精华内容
下载资源
问答
  • 隐私浏览器是什么?浏览器隐私模式是否安全
    千次阅读
    2021-12-10 15:41:55

    随着大家对浏览器指纹了解的越来越多,更多的人开始关注浏览器隐私问题。隐私浏览器开始进入人们的视野。那么隐私浏览器到底是什么浏览器呢?浏览器的隐私模式安全吗?

    什么是隐私浏览器?

    又叫指纹浏览器,主要通过模拟出真实电脑的浏览器指纹,来阻住第三方获取到浏览器的指纹。

    指纹浏览器先被广泛应用了跨境电商/独立站/自媒体领域,可以帮助用户实现多账号同时在线,并且账号之间 互不关联。

    浏览器隐私模式是否安全?

    浏览器隐私模式,又称为无痕模式。隐私模式开启时,浏览器不会记录用户的搜索记录或访问的网站,但是cookies等数据依旧会被保存下来。隐私模式只能保证下一个使用这台电脑的人不能看到上一个人的记录,但是是可以使用技术手段读取出来。

    因此我们说,隐私模式也不是绝对安全的。

    如何保证浏览器隐私安全?

    我们可以选择技术好的指纹浏览器来保证浏览器隐私安全。

    拉力猫指纹浏览器,通过技术手段对用户的数据进行加密处理,保障用户的数据安全。拉力猫指纹浏览器为用户提供安全的隐私保护,通过确保您在线活动的完全保密,从而使你可以保护您的隐私信息不被泄露。

    更多相关内容
  • Brave 安全隐私浏览器

    2021-12-02 08:58:24
    Brave浏览器是一款安全可靠的隐私浏览器,Brave在隐私保护、广告屏蔽、网络安全等方面做得非常到位。

    Brave浏览器

    官网:https://www.brave.com
    https://github.com/brave/brave-browser/wiki

    什么是Brave浏览器

    Brave是基于Chromium的开源Web浏览器,具有更快的页面加载速度,并且默认情况下会阻止广告和跟踪器。整合了一些其它浏览器所没有的功能,其中包括被称为 Basic Attention Token 的数字令牌,用户可通过浏览广告获得令牌,也可以以制定预算按月付费给 Brave,根据浏览频率由 Brave 向内容创作者支付费用。Brave 称该服务为基于区块链的数字广告平台,不会牺牲用户隐私。

    目前,Brave浏览器还是比较小众,但在加密数字货币领域里小有名气。 Brave是跟BAT代币(加密数字货币)紧密相连的,是BAT代币的重要应用体现。Brave浏览器围绕BAT代币(加密数字货币)建立了奖励机制,用户可通过浏览推送广告、成为内容创作者来获取BAT奖励。当用户积累的BAT奖励达到一定程度后,可考虑提现BAT,转到相应的数字货币交易所进行交易。

    最佳在线隐私
    比 Chrome 快 3 倍。能更好地保护您,让您不受 Google 和其他科技巨头的威胁。

    Brave直接拥抱chrome商店,Chrome庞大的生态居然就这样被带过来了,Brave还自带广告屏蔽。超级强力的反 tracking,反 cookie 和反 ads。最大化保护隐私!

    总结: Brave浏览器是一款安全可靠的隐私浏览器,Brave在隐私保护、广告屏蔽、网络安全等方面做得非常到位。

    和其他浏览器对比

    在这里插入图片描述

    参考

    Brave浏览器基础使用教程,同时如何通过Brave获取BAT奖励
    参考URL: https://zhuanlan.zhihu.com/p/142412605

    展开全文
  • BB浏览器安全保密性很高的软件,BB浏览器浏览记录和访问的所有网页页面都会受到保护,在浏览器使用之后BB浏览器就会自动清楚数据个人隐私绝不暴露。BB浏览器软件特色:加密功能
  • endless:专注安全隐私的iOS web浏览器
  • 浏览器 粉色

