人人书

杂志

保存到桌面 | 繁体人人书 | 手机版
传记回忆文学理论侦探推理惊悚悬疑诗歌戏曲杂文随笔小故事书评杂志
人人书 > 杂志 > 安全上网的最新指南

安全上网的最新指南

时间:2024-10-31 09:30:24

互联网这个地方会不会很可怕?有各种各样的威胁,潜伏在每个角落里。更糟糕的是,昨天人们还普遍认为的一些能安全上网的建议现在已经不管用了——不要上不良网站,不要买被盗的或者非法的商品,只和您认识的人打交道。欺骗家庭成员的钓鱼电子邮件、合法应用程序被嵌入了间谍软件、知名网站被恶意代码劫持——数字安全领域显然需要新规则来应对当今不断变化的各种威胁。

想一想我们有多少数字生活都是在网上进行的,举几个例子,通信、金融交易、娱乐、工作、教育,等等,因此,即使很少的一些安全浏览习惯也会让您受益匪浅。这包括我们怎样处理电子邮件消息,而电子邮件是利用攻击工具和恶意软件进行网络攻击最流行的载体。

在这里,我们提供了关于安全上网的策略指南,简要介绍了您应该怎样做才能保护您在网络上的数据和隐私,同时还能保持高效的上网。

了解您所面对的威胁

现在有这么多的威胁向我们逼近,最严格的方法是把所有的东西都锁起来,而难点是怎样做好预防措施,同时还能高效地上网。例如,为避免恶意JavaScript,您只需关闭浏览器首选项中的JavaScript,但几乎有一半的互联网内容将无法使用。如果不启用JavaScript,Gmail还能用吗?这不太好。

我们以各自的方式上网,我们面临的风险也大不相同,这取决于我们在哪里、我们正在做什么、甚至是什么时候上网。安全研究人员的上网安全与我们普通人的完全不同,我们上网一般是收发电子邮件,使用社交网络,或观看网络视频。开发人员也不一样,他们会下载新工具和频繁访问论坛,获取建议。

基本上,您应该定期更新所有应用程序,而不仅仅是操作系统,而是每一个应用程序,特别是您的Web浏览器。您还应该将浏览器首选项切换到“点击播放Flash”——如果您的浏览器没有自动设置好。您还应该停用ActiveX,卸载机器上的Java客户端。除非您使用非常需要Java的客户端应用程序,例如游戏或者某些教育类产品,否则没必要启用Java。即使是主流的视频会议应用也转向了纯HTML5。

你也应该考虑把地点和活动结合起来。例如,在公共无线网络上进行的敏感交易可能会给您带来麻烦。您最喜欢的咖啡店的公共Wi-Fi也不适合访问网上银行。即使您使用的是SSL连接,中间人也可能通过SSL发起攻击。

一旦了解了这些基本常识,您应考虑您最担心的危险是什么,您要保护哪些资产,您经常与谁交流,您的数据存储在哪里,等等。下面,我们将帮助您打破这些顾虑,使您能够在一定程度的威胁下安全的地上网——您上网时可以容忍的威胁等级。

威胁等级1:确定没有恶意软件

大多数人,特别是企业,都会不惜一切代价避免恶意软件。两个最常见的攻击手段是下载恶意软件的链接以及网站挂马攻击,只要加载网页,恶意软件就会自动下载。可以在网页、电子邮件或者即时消息中找到危险的链接。诈骗者经常使用社交网络和URL短地址来传播伪装好的恶意链接,希望有人会点击这些链接。

首要措施:不要点击链接。这需要社会性的培训,但是很难坚持,特别是考虑到我们发送的所有链接既有专业的也有个人的。对于经常和您联系的人,如果他们打算向您发送链接,要求他们给您发送提醒通知——并且只有在得到肯定答复后才能向您发送链接。或者,要求联系人确认他们实际上是通过不同的渠道发送了链接。例如,给您的哥哥发个短信,问问从他帐户发送的链接真的是他发的吗。这样做好像有些过了,但最近的假谷歌文档骗局之所以得手,就是因为人们误认为恶意文件来自他们信任的人。一定要自己输入链接,如果有人向您发送一个链接,看起来像很酷的白皮书,那么直接去文本源头,自己在网站上找白皮书。

