NISP 一级 | 5.1 浏览器安全
关注这个证书的其他相关笔记:NISP 一级 —— 考证笔记合集-CSDN博客
0x01:服务器端和客户端
服务器端: 指网络中能对其他计算机和终端提供某些服务的计算机系统,比如新浪网站的服务器等,在我们打开新浪网站的时候,新浪的服务器就是服务器端。
客户端:客户端与服务器端相对应,是指为客户提供本地服务的程序。一般安装在普通的客户机上。需要与服务端互相配合运行,如安装在智能移动终端上的地图导航程序。我们在使用导航软件的时候,导航软件是安装在手机上的。但是他正常运作所需要的一些数据还是需要连接服务器端获取的。
0x02:软件的体系结构
0x0201:C/S 架构
C/S(Client/Server,简称为 C/S 结构)结构,是客户端/服务端结构的简称。此结构中客户端程序和服务端程序通常分布于两台机器上。
客户端程序的任务是将用户的要求提交给服务端程序。再将服务端程序返回的结果以特定的形式显示给用户。服务端程序的任务是接收客户端程序提出的服务请求。并进行相应的处理,再将结果返回给客户端程序。通过将任务合理分配到客户端和服务端,降低了系统的通信开销。需要安装客户端才可进行管理操作。
客户端和服务端的程序不同,用户的程序主要是在客户端。服务器端主要提供数据管理、数据共享、数据及系统维护和并发控制等;客户端程序,主要完成用户的具体的业务。这种结构开发比较容易,操作简便,但应用程序的升级和客户端程序的维护较为困难。我们常用的微信,迅雷,暴风影音,还有各种需要下载客户端的网络游戏,都是 C/S 架构的。
0x0202:B/S 架构
B/S(Browser/Server,简称为 B/S 结构)结构,即浏览器/服务器结构。是随着 internet 技术的兴起对 C/S 结构的一种变化或者改进的结构。
在这种结构下,用户界面完全通过浏览器实现。这种结构将系统功能的核心部分集中到服务器上。客户端基本上没有专门的应用程序,应用程序基本上都在服务端。由于客户端没有程序,应用程序的升级和维护都可以在服务端完成,升级维护方便。
以新浪网网站为例,用户所使用的浏览器即为客户端程序,在浏览器中输入新浪的网址,用户就向新浪的网站服务器发出访问请求,新浪的服务器接受客户端访问请求并进行处理,将结果返回给浏览器,由浏览器显示,提供给用户查看。
随着因特网和移动互联网的快速发展,B/S 模式得以快速发展,针对浏览器的安全威胁也越来越多,因此保护浏览器的安全就显得非常重要。
0x03:浏览器安全措施
浏览器是可以显示网页文件并提供用户与服务器交互功能的一种软件。
个人计算机上常见的网页浏览器有 Internet Explorer、Firefox、Chrome、360 安全浏览器等。
下面介绍一些常用浏览器的安全措施。
-
删除和管理 Cookies
-
删除浏览器历史记录
-
禁用 ActiveX 控件
0x0301:删除和管理 Cookies
Cookies 参考链接:客户端的 Cookie 详解-CSDN博客
Cookie 是指网站放置在个人计算机上的小文件,用于存储用户信息和用户偏好的资料。Cookie 可以记录用户访问某个网站的账户和口令,从而避免每次访问网站时都需要使用输入账户和口令登录。
Cookie 给用户访问网站带来便利的同时,也存在一些安全隐患。因为 Cookie 中保存的信息中常含有一些个人隐私信息,如果攻击者获取这些 Cookie 信息,就会危及个人隐私安全。所以在公用计算机上使用浏览器后需删除 Cookie 信息。
0x0302:删除浏览器历史记录
浏览历史记录是在用户浏览网页时,由浏览器记住并存储在计算机中的信息。这些信息包括输入表单的信息、口令和访问的网站等,方便用户再次使用浏览器访问网站。
如果用户使用公用计算机上网,而且不想让浏览器记住用户的浏览数据,用户可以有选择地删除浏览器历史记录。
0x0303:禁用 ActiveX 控件
ActiveX 控件是一些嵌入在网页中的小程序,网站可以使用这类小程序提供视频和游戏等内容。
浏览网站服务器时,用户还可以使用这些小程序与工具栏和股票行情等内容进行交互。但是,ActiveX 控件会导致一些安全隐患,攻击者可以使用 ActiveX 控件向用户提供不需要的服务。
某些情况下,这些程序还可以用来收集用户计算机的个人信息、破坏计算机的信息,或者在未获取用户同意的情况下安装恶意软件。
0x04:思考题
0x0401:C/S 模式和 B/S 模式的区别是什么?
C/S 模式就是客户端(Client)/服务器(Server)模式,客户端的电脑也可以参与整个系统的事务处理,可以处理一些不需要服务器处理的事务。
B/S 模式就是浏览器(Browser)/服务器(Server)模式,浏览器端只能通过浏览程序(IE 等)访问服务器,显示服务器提供的信息,整个系统的事务处理都要由服务器来完成