    2015-09-18 12:32:38
    很小很简洁的浏览,常用的这个很方便,特别适合女孩子使用
  • 除独家采用的“沙箱”技术外,360安全浏览器还集成了恶意代码智能拦截、下载文件即时扫描、恶意网站自动报警,广告窗口智能过滤等强劲功能,是目前市面上最安全浏览器。是用户实现上网浏览功能的好帮手。 360安全...
  • Chrome浏览器隐私安全性测试.docx
  • 360安全浏览器se.exe

    2021-05-27 10:52:30
    360安全浏览器是互联网上安全好用的新一代浏览器,拥有国内领先的恶意网址库,采用云查杀引擎,可自动拦截挂马、欺诈、网银仿冒等恶意网址。独创的“隔离模式”,让用户在访问木马网站时也不会感染。无痕浏览,能够...
  • 隐私安全让傲游浏览器只忠于你自己.docx
  • 枫树浏览器是基于谷歌chrome浏览器的极速双核安全浏览器。具备谷歌浏览器所有特性的同时,枫树浏览器还增加了隐私数据保护、鼠标手势、IE标签、广告过滤、老板键、代理设置、常
  • 更改IE11浏览器安全隐私设置 隐私设置 通过调整Internet Explorer 的隐私设置你可以改变网站对你 的联机活动的监视方式例如你可以决定存储哪些 Cookie ,站点 在什么情况下可以以何种方式使用你的位置信息以及...
  • 使您的浏览更加安全浏览器。 在浏览网页时被跟踪烦恼了吗? 下载并停止所有跟踪活动 贡献: 如果您想帮助这个项目,请查看 从源代码运行: 要从源代码运行,请查看Wiki页面: 从源代码构建: 要从源代码进行...
  • 本文对Android 操作系统中浏览器引擎WebKit 工作原理进行分析,并介绍了WebView 工作流程中存在安全漏洞,会造成用户个人信息丢失的隐患。根据Android 操作系统中浏览器工作原理的分析, 仿真验证了在WebView 中确实...
  • 隐私獾是由电子前哨基金会开发的适用于 Google Chrome 与 Firefox 浏览器隐私保护扩展,其用于阻止那些不遵守 DNT 协议的广告商跟踪行为。 【插件网站】 https://www.eff.org/privacybadger 【插件更新】 ...
  • 占用空间小,还可以模拟,电脑,微信,塞班等UA,查看网站源码,站内搜索等功能,并且浏览器里面隐藏了隐私浏览器,支持修改切换首页,添加高级嗅探功能,修复BUG,更新环境安全检查。 教程:...
  • 浏览器用户争夺战中最近又出现了一个新的红海领域:用户隐私领域,火狐(Firefox)最近将其“增强型跟踪保护”功能作为默认功能,而苹果(Apple)则紧随其后,继续在其Safari浏览器中增加注重隐私的功能。这些公司比以往...

    六款可以在线保护用户隐私的浏览器

    浏览器用户争夺战中最近又出现了一个新的红海领域:用户隐私领域,火狐(Firefox)最近将其“增强型跟踪保护”功能作为默认功能,而苹果(Apple)则紧随其后,继续在其Safari浏览器中增加注重隐私的功能。这些公司比以往任何时候都更清楚,为了真正保护人们,他们需要建立一个新的标准,将用户的隐私放在首位。PHP大马

    背景知介绍

    今年,Firefox在推出了一项“增强型跟踪保护”功能,该功能将阻止由Disconnect(一种开源反跟踪工具)编译的一千多个第三方跟踪器列表。 首次下载它的浏览器的新用户将默认启用跟踪保护。 当前用户可以手动选择该功能,也可以等待Firefox在未来几个月内更新。当前的Firefox用户可能只需手动启用增强的跟踪功能,只需单击Firefox浏览器的菜单图标,然后选择“内容阻止”。 转到用户的隐私首选项并选择“自定义”设备。 最后,选择“Cookies”下的“第三方跟踪器”。