专业提示:设置您的浏览器,使其询问把文档保存在哪里,这样您始终知道某些内容被下载到哪里。挂马式攻击依赖于隐身,用户甚至不知道发生了什么。配置您的安全软件,在下载时扫描所有文件。

威胁等级2:我也不喜欢间谍软件

攻击者想方设法地破坏您的浏览器,找到各种信息。在这方面,不一定非要使用浏览器插件。谨慎地使用它们,因为它们可能成为恶意软件的载体。定期检查浏览器的扩展列表(Chrome的是chrome://extensions,Firefox的是about:addons),以查看是否有任何不熟悉或莫名其妙的内容。禁用那些看起来很可疑的东西,您就很少会出错。还要小心尝试欺骗您安装浏览器扩展的网页,例如“点击‘添加’以加速本网站”或者其他欺骗性的提示。

首要措施:要特别小心由个人开发的浏览器插件,因为这些插件可能会访问没有HTTPS的站点。专家也会遇到麻烦:LastPass是使用最广泛的密码管理器的创建者,最近也不得不修复其浏览器扩展中一些严重的漏洞。想一想,使用插件让自己更方便一些,还是风险更大一些,特别是如果您觉得短时间内不会给自己带来太大的好处。

专业提示:一定要考虑来源。如果您需要下载Flash或者AdobeReader,请从Adobe网站上获取。不要从非关联网站上下载这些工具,因为间谍软件、广告软件和其他恶意文件很容易混在下载中。不要搜索“免费PDF转换器”,也不要下载首先出现的内容。(你真的需要一个吗?现在,Chrome能自动将页面转换为PDF,Office也会很好的支持PDF。)像PortableApps和Ninite这样的项目提供了方便的方法,从信任的来源自动获取和更新常见的开源软件和免费的应用程序。

威胁等级3:任何时候都不要被跟踪

以下情况会发生在我们所有人身上:在HomeDepot上浏览查找地砖后,家庭装修广告就会在网上到处乱闪。广告商通过Cookie跟踪您上网,并根据您的活动投放广告。但不仅仅是广告。网站使用Cookie记住您的帐户、密码和浏览记录,并跟踪您在网站上的活动。当您禁用和清除Cookie后,网络犯罪分子就很难获取您的个人数据。

首要措施:上网时使用私人浏览或者无痕模式。在此,当您的会话结束时,Cookie和浏览记录不会被保留。您可以启动无痕模式并粘贴到URL中(您确定不会提供给恶意软件),导航到该页面,确保您没有被跟踪。如果您想在Chrome上始终保持无痕浏览模式,请在Chrome属性中的目标命令的最后添加-incognito,每次启动Chrome时,都将进入无痕模式。您可以通过about:config对Firefox进行同样的配置。

专业提示:如果您想使用脸书、推特或者其他社交帐户,但不希望每次都登录,那么请在Chrome、Firefox或者Safari中建立一个单独的用户配置文件,一个专为某社交网络预留的用户配置文件。在那里登录,而且只在那里登录,在那里使用它,也只有在那里。这将与该登录相关联的数据限制为只有登录所必须的那些数据。有的网站把社交网络作为单点登录提供商,这种方法也能够避免这些网站跟踪您,例如Spotify。

如果您很在意被跟踪,您应该在您使用的每个浏览器上启用“不要跟踪(DoNotTrack)”。DNT并不是强制执行的,它只是告诉网站,不要跟踪您。您的请求是否会被尊重,取决于您访问的网站。很多网站并不严谨,不保证您访问的网站会尊重您的请求,不过,提前明确您的偏好至少也不会有什么坏处。

