作為一個安全分析師和研究員，我發現自己常常喜歡探索互聯網的一些黑暗角落。在時刻關注網絡安全問題的過程中，我經常要瀏覽那些一般人不敢靠近的網站;所以更有可能被當做攻擊的目標。這迫使我要制定一個格外有效的方法更安全的上網沖浪。

了解存在的風險

針對Web瀏覽器的攻擊分為兩大類。

第一類攻擊的目標是您的瀏覽器。內容包括：

◆跨站點腳本（XSS），其中非法攻擊者插入惡意代碼到一個你信任的網頁上，并使您的瀏覽器自動運行它。

◆跨站點請求偽造（CSRF的），攻擊者在一個Web頁面中插入代碼，使他可以以你的名義發送命令到其他網站（比如您的網上銀行賬戶）;

◆點擊劫持(click jacking)，就是說惡意程序隱藏在一個網站上，您可能無意中按下按鈕。

針對瀏覽器的攻擊，利用欺騙性的網頁或鏈接將您重定向到意想不到的地點，通過劫持瀏覽會話，悄悄下載惡意軟件到計算機上，或執行交易（如您的Web郵件轉發給攻擊者）。

第二類攻擊的目標是你的整個系統。這種系統性的攻擊利用你的瀏覽器或插件（如QuickTime或Flash）上安全漏洞來攻破你的電腦。這些攻擊利用了可以進行病毒、蠕蟲和遠程攻擊的緩沖區溢出和其他漏洞

為了保護自己不受到這兩種攻擊，以及一旦受到攻擊能盡快隔離，我使用了多級策略。第一步就是用1Password（密碼策略）設定并保存你的密碼。

但我也使用了多層次瀏覽器系統，甚至操作系統，以使自己盡可能安全即使你沒有訪問過我的網站，這其中的一些預防措施也會對你有用的。

【第一步：使用多個瀏覽器】

我的第一道防線是使用不同的Web瀏覽器完成不同的活動。這樣，即使攻擊者侵入某個我正在使用的Web論壇，他或她也不能從那里攻擊我的網上銀行，因為我使用另一個瀏覽器上我的網銀。或者，我用專門的瀏覽器登陸我的Facebook，那些侵入Facebook的最新的XSS（跨站腳本）蠕蟲無就法從那里進入我的亞馬遜或Web電子郵件帳戶。

我的主要瀏覽器是Firefox 3.5而且安裝了NoScript和Adblock插件。

默認情況下，NoScript禁用Java，JavaScript，Flash及其他常常可用于攻擊的動態內容。它使我可以詳細地控制，這樣我就可以永久或暫時為特定網站或網頁啟用腳本。因為瀏覽器如果不運行腳本或插件，幾乎是不可能受到攻擊的。NoScript插件是極有效的，只要我不會意外授權某個包含惡意代碼的網站。

Adblock Plus插件利用網站黑名單來自動阻止網站上的內容，黑名單中包括含有惡意廣告和間諜軟件的網站。我把它留做NoScript插件的備用，以防我不小心授權了一個惡意腳本。壞家伙們越來越多地使用廣告條幅和追蹤器來散布他們的惡意代碼; Adblock Plus則給了我額外的保險。

除了這兩個插件，我也設置火狐不儲存我的密碼（工具->選項->安全設置），我使用1Password密碼管理器來管理我的所有密碼。

我使用Firefox進行一般的瀏覽，但不用它來登陸那些需要輸入敏感個人信息的網站（如銀行）以及我知道會有極大風險的網站。對于這些網站，我會采用一些更嚴厲的措施。下面給你一一列出我的做法。

因為Safari相比Firefox會更難被鎖定，我使用它登陸那些既不敏感也沒風險的網站，例如維基百科，Pandora(網絡電臺網站)和Apple。這些是我經常訪問的網站，上這些網站時，我用不著設置NoScript插件，因為此時用Safari要比Firefox更好一些。在“首選項”- “綜合設置”下，我禁用“下載完成后打開安全文件”選項。在“首選項”- “自動填充”，我禁用“用戶名和密碼”選項。（譯者注：可惜的是Safari在Windows下工作時中文渲染效果很差）