    六款可以在线保护用户隐私的浏览器

    而5 月下旬,苹果宣布在其浏览器 Safari 上推出一项名为“隐私保护广告点击归因”(Privacy Preserving Ad Click Attribution)的新功能,让商家能够跟踪广告的点击和转化情况,同时保护用户隐私。

    也许用户也有过这样的经历:在某电商网站搜索过的商品,然而用户浏览其他网站时,网页上的广告也在向用户推荐同样的商品。

    事实上,这并不是手机、电脑从麦克风窃听用户和朋友讨论购买某商品的对话,而是与网站内的广告跟踪器有关。

    搜索引擎公司的一大收入来源是广告收入。针对什么样的用户,投放什么样的广告,被用户点击的机率更大,这是搜索引擎公司一个很重要的工作,不管是Google,还是百度等其他搜索引擎。那么,这些公司在广告投放前,便会根据该用户之前搜索过的信息,来判断该用户的兴趣喜好等。也就是说,我们的每一次检索内容都会被搜索引擎“悄悄地”记录下来,然后对这些记录进行分析,然后再投放具有针对性的广告,增加广告的被点击率,从而为搜索引擎公司带来巨额收入。

    比如我们在 A 网站搜索“某款包包”,此时搜索引擎就会知道用户的搜索行为,进而给用户弹出对应的商品和广告,这个过程被称为“广告归因”。随着用户在浏览器中留下越来越多的痕迹,各类网站和平台开始拥有越来越多用户的购买习惯以及其他隐私信息,可能它们变得比用户自己更了解自身的购买需求。

    这种由浏览器造成的信息泄漏,已经严重的影响了用户体验。

    都有哪些可以保护用户隐私的浏览器? 

    如果用户不想被在线跟踪,在选择默认浏览器时,用户将有几个选项可以选择。而这些浏览器则将用户隐私放在优先级位置。

    DuckDuckGo (Android, iOS,浏览器扩展)

    六款可以在线保护用户隐私的浏览器

    可以叫板Google的一个搜索引擎 —— DuckDuckGo,DuckDuckGo是一个互联网搜寻引擎,其总部位于美国宾州Valley Forge市。DuckDuckGo强调在传统搜寻引擎的基础上引入各大Web 2.0网站 的内容。其办站哲学主张维护使用者的隐私权,并承诺不监控、不记录使用者的搜寻内容。2015年,DuckDuckGo被用户进行了多达30亿次的搜索,虽然这仅仅相当于Google的日搜索量,但是这家公司2011年才仅有3名员工。奇热影视

    DuckDuckGo之所以能在强手如林的搜索引擎市场下,赢得一席之地,必然是有它的独到之处。那就是找准了自己的定位——让用户做私人的、匿名的网络搜索。因为很多用户非常反感Google对他们的搜索信息进行收集和分析。这就是差异化竞争。

    目前,DuckDuckGo已经为Android和iOS开发自己的移动浏览器,它不仅能让用户在网上冲浪时得到更好的保护,还能给用户提供关于被屏蔽内容的详细列表,让用户对屏蔽的内容有所了解。

    DuckDuckGo首先执行加密的HTTPS连接,当网站强制执行数据挖掘时,然后根据它们试图挖掘数据的程度,对每个页面的隐私性打分。

    为了让用户在网上更加匿名,DuckDuckGo会阻止跟踪能够识别用户和用户的设备的cookie,甚至扫描和排列网站的隐私政策。用户可以在每个会话结束时自动删除标签和数据,也可以通过手动删除一次性删除所有的数据痕迹。用户甚至可以设置一个计时器,在一段时间不活动后自动删除用户的历史记录。

    这与Chrome和Firefox的浏览器扩展功能非常类似,因此用户不必放弃自己喜欢的桌面浏览器来使用DuckDuckGo严格的隐私控制。同样,该扩展功能会根据其隐私功能对网站进行排名,并阻止尝试在线跟踪用户的活动。

    DuckDuckGo应用程序和浏览器扩展真正吸引人的地方在于它们使用起来非常简单,除了安装它们需要花费点时间之外,用户实际上不需要做任何事情,所以DuckDuckGo是一个很好的选择,可以以最小的努力获得最大的保护。

