人们总是说 Linux 比 Windows 更安全。主要原因似乎是一般的系统设计理念以及用户是用户而不是 root 的事实。
使用 Windows 和 Internet Explorer 时的一个主要安全问题似乎是 ActiveX。每隔几天我就会读到另一种使用 ActiveX 的漏洞利用,几乎总是解决方法是停用 ActiveX。我经常读到这本书,我想知道为什么人们还要费心去激活 ActiveX。(一个原因可能是名称包含“活动”;另一个可能是 Windows 更新功能。)
使用 Ubuntu 和 Firefox,阅读有关 ActiveX 漏洞的信息时,我总是感到非常安全。我知道还有许多其他使用 JavaScript 和/或 Adobe Flash 的安全漏洞,但据我了解,这些安全漏洞只能在我的用户权限允许的范围内造成尽可能多的损害。当然,当恶意软件想要破坏我的所有数据时,这并没有多大帮助——但今天大多数恶意软件只想将我的 PC 用作僵尸网络无人机,因此对破坏我的数据不感兴趣。
那么问题又来了:在 Ubuntu 下运行的 Firefox 在安全漏洞方面是否有类似于 ActiveX 的东西?
另一个可能相同的问题:涉及 Adobe Flash 和/或 JavaScript 的安全漏洞是否可以“轻松”被利用来造成与 ActiveX 漏洞一样多的破坏?
当我说“简单”时,我的意思是攻击不需要利用系统的另一个组件来提升用户权限。例如,涉及 Adobe Flash 的漏洞利用将使用我的用户权限访问我的 PC,然后继续利用某些已知漏洞X来获得 root 访问权限。这并不“容易”。
“ActiveX”可以分为两部分,对象模型和安装方法。Firefox 两者都有类似的东西——并且跨平台兼容,Ubuntu 或其他。
ActiveX 的对象模型是Microsoft COM;Firefox 的等价物是XPCOM。许多其他与 Web 浏览无关的 Windows 功能和应用程序使用 MS COM,并且传统上存在无穷无尽的问题,即不是为安全 Web 使用而编写的 COM 控件仍然可用于网页。这导致了许多妥协。Firefox 在这里更好,因为 XPCOM 不与系统的其余部分共享。较新版本的 IE 具有更好的控制来减轻允许哪些站点使用哪些控件。
(作为一个附带问题,因为 Firefox 的许多附加组件本身是用 JavaScript 编写的,一种高级脚本语言,它们通常比通常用 C 编写的 IE 扩展更安全地防止缓冲区溢出和字符串处理错误[ ++]。)
ActiveX 的控制下载器部分也被清理了一点,因为过去糟糕的时候,我的电脑区域中的任何东西都可以安装它喜欢的任何软件,并且激进的加载程序脚本可能会让你陷入
alert循环,直到你同意批准 ActiveX迅速的。Firefox 的等价物XPInstall的行为大体相似,除了 Mozilla 的网站之外的所有网站都默认显示“信息栏”,并在安装前提供适当的警告/提示。在 Mozilla 中还有另一种内置方式可以让您妥协:签名脚本。我从未见过实际使用过它,而且在脚本获得额外权限之前肯定会出现另一个警告窗口,但我有点担心这完全可用于网页。
是的,今天的大多数网络攻击都发生在插件中。Adobe Reader、Java(*) 和 QuickTime 是最流行/易受攻击的。IMO:摆脱那些,并使用 FlashBlock 仅在需要时显示 Flash。
(*:和 Java 的对话在它让你放弃对一些不受信任的小程序的所有安全性之前也有点裸露。)
默认情况下,Ubuntu 会为您提供一些有问题的插件,特别是媒体播放器插件,该插件将使您的任何媒体编解码器中的每个漏洞都可以通过网络利用(类似于 Windows 媒体播放器插件,只是可能具有更多格式)。虽然我还没有遇到像这样针对 Linux 的漏洞利用,但这实际上只是通过默默无闻的安全性。
请注意,ActiveX 本身也不例外。基于 ActiveX 的 Web 浏览器妥协仍然只提供用户级访问;只是因为在 Vista 之前,每个人都习惯性地以管理员身份运行所有内容,这才升级为全面生根。
也许,也许不是。但我认为您会发现,即使是普通用户帐户,某些恶意软件也能造成的损害已经够严重了。复制你所有的个人数据,观察你的按键,删除你所有的文件......
这取决于漏洞的性质。有时你是“幸运的”,而漏洞“只是”允许一些有限的披露,但通常这些漏洞允许任意代码执行。到那时,您就陷入了困境,就像 ActiveX 问题一样深。这些漏洞可能存在于图像文件(恶意图像)、声音或几乎任何其他东西的处理中。
ActiveX 更糟糕,因为它为代码编写者提供了一种声明“如果已安装,则从网页中引用它是安全的”的方式,并且许多程序员在不了解其含义的情况下打开了它,因此有很多目标而且很容易出去。但是,如果处理不当,图像文件中的奇怪数字也会让您面临同样多的风险。只是通过更新浏览器修复了图像文件问题。
对此的唯一防御是使用沙盒,它限制了以用户身份运行的进程可以执行的操作。OpenBSD 率先通过各种守护进程的权限分离(最显着的是 OpenSSH,因此您现在在 Ubuntu 上使用它)使这种方法流行起来。Chrome 为网络浏览器推广了这一功能,但仅在某些平台上具有沙盒功能。也许具有讽刺意味的是,有一段时间你在 Windows 上使用 Chrome 可能比在 Linux 上使用任何图形浏览器更安全。幸运的是,这种情况正在改变。我相信现在 Linux 版本中有一些部分保护。
http://www.cl.cam.ac.uk/research/security/capsicum/如果您想探索沙盒的功能系统并了解情况如何变得更好,那么它是很好的选择。
AFAIK ActiveX 漏洞利用也不会在您的用户权利之外造成伤害(如您所指出的,不使用其他漏洞利用)。Windows 上的主要问题是几乎每个人大部分时间都在以管理员身份工作......
我只想提一下,Linux 在理论上不如 Windows 7 安全,后者具有一些很酷的安全功能。
没有 Linux 病毒的原因与几乎没有商业 Linux 游戏的原因是一样的:生产者随大众,大众使用 Windows。
所以最安全的方法是使用替代产品(就像几年前的 Firefox,现在经常使用 Firefox 漏洞利用)。
现在回答您的问题:据我所知,ActiveX-Exploits 与 Firefox 无关。
我觉得使用 Linux 和 Firefox 浏览非常安全,但是使用 Opera 可能更安全,因为 Opera 不太受欢迎。
如果您的 SSH 对 Internet 开放,您应该考虑使用强密码,因为有很多扫描仪试图破解您的 ssh 以在您的 PC 上安装奇怪的东西(在 /etc/ssh/sshd_config 中禁用直接 root 访问)。
我认为大多数其他攻击都是针对某个用户的,因此,如果您没有任何公司机密或一般敌人,您的计算机应该是相当安全的。