数码控科技猎奇Iphone动漫星座游戏电竞lolcosplay王者荣耀攻略allcnewsBLOGNEWSBLOGASKBLOGBLOGZSK全部技术问答问答技术问答it问答代码软件新闻开发博客电脑/网络手机/数码笔记本电脑互联网操作系统软件硬件编程开发360产品资源分享电脑知识文档中心IT全部全部分类 全部分类技术牛文全部分类教程最新 网页制作cms教程平面设计媒体动画操作系统网站运营网络安全服务器教程数据库工具网络安全软件教学vbscript正则表达式javascript批处理更多»编程更新教程更新游戏更新allitnewsJava 新闻网络医疗信息化安全创业站长电商科技访谈域名会议专栏创业动态融资创投创业学院 / 产品经理创业公司人物访谈营销 开发数据库服务器系统虚拟化云计算 嵌入式移动开发作业作业1常见软件all电脑网络手机数码生活游戏体育运动明星影音休闲爱好文化艺术社会民生教育科学医疗健康金融管理情感社交地区其他电脑互联网软件硬件编程开发360相关产品手机平板其他电子产品摄影器材360硬件通讯智能设备购物时尚生活常识美容塑身服装服饰出行旅游交通汽车购房置业家居装修美食烹饪单机电脑游戏网页游戏电视游戏桌游棋牌游戏手机游戏小游戏掌机游戏客户端游戏集体游戏其他游戏体育赛事篮球足球其他运动球类运动赛车健身运动运动用品影视娱乐人物音乐动漫摄影摄像收藏宠物幽默搞笑起名花鸟鱼虫茶艺彩票星座占卜书画美术舞蹈小说图书器乐声乐小品相声戏剧戏曲手工艺品历史话题时事政治就业职场军事国防节日风俗法律法规宗教礼仪礼节自然灾害360维权社会人物升学入学人文社科外语资格考试公务员留学出国家庭教育学习方法语文物理生物工程学农业数学化学健康知识心理健康孕育早教内科外科妇产科儿科皮肤科五官科男科整形中医药品传染科其他疾病医院两性肿瘤科创业投资企业管理财务税务银行股票金融理财基金债券保险贸易商务文书国民经济爱情婚姻家庭烦恼北京上海重庆天津黑龙江吉林辽宁河北内蒙古山西陕西宁夏甘肃青海新疆西藏四川贵州云南河南湖北湖南山东江苏浙江安徽江西福建广东广西海南香港澳门台湾海外地区

体彩排列三走势图:详解2016年浏览器的安全机制

来源:本网整理
s">

详解2016年浏览器的安全机制

河北20选五开奖结果 www.vhmyd.cn 作者:佚名 字体:[增加 减小] 来源:互联网 时间:09-01 11:14:08 我要评论

随着互联网的迅速发展,浏览器渐渐的融入到社会中,现在的浏览器的版本形形色色,丰富多彩,发展的同时浏览器的安全问题也受到了广大用户的关注,一起来看看吧 ">

大家都知道现在浏览器的安全问题备受大家的关注,下面突袭网小编为大家讲解一下2016年浏览器的安全机制问题,一起来看看吧。

一、背景

随着互联网的快速发展,种类繁多的浏览器也变得越来越复杂,它们不仅分析纯文本和HTML,还包括图像、视频和其他复杂的协议和文件格式等。这些极大地丰富了浏览器的功能,给用户带来了方便和更好的浏览体验,然而也带来了一系列的安全问题,各种各样的安全漏洞层出不穷,成为了黑客最易攻击的对象之一。为此,浏览器厂商也在不懈努力,在积极修复漏洞的同时,也在浏览器安全机制方面做着努力,本文将展示和对比主流浏览器当前对安全机制的实现状况。

首先来看看最近全球浏览器的市场份额,根据Net Market Share的统计数据,2016年7月份全球浏览器的市场份额如下图所示:Chrome占据市场份额最多,占50.95%,其次是占29.60%的IE,接下来依次是Firefox、Safari和Edge,这五款浏览器占据了全球98.27%的市场份额,其影响力非同一般。