    Ghostery (Android, iOS,浏览器扩展)

    六款可以在线保护用户隐私的浏览器

    与DuckDuckGo的移动应用程序一样,Ghostery浏览器会准确地告诉用户它阻止了哪些跟踪器,以及每个网站安装了多少个监控工具,如果用户发现某些网站表现良好,用户可以通过点击将其标记为可信任。或者,如果用户发现一个包含大量跟踪技术的网站,用户可以阻止其上的每一个cookie技术(用于评论系统,媒体播放器等),即使该网站可能因此而崩溃。

    我们可以通过这个Ghostery插件来禁止不想要的跟踪器,以防隐私泄露。比如简书这个网站就查出了4个跟踪器,不过这些都是无害的,不禁止也无妨。所以从一定的程度上来讲,这也是一款广告拦截插件。它可以帮助用户拦截网页上面的广告,不让广告企业跟踪到用户的数据、投放广告。Ghostery 可以帮助你提高浏览速度并增强隐私与保护,该程序可以检测你访问的网站上所使用的追踪器并进行拦截来提高网页加载速度。当然拦截掉追踪器也能够保护您的信息与隐私,从而提供更干净、更快捷、更安全的浏览体验。尽可能的降低追踪器对系统的拖累,从而提高网页加载速度;消除广告和其他无关的内容,让你立刻获取网页上的重要内容;及时了解网络动态,操控数据以及提高你的上网体验。

    另外,Ghostery还开发了一个可以与几乎所有桌面浏览器配合使用的扩展程序。同样,用户可以查看用户访问的每个网站上的跟踪器,然后对它们采取适当的操作或让Ghostery中的人工智能决定需要屏蔽哪些内容?

    Ghostery这个工具比DuckDuckGo提供了更深入、更先进的隐私服务,所以如果用户想对哪些跟踪器在哪些网站上被屏蔽的过程进行额外的控制管理,可以考虑使用它。

    Tor浏览器(Android, Windows, macOS)

    六款可以在线保护用户隐私的浏览器

    Tor浏览器已经被大众所熟知而来,Tor浏览器代表“不受跟踪、监视或审查”的浏览,如果用户实现终极的匿名、无跟踪浏览,那么Tor浏览器值得一试。不过在iOS系统上,Tor浏览器还无法使用。

    Android,Windows和macOS的浏览器应用程序实际上是一个更大的项目的一部分,目的是保持互联网匿名浏览。Tor项目将用户的web导航路由到一个由其社区管理的复杂加密的中继网络,这使得任何人都很难知道用户要访问的web。

    除了这个额外的匿名层,Tor浏览器对后台脚本和跟踪技术网站的运行都进行了非常严格的管理。它还阻止了指纹识别,这是一种广告商试图在多个网站上识别用户的设备的独特特征的方法,即使他们不能确切地说出用户是谁。

    在每次浏览会话结束时,所有内容都会被删除,包括网站留下的cookie和Tor浏览器应用程序本身的浏览历史记录。换句话说,隐私浏览模式就是默认模式。

    由于额外的加密和复杂的匿名措施,Tor浏览器比其他浏览器运行得稍微慢一些,但就匿名信而言,它是最好的,它甚至可以帮助用户在互联网被封锁或审查的国家上网。

    Brave (Android, iOS, Windows, macOS)

    六款可以在线保护用户隐私的浏览器

    Brave 是一款主打安全、快速、保护隐私的跨平台浏览器,支持 Windows、macOS、Linux、Android 以及 iOS,主要功能为屏蔽广告、跟踪、浏览加速,以及一套代币系统用来奖励内容创作者。Brave 浏览器的一个卖点是内置了广告过滤器,卓版也可以屏蔽广告,比 Chrome 要强。另外就是注重安全隐私,集成了很多这方面的功能如防止fingerprinting,HTTPS Everywhere等,默认阻止广告和广告追踪软件。

