浏览器恶意插件的防范方法有哪些

以插件的安全防范为主，下面介绍几种有关Web安全的防范技术和方法。

1. 沙箱

   为了防止攻击者通过浏览器对用户本地硬盘和注册表等进行访问，可以采用沙箱技术进行有效防范，从而消除对系统的危害。沙箱（sandbox）是一个基于虚拟机技术的系统程序，允许用户在沙箱环境中运行浏览器或其他程序，程序运行过程和结果都被隔离在指定的沙箱环境中，运行所产生的变化可以随后删除。沙箱通过虚拟出一个独立作业环境，使其内部运行的程序不会对沙箱外的环境（如硬盘）产生永久性的影响。运行在沙箱中的程序不能运行任何本地的可执行程序，不能从本地计算机文件系统中读取任何信息，也不能向本地计算机文件系统中写入任何信息。沙箱技术最早用来测试不受信任的应用程序，目前还广泛应用于Web页面的安全浏览。当沙箱技术应用到安全访问Web网页时，无论何时加载远程网站上的代码并在本地执行，都不会威胁到用户本地的安全。

2. 自动更新

   如果没有特殊的应用要求，浏览器应该始终开启自动更新功能。不过，并不是所有插件都会自动更新。例如，许多浏览器会自动更新Adobe Flash插件，但是大部分其他扩展程序需要通过运行相关产品的安装程序进行更新。出于安全考虑，可以禁止运行已经过时的插件。目前，有些浏览器插件检测工具（如Qualys公司的BrowserCheck）可以检查用户浏览器安装的插件，确定哪些插件需要更新，并针对过期插件提供更新下载链接。

3. 利用黑白名单

   了有效降低Web浏览器扩展程序的安全风险，可以将所有的插件先添加到指定的黑名单，然后选择性地添加一些必要的插件到白名单。为了尽可能降低安全风险，可以通过安全评估，将经常遭到攻击的安全性较差的插件从计算机中完全卸载，如果某些业务应用程序必须使用该插件，可以创建一个虚拟机，让这些不安全的插件在相对隔离的虚拟机环境中运行。例如，针对安全漏洞较多的Adobe Reader，可以使用集成在浏览器的PDF阅读器（如Firefox浏览器的Mozilla PDF阅读器）来替代Adobe版本。在位于网络边界的防火墙，通过安全配置，限制文件类型为.ocx、.dll、.cab的文件通过防火墙进入内部网络。屏蔽调用nwscript.exe、cscript.exe、wscript.exe、regedt32.exe、regwiz.exe、regsvr32.exe、reg.exe、regini.exe等程序的网页代码。

以下三种是Web安全的防范技术和方法：

• 沙箱：为了防止攻击者通过浏览器对用户本地硬盘和注册表等进行访问，可以采用沙箱技术进行有效防范，从而消除对系统的危害。沙箱（sandbox）是一个基于虚拟机技术的系统程序，允许用户在沙箱环境中运行浏览器或其他程序，程序运行过程和结果都被隔离在指定的沙箱环境中，运行所产生的变化可以随后删除。沙箱通过虚拟出一个独立作业环境，使其内部运行的程序不会对沙箱外的环境（如硬盘）产生永久性的影响。运行在沙箱中的程序不能运行任何本地的可执行程序，不能从本地计算机文件系统中读取任何信息，也不能向本地计算机文件系统中写入任何信息。沙箱技术最早用来测试不受信任的应用程序，目前还广泛应用于Web页面的安全浏览。当沙箱技术应用到安全访问Web网页时，无论何时加载远程网站上的代码并在本地执行，都不会威胁到用户本地的安全。

• 自动更新：如果没有特殊的应用要求，浏览器应该始终开启自动更新功能。不过，并不是所有插件都会自动更新。例如，许多浏览器会自动更新Adobe Flash插件，但是大部分其他扩展程序需要通过运行相关产品的安装程序进行更新。出于安全考虑，可以禁止运行已经过时的插件。目前，有些浏览器插件检测工具（如Qualys公司的BrowserCheck）可以检查用户浏览器安装的插件，确定哪些插件需要更新，并针对过期插件提供更新下载链接。

• 利用黑白名单：了有效降低Web浏览器扩展程序的安全风险，可以将所有的插件先添加到指定的黑名单，然后选择性地添加一些必要的插件到白名单。为了尽可能降低安全风险，可以通过安全评估，将经常遭到攻击的安全性较差的插件从计算机中完全卸载，如果某些业务应用程序必须使用该插件，可以创建一个虚拟机，让这些不安全的插件在相对隔离的虚拟机环境中运行。例如，针对安全漏洞较多的Adobe Reader，可以使用集成在浏览器的PDF阅读器（如Firefox浏览器的Mozilla PDF阅读器）来替代Adobe版本。在位于网络边界的防火墙，通过安全配置，限制文件类型为.ocx、.dll、.cab的文件通过防火墙进入内部网络。屏蔽调用nwscript.exe、cscript.exe、wscript.exe、regedt32.exe、regwiz.exe、regsvr32.exe、reg.exe、regini.exe等程序的网页代码。