深度解析傲游浏览器防恶反钓的功能
“2009年11月26日,傲游网盾共阻止了84万次恶意网页的攻击,使近5万用户的上网安全得以保证。其中,5万傲游用户中约有1万人遇到含木马的网页攻击,4万人在访问钓鱼网站时收到了网盾的通知,有效地为广大用户避免了不必要的经济损失。”这是傲游正式推出金山网盾版浏览器之后最新公布的拦截记录。距傲游研发中心宣告成立一个月后,傲游联合金山、淘宝和支付宝于12月9日发布了傲游浏览器安全版的体验版,携浏览器安全防护项目的最新研发成果杀回国内浏览器争霸的战场。在第一时间试用了傲游浏览器“安全版”后,略有心得,在此与大家分享。傲游官方将安全防护功能细分为七部分,笔者将其总结成四类:恶意网址&反钓鱼、网盾、安全箱和病毒查杀,本文就防恶反钓的功能进行阐述。
一、防恶反钓:安全的充要条件
这是一个信任危机的时代,恶意网址和钓鱼网址横行在一个个正规站点的缝隙中,用户避之不得,就连正规站点也因此遭受牵连变得不被信任。横看各种“安全”浏览器和浏览辅助工具,防恶反钓已经成为一种充要条件,甚至有的浏览器单凭一张宁滥毋缺的黑名单就在宣扬其如何安全。且看在浏览器客户端方面一直表现不俗的傲游对此有什么解决方案——傲游联合各大电子商务站点和中国互联网信息中心(cnnic)旗下反钓鱼联盟,携手打击互联网钓鱼行为,看似原理类似的站点名单后又有什么玄机呢?
二、界面表现
在界面表现方面,傲游使用了继承自身传统的地址栏变色+流行的覆盖性警告页面。遇到大部分恶意网址和钓鱼网站时,浏览器表现一致,弹出警告页面防止用户继续浏览“上套”,用户可以点击页面按钮中止浏览或直接关闭标签。不过傲游暂时没有公布针对“误报”的处理策略。
(图1 傲游拦截恶意网址)
从图1中能够看到,网址山寨了淘宝“item.taobao.com”,真实地址是“item.toabao.com.aucticon.com”。该恶意网址被傲游拦截,除了明显的页面提示,地址栏也会变成红色,地址栏末端会出现红色标识“存在风险”。用户可以选择关闭此页面,也可选择继续访问。点击红色“存在风险”按钮时,地址栏会出现语言气泡说明:“您将要访问的网站被识别为存在风险”。
之所以说“遇到大部分恶意和钓鱼网”是由于业界没有100%拦截钓鱼网站的解决方案,钓鱼网层出不穷,只能依靠厂商快速更新钓鱼网址库。那么针对这种情况傲游有何对策?他推出了——
三、恶意网址举报
相信这将是傲游浏览器防恶反钓的一个最大优势。凭借其国内外超过五千万用户的力量,傲游将展开安全之网广罗恶意网址。傲游承诺了快速反应机制,表示接到举报后会与安全领域的各方合作伙伴判定被举报网站是否为存在恶意行为,联合判定为恶意后将在30分钟内实现对所有使用了傲游防恶反钓功能用户的保护——凭借自身巨大的用户群体和合作伙伴强大的专业分析技术,如果这个机制运作适当将成为一个对用户非常有实用价值的功能。
而且举报网址的方法非常简单,只需通过地址栏上的按钮即可举报网站的恶意行为,上报傲游服务器,如下图2:
(图2 举报恶意网址页面)
这里用户可以填入网址的具体信息,选择网站的恶意行为提交到傲游安全中心的服务器。
不过傲游的网址认证功能界面表现还需要进一步优化。这个功能原意是好的,将可信任的交易、网银站点标为安全,用绿色表示,危险的用红色表示,而其余的站点一律是灰色的“未认证”标识,用户可以通过“未认证”按钮来提交举报。经过试用笔者发现这个“未认证”总是挂在地址栏的末端,如下图3人人网的首页,虽然心里清楚不会有什么威胁,看到这个灰色的标识总是觉得很别扭,更不要提占用地址栏空间——所以希望傲游在推出正式版的时候能够将这里的设计优化。
Ok,以上就是笔者在试用安全体验版之后,对防恶反钓功能的分析,希望能够对大家有所参考价值,日后的文章中将继续分析傲游浏览器安全功能的其它部分。