    Brave的创始人是传奇人物Brendan Eich,他是Mozilla的联合创始人和Java的发明者。作为Java创始人的项目,先天就拥有了JS全栈的优势,纯正的血统能为用户提供极佳的浏览体验。另外,Brave深度尊重用户的数据隐私保护,其内置的广告拦截插件更能让用户免于广告骚扰,并使他们重获对于隐私数据的控制权。现如今,市场上大多数浏览器的广告拦截插件都需要获取用户的大量数据,隐私甚至是账户操作权限,这很大程度上侵犯危害了用户的隐私。也正是由于Brave剥离了广告的许多跟踪功能,极大地加快了页面加载时间,这才是Brave极速的真正原因,也是Brave改变行业,提升用户体验的一个重要方面。

    但与DuckDuckGo和Ghostery不同的是,用户无法详细了解已被阻止的内容的详细情况。

    Brave还试图阻止网络上的钓鱼攻击,并会在适当的位置强制进行HTTPS加密。Brave是一个试图为用户提供全面服务的项目,在安全性和强大功能之间取得了良好的平衡。

    Firefox (Android, iOS, Windows, macOS)

    正如我们在文章一开始提到的那样,Firefox现在默认情况下会阻止第三方cookie,这些是广告商留下的代码,它们试图将用户在多个网站上所留下的痕迹拼凑在一起,从而更详细地进行用户画像。

    它还为用户提供了大量有关用户访问的每个网站的信息,这些信息涉及网页试图离开的跟踪器和Cookie,以及Firefox已阻止的信息。用户也可以轻松管理访问用户的位置和麦克风的权限。

    所有这些都是在台式机上实现的,至于移动应用程序还正在开发中,但是无论用户在哪个平台上安装Firefox,用户都可以使用大量以隐私为中心的功能。在移动端,用户可以再次控制跟踪器和cookie阻止,并在每次关闭应用程序时删除存储的数据。

    要想启动更严格的跟踪保护和广告拦截功能,可以关注Android和iOS版的Firefox。这是一个精简版的主浏览器,没有完整版Firefox的所有花哨功能,但如果速度和隐私是用户的首要任务,那么绝对值得一试。

    桌面和移动版Firefox的主要应用程序在平衡隐私和便利性方面达到了最佳状态,对于那些希望更多地控制数据收集方式的人来说,所有常见的浏览器功能(比如扩展和密码同步)都会保留在其中。

    macOS Safari (iOS)

    苹果公司继续在iOS和macOS上的Safari中添加反跟踪技术,不过如果用户使用的是Windows或安卓系统,则可以不用考虑这个建议了。

    Safari已经向第三方跟踪cookie宣战,这些cookie试图在多个网站上连接用户的网络活动中的点,并且还阻止设备指纹识别技术,这些技术可以通过手机或笔记本电脑的配置方式识别用户。

    随着iOS 13和macOS Catalina在今年秋季的发布,这些保护措施将进一步加强。当用户尝试在一个新网站或服务上使用一个太弱的密码时,浏览器甚至会警告用户。

    Safari的这些隐私功能也践行了苹果的隐私保护承诺,即尽可能少地收集有关用户的信息,并将大部分信息锁定在用户的设备上,而不是苹果的服务器上。

    和苹果的大多数产品一样,如果用户在日常生活中使用了很多苹果的其他产品,Safari是一个不错可能也是一个唯一的选择。

    浏览器的隐私模式真的能完全保护我们的隐私吗?