威胁等级4:别动我的信息

Cookie之所以是网络犯罪分子的主要目标,是因为它们包含的信息,特别是电子邮件、帐户名称和密码信息。即使是被隐藏起来,这些信息也可能会被恶意使用。跨网站脚本攻击使用网页上的JavaScript,从Cookie中提取用户详细信息和会话信息,利用这些信息在网上模仿您,跨网站请求伪造攻击使用会话Cookie来伪造其他网站的请求。

首要措施:尽可能阻止Cookies。尽管阻止第一方和第三方Cookie,以及禁用会话Cookie也是不错的措施,但会使电子邮件和社交网络等基本的网络浏览几乎无法使用。您应该至少阻止第三方Cookie,您应考虑定期删除浏览器历史记录。

另外,不要让浏览器存储密码。这虽然很方便,但是很难保证存储密码的安全性。使用单独的密码管理器,例如,1Password或者KeePass。

专业提示:对于搜索,请使用DuckDuckGo等安全搜索引擎,它不会自动存储计算机传输的信息,例如您的IP地址和其他数字身份信息。DuckDuckGo不能根据以前的搜索或者位置自动完成搜索查询,但考虑到它也无法链接到您的搜索记录,因此这也是值得的。

如果您不想把自己的信息泄露出去,那么私人浏览是您的朋友。如果没有Cookie被保存,那也就没什么可窃取的。每次浏览器会话后删除所有的Cookie,这是个好主意。每次新会话时,您都不得不登录网站,因为他们不知道您是谁。这是建立不同用户会话的另一个应用情形,您可以为特定登录建立会话,并将该登录的Cookie限制为仅在该用户会话中。

虽然有些插件可能是危险的,但其他插件还是好的,例如Disconnect,它会阻止第三方跟踪Cookie。扩展插件会阻止社交媒体帐户跟踪浏览历史记录,并使用户能够控制网站上的脚本。另一个值得拥有的扩展是Ghostery,可以阻止常见的跟踪脚本,如果需要的话,您的白名单网站可以参考这一扩展。

威胁等级5:不要对我进行网络钓鱼

网络钓鱼网站是设计用于窃取个人信息的欺诈性网站。这不限于电子邮件或者银行网站的登录凭据信息。网络钓鱼网站可以伪装成比赛,并要求您提供SSN。网络钓鱼攻击还能把受害者重定向到可下载恶意代码的假冒网站,恶意软件会收集您的敏感信息。我们看到潜在的网络钓鱼攻击几乎无处不在,因此,我们倾向于不要点击任何链接。

首要措施:不要点击在电子邮件中收到的链接,也不要打开附件,更不用说填写您的敏感信息。联邦快递索赔表可能就是假的。拿起电话并致电联邦快递,以确定发生了什么。不要点击电子邮件中的链接,例如,看起来好像是人力资源部门提醒您假期到期了。直接到人力资源网站看看出了什么问题。输入URL有助于避免一些欺骗手段,例如使用0(零)而不是O(字母),或者nn而不是m,或者类似paypal.someothersite这样的地址。在浏览器的地址栏中输入公司网站受信任的URL,以避开电子邮件或者即时消息中的链接。

专业提示:仅在使用HTTPS的网站上提供个人信息。请记住,采用“让我们加密”和其他免费SSL证书来源,仅采用挂锁图标已经不够了。查找EV证书,那么实体名称应显示在浏览器栏中。电子前沿基金会的HTTPSEverywhere扩展也是一个很好的选择,因为它强制网站通过HTTPS传输数据流。