默認情況下，Firefox和Safari都會利用自己的黑名單來識別那些已知的欺詐網站。（在Firefox中，轉到“工具”- >“安全- >”隔離已報告的攻擊網站”；在Safari中，轉到首“選項”- >“安全- > “當訪問一個欺詐網站時發出警告”。）我把這些設置激活。

我使用NetNewsWire作為我的RSS閱讀器。在其“首選項”-> “瀏覽”->“網頁設置”中，我關閉所有插件，以防止惡意代碼通過一個RSS訂閱傳播，比如一段包含一個緩沖區溢出文件的視頻。(我們一般用Google Reader，安全性很好）

【第二步：使用專用瀏覽器】

雖然Firefox和Safari適合一般的瀏覽，但是當我需要更多的保護時，我會使用一個專用的瀏覽器或某網站特定的瀏覽器site-specific browser (SSB)。

我說的“專用瀏覽器，”是指一個是普通的Web瀏覽器，不過我只在登陸一個站點時使用它。就我而言，我使用OmniWeb瀏覽器來管理我的公司網站和博客。

我制訂了OmniWeb瀏覽器的規則，禁止它訪問我公司網域以外的任何網站。（在選項->廣告攔截，我點擊編輯封鎖網址列表。此時頂部窗口上列出被封鎖的網站，我加了一條“/*”規則來阻止所有網站。在底部窗口，列出了值得信賴的網站清單，我添加了"securosis.com“規則來允許我公司的網站。這些設置都支持復雜的正則表達式，所以你可以根據你的需要創建一些非常復雜的規則。

對于那些非常不值得信任的網站，我通常使用SSB（site-specific browser）登陸。例如，如果我現在擔心Facebook，我就用SSB登陸。

一個SSB本質上是一個精簡的Web瀏覽器，只需要點擊幾下就可以完成。我在Firefox上添加一個Prism插件來制作SSB。（“工具”- >“添加組件”- >“獲取附加組件”，搜索Prism，然后安裝它。）安裝好Prism插件后，瀏覽到某網站時只要選擇“工具”- >“轉換網站為應用程序”選項就行了。

不同于網站專門瀏覽器，我也可以使用SSB瀏覽別的網站。而且，因為SSB是一個完全獨立的進程，可以制定防火墻規則來限制其網絡訪問。如果有人攻擊SSB程序，除了SSB程序本身，他們不會干擾到我的其他瀏覽器正常工作或竊取我的瀏覽歷史。

【第三步：使用多操作系統】

對于那些極端危險或敏感的站點，我使用VM虛擬機來保護我的數據，隔離潛在的危險。

例如，我在專用的VM虛擬機上裝上了最新的RC版Windows 7系統，輔以Internet Explorer 8來進行所有的網上銀行活動。除了處理網銀外，我既不在VM上發送電子郵件也不瀏覽其他網站，所以我的Windows 7配IE8的組合運行在虛擬機里是很安全的。這消除了所有可能的瀏覽器攻擊（除非銀行自己的網站淪陷了）。如果攻擊者還想獲得我的銀行信息那么就要想辦法完全接管我的Mac了。

為了獲得最大的瀏覽安全，我還在VM虛擬機上使用Incognito linux的live CD。live CD包含一個可直接引導的操作系統，它可以直接在光盤驅動器啟動操作系統，無需在硬盤上安裝任何東西。其實任何一個附帶Web瀏覽器的linux live CD都可以，不過我喜歡Incognito的版本，因為它包含了不少隱私增強特性。

由于光盤是只讀的，除虛擬內存外，虛擬機只讀取相關內存而不會觸及到本地系統中的任何文件。攻擊者可以完全控制到我的虛擬機，但他或她無法觸及到我系統中的任何東西。因為VM的狀態永遠不會保存到磁盤上，所以我要做的就是將它關閉并重新啟動它使之回到最初的界面。

當然，對于網絡安全問題，我選擇的職業需要略微比普通用戶考慮得偏執一些。盡管如此，只要你擔心安全問題，這些技術就可能會有極大的參考價值。我建議你至少要學會使用專用的密碼管理軟件，使用專門的Web瀏覽器或者SSB來登錄網銀；如果你偶爾還要去互聯網的黑暗邊緣地帶看看，別忘了還有虛擬機能為你保駕護航。