    当一位用户浏览网页时,浏览器中的浏览记录 、 临时文件与Cookie和表单填写的内容 ,而 IP 地址和用户填写的注册信息会被保存在浏览网站的远程服务器中 。

    所以以上所讲的浏览器的隐私模式作为一种附加运行在本地浏览器上的一种模式,只会保护你的浏览记录、Cookie 和网站数据、表单中填写的信息。

    这3个都是用户浏览网页过程中存储在本地的数据,而隐私模式则可以删除这3类数据。

    不过,浏览器的隐私模式还是能够泄漏你的网络活动(比如你访问的网站、你的互联网提供商)。

    总结

    所以隐私模式也并不是一无是处,通过隐私模式可抑制广告的存在,因为Cookie和临时文件都将在关闭整个浏览界面的时候被删除。另外,就是在多人共用电脑的时候保护自己的浏览记录不被他人看到,以及保护自己的账户不被恶意登录。

    展开全文
  • 【360安全浏览器概括介绍】 360安全浏览器(360Safety Browser)是360安全中心推出的一款基于IE内核的浏览器,是世界之窗开发者凤凰工作室和360安全中心合作的产品。 【360安全浏览器基本介绍】 360安全浏览器是...
  • 浏览器安全概述

    千次阅读 2021-12-31 10:16:41
    研究浏览器安全的目的是怎样让浏览器安全 概述 一、攻击面分析 整体上分为三个大部分主体,一个是浏览器,一个是用户本机,一个是web服务器。 浏览器是中间者,作为用户与web服务器的通信媒介。 1、信息流中的...

    转载请引用from 信安科研人

    目的

    研究浏览器安全的目的是怎样让浏览器更安全

    概述

    一、攻击面分析

    在这里插入图片描述
    整体上分为三个大部分主体,一个是浏览器,一个是用户本机,一个是web服务器。
    浏览器是中间者,作为用户与web服务器的通信媒介。

    1、信息流中的威胁

    信息流大体上可以分为四个过程,用户与浏览器有两个,浏览器与web服务器有两个。
    浏览器与用户本机之间:

    • 不受限制的访问

    浏览器与web服务器之间:

    • cookie等隐私信息泄露
    • 不安全的代码运行

    2、浏览器本体的结构威胁

    1. 直接访问系统资源
    2. 事件驱动的DOM操作
    3. JS解释器缺陷
    4. 各种多媒体资源解析缺陷
    5. 数据不安全存储
    6. 第三方扩展和插件
    7. XML解析器缺陷

    二、安全机制

    1、沙箱

    • 沙箱是一种隔离对象/线程/进程的机制,控制对系统各种资源的访问。
    • 需要对文件/目录、注册表、网络访问、资源监控、线程/进程、句柄、剪切板、桌面、系统参数、系统消息、系统钩子、命名管道等进行访问控制。

    2、ASLR

    地址随机化,即同一代码在不同次加载时具有不同的加载地址。

    3、DEP

    DEP(Data Execution Prevention)数据执行保护,以内存页为单位,对于数据区的内存页不设置可执行标志,阻止数据作为代码执行

    4、GS

    GS(Stack Cookies)栈完整性保护,保证被调函数返回正确的调用函数

    5、插件安全

    对插件或扩展的安全控制机制,如沙箱、安装警告、访问控制等。

    6、JIT保护

    由于JIT引擎动态代码生成的特征,DEP和ASLR机制不再适用。JIT引擎应具有的安全机制包括:

    • 在同一进程内生成代码
    • 具有地址空间变化能力
    • 有效区分代码和数据

    7、URL黑名单

    恶意URL放入黑名单以阻止访问从而维护本机和浏览器安全。

    三、安全机制绕过

    ROP代码重用攻击绕过DEP,任意地址读写绕过ASLR。

    浏览器设计的安全

    一、同源策略

    本质:web页面A中的脚本被允许访问web页面B中的数据,当且仅当web页面A与web页面B同源。
    “源”:URL机制、主机名、端口三要素共同决定。
    应用:源A的cookie对于源B不可见;源A的脚本不可以读取或者设置源B的属性

    二、插件与扩展

    本质:为浏览器提供额外的功能。
    风险

    1. 插件代码本身就是恶意的——在插件或扩展提供前进行代码审计
    2. 为浏览器引入新的脆弱性——用沙箱是个可能的方法
    3. 降低浏览器安全机制的防护能力——比如减弱DEP或者ASLR
    4. 插件可能被静默激活或与用户交互——必须考虑插件和扩展到管理

