网站原创作为一种得到广泛应用的编程语言,针对Ja平台的攻击呈现出逐渐抬头的迹象.很多安全研究人员就此提出了自己的方法,以便用户保护自己的计算机,以防范针对Ja平台的攻击.安全研究人员希望在甲骨文没有提供补丁的前提下,用户们能够通过这些方法降低系统遭到攻击的风险.
| 有关论文范文主题研究: | 关于计算机的论文范本 | 大学生适用: | 专科论文、学年论文 |
|---|---|---|---|
| 相关参考文献下载数量: | 33 | 写作解决问题: | 如何写 |
| 毕业论文开题报告: | 标准论文格式、论文选题 | 职称论文适用: | 期刊目录、职称评副高 |
| 所属大学生专业类别: | 如何写 | 论文题目推荐度: | 最新题目 |
因噎废食不可取
未经授权执行应用是目前Ja平台上最常出现的漏洞类型.今年9月底,安全专家AdamGowdiak发现了存在于Ja5、Ja6以及Ja7平台上的一个漏洞.他表示,通过此漏洞,可在超过10亿台装有Ja的Mac和PC机上安装恶意软件与病毒.而在此前的8月底,安全公司FireEye的研究人员也曾宣布发现了Ja平台的安全漏洞.由于这一漏洞,用户只要通过启用了Ja插件的Web浏览器访问网页,就会被悄悄地执行内嵌在其中的恶意代码.
甲骨文10月中旬发布的Ja7Update9和Ja6Update37升级补丁声称修复了一些漏洞,但是,未来是不是还会有新的漏洞被?一旦出现新的漏洞,而又暂时没有补丁程序去修补,用户应该怎么办?
为了保护系统、避免针对安全漏洞的攻击,在大多数情况下,安全专业人员都会建议用户卸载Ja,或者至少禁用浏览器中的JaWeb插件.
美国计算机紧急响应小组(US-CERT)曾经发布了一份公告,详细介绍了如何禁用安装在几款最流行的浏览器中Ja插件的具体方法.
这对于缓解Ja新安全漏洞风险无疑是最有效的方法了.不过这种做法颇有些因噎废食的感觉.对于那些依赖Ja平台Web应用程序的企业而言,不可能因为一些安全漏洞就停掉手上运营着的重要业务.
反病毒软件厂商Sophos高级安全顾问ChesterWisniewski认为:“大多数消费者也许根本就不需要Ja平台.但是许多企业用户的某些应用确实需要用到Ja,比如GoToMeeting和WebEx.”
分权限访问很关键
安全厂商Qualys的首席技术官WolfgangKandek提出了另一个解决方案,该方法的主旨是利用IE浏览器中基于区域(Zone)的安全机制,以限制网站载入Ja应用的权限.
Kandek近日在博文中表示,用户们可以首先在互联网(InterZone)中禁止使用Ja(修改注册表,将HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InterSettings\Zones\3的键值1C00设成0),然后允许Ja只在信任区域(TrustedZone)中加入白名单的网站上才能运行.
与此同时,谷歌Chrome和Mozilla火狐(Firefox)的用户启用点击播放(clicktoplay)功能后,也能得到类似的效果.点击播放功能默认会阻止基于插件的内容载入,并要求用户确认.这项功能同时还设立了白名单功能.
Chrome一直以来就支持点击播放功能,我们可以从高级设置界面来启用.不过在火狐中,这项功能仍在不断改进之中,只有在“about:config”界面中将“plugins.click_to_playflag(火狐14及更高版本才有该设置)”切换成“true”,才能激活该功能.
反病毒软件厂商ESET的安全宣传官StephenCobb认为:“最合适的安全策略是因人而宜的.这既要看对Ja平台的应用程度,还要看企业现有的安全状况.单独将某一种策略普适于所有人显得有些不切实际.”