图1 2016年7月份全球浏览器市场份额分布图

二、浏览器安全机制简介

近来,我们对上述五款浏览器的安全机制做了初步的探究,发现其内部的安全机制大同小异,下面就其主要的安全机制做一下简单介绍。

1、沙箱(Sandbox)

沙箱是一种隔离对象/线程/进程的机制,控制浏览器访问系统资源的权限,从而达到?;び没У南低巢槐煌成系亩褚馊砑秩?、?;び没低车氖淙胧录?键盘/鼠标)不被监视、?;び没低持械奈募槐煌等〉饶康?。最初的浏览器沙箱是基于Hook实现的,后来的Chrome沙箱是利用操作系统提供的一些安全机制实现的。

2、地址空间布局随机化(ASLR)

ASLR是一项缓解缓冲区溢出问题的安全技术。其原理是将进程运行所需的系统核心组件和对象在内存中的分布随机化。为了防止攻击者利用在内存中跳转到特定地址的函数,ASLR技术随机排列进程的关键数据区域的位置,包括可执行的部分、堆、栈及共享库的位置。

3、JIT Hardening

JIT Hardening是防止对JIT引擎本身的滥用的机制。JIT引擎通常在可预测的地址空间中放置可执行代码,这无疑给攻击者提供了可乘之机。只要攻击者计算出可执行代码放置的地址,极有可能通过代码覆盖来进行恶意活动。因此,必须有一项类似于ASLR的技术来?;IT引擎,即JIT Hardienng。JIT Hardening常用技术包括:代码库队列随机化、指令库队列随机化、常量合并、内存页面?;?、资源限制等。

4、数据执行?;ぃ―EP)

DEP是一种阻止数据页执行代码的机制。将数据所在内存页标识为不可执行,当程序尝试在数据页面上执行指令时会抛出异常,而不是去执行恶意指令。

5、缓冲区安全检查(/GS

/GS是一种不强制缓冲区大小限制的代码常用技术。通过将安全检查插入到已编译代码中完成,检测某些改写返回地址的缓冲区溢出。

6、执行流?;ぃ–FG)

CFG是对CFI(控制流完整性)的一个实用性实现,是一种编译器和操作系统相结合的防护手段,目的在于防止不可信的间接调用。对基于虚表进行攻击的利用手段可以有效防御。

7、附加组件签名机制

附加组件签名机制是Firefox43版本开始正式采取的一项对其附加组件管理的机制。Mozilla 根据一套安全准则对其附加组件进行验证并为其“签名”,需要签名的类型包括扩展,未被签名的扩展默认被禁用。这一机制对阻止来自第三方的恶意扩展起到了很好的作用。

8、W^X

W^X是“写异或执行”(WriteXOR Execute)的缩写,是OpenBSD中富有代表性的安全特性之一。W^R内存?;せ颇芄蝗猛呈褂媚诖嫘慈氪牖蛑葱写?,但不能够同时进行这两种操作,可以阻止某些缓冲区溢出的攻击。

9、MemGC

MemGC即内存垃圾收集器(Memory Garbage Collector),是一种内存管理机制,由IE11的Memory Protector改进而来,首次在EdgeHTML和MSHTML中使用,采用标记清除(Mark-Sweep)算法对垃圾进行回收,能够阻止部分UAF(Use After Free)漏洞。

需要指出的一点是,上述几种安全机制并不是浏览器独有,有些机制,例如ASLR、/GS、CFG等,也被操作系统和编译器广泛采用。以上就是对几种主要安全机制的简单介绍,不够全面和详尽,还请大神勿喷。

三、主流浏览器对安全机制的实现情况

对于前面提到的几种浏览器安全机制,主流浏览器并不是全部实现了,具体情况如下表所示:

图2 主流浏览器安全机制的对比情况表

由表可以明显看出,除了Safari以外,其他四种浏览器均实现了前六种安全机制。而Safari不支持缓冲区安全检查机制,未实现CFG执行流?;せ频凶柿舷允酒涫迪至丝刂屏魍暾裕–FI)。对于后面三种安全机制,附加组件签名机制和W^X机制是Firefox浏览器独有的,而MemGC机制是Egde浏览器独有的。

在此,还需指出一点,虽然对某一安全机制有多个浏览器支持,但各个浏览器的实现方式及实现程度不尽相同。下面举两个例子加以说明:

(1)虽然Edge浏览器和IE浏览器都实现了沙箱机制,但Edge浏览器将框架进程也包含在了整个安全体系里面,权限更低,大大提高了安全性。

(2)Chrome和IE的沙箱机制对各种行为的限制也是不同的,图3列举了一些常见行为及Chrome和IE沙箱机制对其的限制对比情况:

图3 Chrome和IE沙箱机制对部分行为的限制情况

总结

浏览器发展至今,已经拥有比较成熟的安全机制,主要包括沙箱机制、JIT Hardening、地址空间布局随机化、数据执行?;?、缓冲区安全检查、执行流?;?、附加组件签名机制、W^X、MemGC等。然而,浏览器的安全并不是已经完全保障,各大浏览器厂商也在安全机制方面做着不懈的努力,期待着浏览器安全方面质的提高。

以上就是突袭网小编为大家讲解的关于2016年浏览器的安全机制的教程,想了解更多精彩教程请继续关注突袭网网站!

转载自FreeBuf

  • 本文相关:
  • 详解网络安全:不仅要通过去,还要晓未来
  • VPN帮你翻墙?还是先顾着自己的隐私再说吧
  • 物联网时代到来 你准备好在摄像头下?;ず媚愕囊搅寺?/a>
  • 恶意软件随处传播 企业该怎么做好安全防御
  • HTTPS是什么意思 HTTPS加密保证安全过程详解
  • 域名安全指数提高N倍的七个技巧
  • 5步教你远离物联网安全的威胁
  • 网警叔叔讲那些年经历过的奇葩DDoS案例
  • HTML5安全风险之CORS攻击详解
  • HTML5安全风险之Web Storage攻击详解
  • 免责声明 - 关于我们 - 联系我们 - 广告联系 - 友情链接 - 河北20选五开奖结果 - 频道导航
    Copyright © 2017 河北20选五开奖结果 www.vhmyd.cn All Rights Reserved
  • 吕梁:交口公安侦破“5.24”疯狂砸车玻璃盗窃案 2018-12-19
  • 央企合作工作简报(2018年第9期) 2018-12-19
  • 靳东神预测世界杯:两个星期前预测英格兰21突尼斯 2018-12-19
  • 美最新研究:抑郁会引发记忆问题 2018-12-18
  • 日本佳子公主留学后回国 被称日本皇室"最美公主" 2018-12-18
  • 骗子用女子照片制作“通缉令” 诈骗对方11万 2018-12-18
  • 太原11家培训学校承诺规范办学 2018-12-18
  • 深圳2018年将开行3趟援疆旅游扶贫专列 2018-12-17
  • 人民日报80后评论员为大学生讲改革40年 2018-12-17
  • 用事实来回敬非马克思主义思潮(原创首发) 2018-12-17
  • 俄罗斯球队为国争光,为普京争脸。揭幕战横扫沙特队,吸引世界眼球。一代伟人普京,是俄罗斯人民的福气,强国,强军、富民,是普京献词“地球盛宴”的真正荣耀时刻,俄国人 2018-12-17
  • 习近平:请乡亲们同党中央一起,撸起袖子加油干! 2018-12-16
  • E3 2018:玩家期待已久的《上古卷轴6》正式公布 2018-12-16
  • 京东和他的“朋友圈” 2018-12-15
  • 新华国际时评:中国两会向世界传递三大信号 2018-12-15
  • 739| 782| 899| 866| 146| 588| 617| 650| 292| 109|