    浏览器实现的安全

    一、渲染引擎安全

    渲染引擎内存操作导致的安全问题,如溢出漏洞、指针重用漏洞等。
    详例请见
    CVE-2012-1876、CVE-2014-1772
    简述
    内存操作安全一直是软件安全关注的焦点,浏览器中的内存操作繁杂多样,内存操作类漏洞是浏览器漏洞的最重要组成,由于实现错误不可避免,所以安全机制侧重利用缓解。

    二、JS引擎安全

    JS引擎机制——V8 JIT(JUST IN TIME):
    在这里插入图片描述
    JIT技术
    在这里插入图片描述
    漏洞类型
    JIT热函数翻译模块:整型溢出
    JIT优化模块:整型溢出,边界错误等

    实例
    CVE-2021-21220
    热函数翻译模块漏洞:

    • 该漏洞位于JS编译器 Turbofan 当中的 Instruction Selector 阶段
    • 在处理 ChangeInt32ToInt64 的指令选择时,对于本应该有符号扩展却错误使用无符号扩展,导致了整数溢出

    安全加固

    1. 代码基址对齐随机化——在生成代码的开始插入任意个NOP或者INT 3指令,防止特定指
      令的地址被预测
    2. 指令对齐随机化——在不同基本块之间插入任意个NOP指令,防止指令被预测
    3. 常量盲化——用户可控的数值在编译时与一个随机值“XOR”进行混淆,在运行时生成两条指令完成解混淆
    4. 常量折叠——在指令操作数的数值只能为偶数(比如用<<1转化)
    5. 内存页保护——如果生成的代码不需要修改,可以将内存设置为“可执行”
    6. 附加随机化——在ASLR的基础上,对可执行内存的分配地址进行随机化指定
    7. 保护页——在可执行内存前分配保护页,防止跨页内存破坏

    浏览器运行的安全

    一、运行架构安全

    架构安全的基础是沙箱,沙箱的架构,以chrome为例,如下:
    在这里插入图片描述
    Broker进程就是浏览器进程

    • 为每个target进程指明策略
    • 创建新的target进程
    • 提供沙箱策略引擎服务与沙箱拦截管理服务
    • 向target进程提供沙箱IPC服务
    • 代表target进程实施策略允许动作

    Target进程通常是渲染进程

    • 所有需要被保护的代码
    • 沙箱IPC客户端
    • 沙箱策略引擎客户端
    • 沙箱拦截

    因此,针对沙箱的安全性,有以下的

    攻击方式:

    在这里插入图片描述
    详例见CVE-2014-1705和CVE-2020-0986

    二、系统架构安全

    渲染时需要用到GPU加速,一个浏览器实例使用单个GPU进程渲染多个renderer进程:
    在这里插入图片描述
    左边时render进程,中间SHM共享内存,交由GPU进程内的模块分配GPU资源。

    1、侧信道攻击

    GPU侧信道攻击
    前提:一个GPU进程内所有上下文共享一个GPU地址空间(共享内存、GPU显存)。
    攻击方式:很久很久以前,网页的WebGL代码可直接越界访问、分配GPU内存读取其他页面释放后未清0的数据,从而窃取其他页面信息。

    GPU内存侧信道攻击
    OpenGL / cuda提供接口可以获取实时GPU显存剩余量,从而获取浏览器的显存分配事件,可以根据内存分配事件trace,推断:

    • 用户正在输入账号还是密码(渲染不同文本框)
    • 敲击键盘的时间间隔(渲染字符)
    • etc.

