网络浏览出了什么问题?
30 多年前,Tim Berners-Lee 写了份项目建议书,定义了现在称为万维网的基础技术。Berners-Lee 设想中“造福数千极有创造力并朝着共同目标奋斗的人”[1] 的事物,现已发展为商业、商务、全球经济和社会不可分割的一个部分,用户已覆盖全球 58% 以上的人口。
毫无疑问,万维网和 Web 浏览器已成为人们每天开展诸多生产工作(和娱乐活动)的平台。然而,随着网络的普及,不良行为者的机会也在增多。几乎没有哪一天新闻中不播报新的重大网络安全漏洞。有几个因素促使网络犯罪推向前所未有的水平:黑客工具的商业化、恶意软件即服务的浮现,以及由国家资助的有组织犯罪的发生,另外加密货币的发展也使形形色色的恶意行为者能以匿名方式从其活动中牟利。
在当今世界,一些 Web 浏览设想已经过时,甚至是危险的。Web 浏览器和底层服务器技术涵盖了广泛、复杂并且相互关联的技术,其名单也在不断变长。在蓬勃发展的开源社区、内容发布者、搜索引擎、广告商以及浏览器公司间竞争的推动下,这些技术处于不断变化之中。由于这种潜在的复杂性,
支撑网络的结构和底层技术本质上很难做到安全。一些浏览器漏洞源自于非法使用合法功能:使浏览器能够下载文件和文档是正当的,但允许下载感染了恶意软件的文件则是不当的;在单个网页中跨站点动态加载内容是正当的,但使用跨站点脚本是不当的;实现广泛的广告生态系统是正当的,但无法检测被劫持的链接或对恶意软件或网络钓鱼站点的恶意重定向则是不当的;诸如此类。
企业浏览问题
企业使用传统浏览器还面临着其他难题。
矛盾的是,Web 浏览器是企业里使用最普遍的应用程序,但 IT 部门对它的控制却最少。企业安全部门和 IT 专业人员对 Web 浏览器抱怨最多的方面:
1. 安全性(显而易见)。公共互联网是安全漏洞不断产生的根源,问题也正日益严重,攻击数量相比 2016 年已增长了 11 倍(Meeker [7])。检测和补救成本不断增加,数据泄露导致的声誉损害和经济损失可能会非常严重。
2. 控制性。IT 部门几乎看不到用户活动,运用内容撤防与重建(CDR)和数据丢失防护(DLP)机制(包括何人何时在何处下载/上传了文件)的能力也有限。
3. 合规性。无法跨地区控制数据和活动或采集必要的审计遥测数据,以满足日益严格的法规要求。这会导致遭受处罚和罚款的严重风险。
鉴于日常用户活动(例如电子邮件和 Web 浏览)会暴露漏洞,一些组织试图限制这些活动。由于两者都是合法且重要的业务功能,限制或减少 Web 浏览器使用量的举措不可避免地失败,或给企业生产力和员工士气造成实质性的负面影响。
当前缓解网页浏览中固有安全问题的方法主要基于签名技术,其作用目标是数据文件和可执行文件