论坛: 菜鸟乐园 标题: 教你自已动手亲自打造超强的IE浏览器 复制本贴地址    
作者: yjjyang [yjjyang]    论坛用户   登录
首先当然是修补漏洞。这两天针对IE不利的消息可真不少,一个ADODB.Stream就够乱的,还加上几个沉睡6年的漏洞被披露,好在微软很聪明,ADODB.Stream的补丁已经推出了,估计剩下的也很快也会被补上,不过有一点我们可以肯定,那就是微软的网站要常去。





  其次是IE中internet高级选项的配置,这部分一般不需要做什么特别大的修改。

只有几点需要提示:


  若在安装VB后总是出现纠正页面错误提示,请在internet选项--高级中选中“禁止脚本调试”并去掉选择“显示每个脚本错误的通知”

  若您为windows2003 server的用户,请在internet选项―高级中的“播放网页中的动画”以正常显示GIF文件。

  接下来就该轮到IE设置中的重头戏:安全设置了。在开始之前,我们需要简单了解几种控件和脚本,以便于更好的理解安全配置中的含义。

  ActiveX:ActiveX组件实际上是指一些可执行的代码或一个程序,比如一个.EXE、.DLL或.OCX文件,通过ActiveX技术,程序员就能够将这些可复用的软件组装到应用程序或者服务程序中去,嵌入到网页中,随网页传送到客户的浏览器上,并在客户端执行。通过编程,ActiveX控件可以与Web浏览器交互或与客户交互。

  脚本:英文为Script,实际上脚本就是程序,一般都是有应用程序提供的编程语言。应用程序包括浏览器(JavaScript、VBScript)、多媒体创作工具,应用程序的宏和创作系统的批处理语言也可以归入脚本之类。

  为了更直观地让大家看到安全设置在网站中浏览起到的重要作用,我禁用了浏览器的所有功能,然后登录一些非常危险的网站(这些网站中不良信息将不会出现在截图中),通过逐渐打开一些功能使大家清楚地看到几乎所有我们能够遇到的现象和问题。

  现象一:自动弹出其他地址连接。

  我们最为常见的问题,造成这个问题出现的位置在活动脚本

  




  事实上,弹出新的页面只是利用这个功能的一种方式,许多的活动脚本其实都运行在同一浏览页面内,尽管许多网站(甚至windows update界面)都需要多次得活动脚本的支持才能做到完整地打开网页,但由于此项功能结合ActiveX控件漏洞造成绝大多数攻击行为,大家还是应该谨慎的使用此选项。所以,在你对站点有充分的信任之前,请保持你禁止这个功能!

  现象二:询问安装某项软件



 


  现象三:某些程序出现在了进程当中。




  这两个问题一样常见,造成此问题的位置在ActiveX控件和插件设置部分。


 事实上,就算是常常出现的广告都需要ActiveX的支持,这些广告为某一格式(比如flash格式),通过在线打开来正常显示。而像第二幅图中出现的现象是“下载ActiveX控件”和“运行ActiveX控件和插件”这两项功能共同作用的结果。然而我们要清楚的是某些恶意程序或者病毒并没有这么无害,他们一旦得到了执行的权限就会肆无忌惮地破坏你的系统,所以我的建议是:

  对标记为可安全执行脚本的ActiveX 控件执行脚本:禁用

  对没有标记为可安全执行脚本的ActiveX 控件进行初始化执行脚本:禁用

  下载未签名的ActiveX控件:禁用

  下载已签名的ActiveX控件:禁用

  运行ActiveX控件和插件:提示

  这样可以保证一些你想要的插件,例如flash player可以正常的出现在提示中,而前面的几个选项则是恶意程序获得执行权限之前留在你硬盘上的帮凶,不要被“已签名”这种词汇蒙蔽,恶意程序可以轻易地伪装成“已签名”而骗过浏览器,所以除非网站指名需要你开启下载控件,例如银行的在线支付系统的客户端,否则请不要使


地主 发表时间: 04-08-03 06:10

论坛: 菜鸟乐园

20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon

粤ICP备05087286号