列安全漏洞,這些漏洞可以導致使用者的密碼被竊取。
不管是手機上自帶的瀏覽器還是軟體商店下載的瀏覽器也大都是基於以上兩種作業系統來使用的,而這些瀏覽器是訪問移動網站的唯一通道和入口,因此,移動網站多多少少都會受到作業系統安全性的影響。
此外,不少移動網站或手機APP很容易被植入惡意外掛,使用者一旦下載並安裝,這些軟體就會強制聯網,並且私自下載未知軟體,竊取使用者通訊錄、簡訊、照片等隱私資訊,還可能使用基於位置的服務推送特定的廣告,造成使用者流量的快速消耗。
在行動網路層,移動網站也有可能陷入公共或免費WiFi的潛伏的安全陷阱。如今很多智慧手機使用者都有這樣的習慣:到一個地方先搜WIFI,所有這些WIFI熱點並不完全是有安全保障的,有的WiFi熱點是需要輸入手機號碼來獲得手機驗證碼才能使用無線網路,曾經就有報道有使用者連線到黑客偽造的WIFI熱點,在輸入手機號驗證的過程中,手機上的資料資訊輕而易舉就被黑客竊取到了。
移動網站可能遭遇的安全風險還有一個很大且不容忽視的威脅,就是手機病毒。現在,智慧手機因為覆蓋使用者廣泛、承擔的功能作用越來越多,逐漸成為各種病毒滋生擴散的溫床。現在的手機病毒也已經不單單是應用內彈廣告或者從後臺上傳使用者隱私資訊等,有的通過二維碼掃描被惡意安裝軟體或植入程式碼,有的甚至跳到了使用者的鎖屏介面,更直接地勒索使用者資費。據有關統計,現在,手機上誘騙欺詐類病毒居首位,且以扣取使用者費用為主,通過消耗手機流量對使用者造成一定的經濟損失。
如何安裝chrome快速安全通道外掛
下載時空隧道外掛開啟【擴充套件程式】在谷歌瀏覽器的右上角,選單中找到【更多工具】開啟【擴充套件程式】頁面拖放安裝把下載的擴充套件包(FastStunnel.crx) 拖拽到【擴充套件程式】頁(只能是這個頁面)