威胁等级6:核保护如果您希望最大限度地

如果您收到商家的电子邮件,例如特价或者折扣,请查看是否有以文本方式而不是HTML方式发送电子邮件的选项。这样更容易看出所给的链接中有什么内容。

很难检测出所有的网络钓鱼攻击尝试——有一些是非常高明的。确保您所有帐户不会使用一个相同的密码,这样,即使一个账户被盗,其他账户也不会受损。使用密码管理器为每个网站帐户生成不同的密码。把个人互联网与工作互联网分开,并且永远不要使用工作地址来注册网站。如果该帐户被攻击,您当然不希望这会引发对您工作地址的网络钓鱼攻击。如果网站支持,则启用双重身份验证,这样,攻击者很难使用盗取的凭据,特别是如果该网站是金融机构。保护自己,则需要建立有多个浏览器和操作系统的系统,以便分开上网。您甚至可以考虑一系列的虚拟机来隔离威胁。

首要措施:使用不同的Web浏览器进行不同的上网活动:有进行金融交易的浏览器,而另一个用于通信,还有一个用于浏览上网。这样一来,如果攻击者频繁地在一个网络论坛上攻击您,他或者她就不能使用跨网站脚本来访问网上银行,因为不可能跳过浏览器进行攻击。脸书上的欺诈无法跳过去访问亚马逊。

对于非常敏感的网站——您帐户的“皇冠宝石”,那么该网站应采用专门的网络浏览器,并严格限制其配置。例如,只有使用专用浏览器才能访问您的亚马逊网络服务控制面板,意味着不会“意外”地浏览其他网站(白名单仅限AWS,而阻止其他站点),也不会暴露您企业的整个云基础架构。打开所有安全选项以锁定浏览器。

专业提示:对于非常危险的、潜在有危险的或者非常敏感的站点,请考虑在多个虚拟机上分开上网活动。使用锁定(最新)的浏览器,在专用虚拟机上进行所有银行业务。这避免了所有以银行为目标的网络攻击,攻击者会很难获取您的银行信息。

LinuxLiveCD是运行虚拟机的理想选择——您甚至可以在虚拟机中运行LiveCD,尽可能提高安全性。Tails是非常精简的Linux,它从USB上运行,可用于隐藏数字痕迹,因为它不会永久保存什么。

收到的电子邮件的附件看起来有些可疑?那么在虚拟机中打开它。如果它是恶意软件,它只会感染一个空虚拟机。当然,只是因为VM中没有发生任何事情,就认为以为一切正常?——恶意软件可能被设计为不在虚拟机内执行。将该文件始终保留在虚拟机中,而不要放到主计算机中。

如果您想隐藏您的上网活动,请考虑Tor,它通过加密来隐藏您的身份,对传输数据进行加扰,在多个Tor节点之间路由数据流以掩盖原始站点。由于您的数据流通过Tor随机服务器进行传输,那么,数据不会与您的个人IP地址相绑定。

使用NoScript禁用Java、JavaScript、Flash和其他动态内容。这个选项会影响很多网站,但是它支持您手动授权内容,所以要仔细注意,确保恶意代码不会被意外地批准运行。AdblockPlus阻止已知广告和间谍软件网站的弹出式窗口和其他内容。AdblockPlus创建阻止列表的方式是有问题的,因为广告客户可以付费被列入平台白名单,但如果目标是关闭弹出式广告并阻止潜在的攻击,这样做就可以了。

另一种方法是禁用JavaScript并阻止浏览器本身的弹出窗口。默认情况下,大多数浏览器会自动阻止弹出窗口,但默认情况下会启用JavaScript,因为它使用的非常广泛。

注意安全

要想安全上网,既要有技术和安全意识,还要愿意经受磨炼。现在的浏览器提供了很多保护措施,包括能够禁用插件和打开反网络钓鱼机制等。只要启用这些功能,保证基本的安全环境,例如更新所有软件等,基本的上网安全就能够唾手可得。

但是,现在比以往更容易感染恶意软件或者被网络钓鱼攻击。有时只是因为在错误的时间去了错误的地方。但是,一旦您知道最担心的是什么,知道自己对风险的承受能力,那么就可以设定一个合理的安全方案来满足需要,让自己安全高效地上网。

原文网址:http://www.csoonline/article/3197684/internet/the-modern-guide-tostaying-safe-online.html
   

热门书籍

热门文章