    2、处理器侧信道

    (1)利用cache
    Prime阶段:攻击者通过大量访存操作,使用特定数据集完成Cache填充
    Trigger阶段:目标程序进行访存操作,将目标数据填充进Cache
    Probe阶段:攻击者访问用于填充Cache的特定数据集,根据时间差异确定目标数
    据。

    在这里插入图片描述
    初始状态为空,prime阶段按照自定义的数据集填入cache,接着目标程序访问内存将对应的数据填入cache,最后攻击者访问用于填充Cache的特定数据集,根据时间差异确定目标数
    据。

    (2)spectre攻击
    Spectre攻击利用了cpu的预测执行导致了提前把私有数据放到了cpu缓存中,但是因
    为保护机制并没有写入数据的能力,同时我们并没有直接读取cpu缓存中数据的权
    限,不过可以通过计算访问数组的时间上做判断获取到下标中的之前放入的私有数
    据。

    (3)Meltdown攻击
    破坏了位于用户和操作系统之间的基本隔离,此攻击允许程序访问内存,因此其他
    程序以及操作系统的敏感信息会被窃取。这个漏洞“熔化”了由硬件来实现的安全
    边界。允许低权限用户级别的应用程序“越界”访问系统级的内存,从而造成数据
    泄露。

    参考文献

    《软件安全原理》—— 霍玮

    展开全文
  • 浏览器是重要的互联网入口,一旦受到漏洞攻击,将直接影响到用户的信息安全。作为攻击者有哪些攻击思路,作为用户有哪些应对手段?在本书中我们将给出解答,带你了解浏览器安全的方方面面。本书兼顾攻击者、研究者和...
  • 洋葱浏览器安装包,需要自行下载
  • 360极速浏览器下载

    2021-05-19 00:55:51
    360极速浏览器是基于谷歌开源Chromium开发的浏览器,和国内众多的双核浏览器一样,360极速浏览器针对中国用户的使用习惯做了非常多的功能优化,例如鼠标手势,超级拖拽等。360极速浏览器,1分钟了解相关APP小编寄语...
  • 2013年爆发了“棱镜门”事件想必大家都记忆尤新,因此今天来特地聊一下 浏览器隐私防范。 1.如何选择浏览器? 当今浏览器市场,名气大且使用广泛的国外浏览器,主要有:Firefox、Chrome、Edge、IE、Chromium等。...
  • 国产安全浏览器技术研究 隐私保护
  • ET浏览器是一个体积小巧的浏览器。现在为测试版,软件本身不访问网络,保证用户隐私安全,有多标签功能。
  • 猎豹浏览器下载

    2012-05-18 16:34:49
    互联网上危机四伏,病毒木马横行,访问网页、下载文件、网络购物,都随时都可能中招,轻则造成电脑响应缓慢,重则文件丢失、隐私泄露,更甚者还会造成个人财产的损失。在这种情况下,传统安全浏览器所能做的非常有限...
  • Comodo Dragon基于chrom的一款加强个人隐私安全浏览器。可以轻松识别SSL安全认证,隐藏cookie,维护个人隐私,还带了网页翻译功能。
  • 当我们在浏览某些http站点时会发现浏览器提示“不安全”的警告,而我们的第一反应可能就是这个网站不安全,立马关掉,不会再进行下一步的操作了。长此以往,会让一些企业损失掉不少潜在的客户,负面影响还是挺大的。...
  • 浏览器安全配置

    2019-12-24 14:37:25
    实验一 浏览器安全配置 1.1 IE浏览器安全设置 一、项目编号:1 二、实验课时:2 学时 ...4.掌握 IE 浏览器补丁的下载和执行方法。 四、实验内容 1.对 IE 浏览器进行安全设置,提高安全级别。 2.对被...
  • 360安全浏览器

    2018-06-20 18:09:22
    360浏览器官方版是中国使用人数最多的浏览器,也是最注重安全浏览器。360浏览器官方版的无痕浏览功能可以让用户在浏览网页时不留下访问痕迹,这样别人就不能在你走后窥探隐私,隔离模式会在360浏览器中建立沙盒,...
  • 一个永远安全和保护个人隐私的网页浏览器,从内到外都致力于护卫用户的隐私权利。 警告:目前Krypton匿名浏览器仍然处于Beta阶段,有时会出现故障。 ● 永远隐私:Krypton匿名浏览器将不会尝试了解任何关于你的事情...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 42,622
精华内容 17,048
关键字:

安全隐私浏览器下载安装