谷歌浏览器chrome怎么快速安全通道插件安装及使用
下载时空隧道插件打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面 拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程序】页(只能是这个页面)
快速安全通道-Faststunnel是一款chrome内核浏览器插件,提供国站加速服务。支持chrome、360浏览器、百度浏览器、猎豹浏览器、搜狗浏览器、QQ浏览器、搜狗浏览器等,为出国留学人员,外企外贸公司,创新创业团队量身打造,简单易用,无繁琐配置,即装即用。
方法
下载时空隧道插件
下载时空隧道插件打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面 拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程序】页(只能是这个页面)
打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面
可是,任何组织也不可能因为浏览器有安全问题,就宣传停止所有浏览器的使用,就地等候 快速应用,一些开发人员也开始实现自己的静默机制。比如,谷歌就给自己的Chrome浏览
拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程序】页(只能是这个页面)
使用的,而这些浏览器是访问移动网站的唯一通道和入口,因此,移动网站多多少少都会受 安全性的影响。 此外,不少移动网站或手机APP很容易被植入恶意插件,用户一旦下载并
安装完成后浏览器会自动弹出注册页面,注册后,进入邮箱激活即可登录。
最佳答案下载时空隧道插件打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程
扩展阅读,以下内容您可能还感兴趣。
如何安装chrome快速安全通道插件
下载时空隧道插件打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面
拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程序】页(只能是这个页面)
如何安装chrome快速安全通道插件
下载时空隧道插件打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面
拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程序】页(只能是这个页面)
为什么说一个安全的浏览器抵得过全副武装的安全措施?
浏览器安全概述
天生低调的浏览器却肩负着保护用户安全的重任。浏览器的工作机制,就是向整个互联网请求指令,请求到以后几乎不加任何质疑地去执行。浏览器之所以为浏览器,就是要忠实地汇聚远程获取的内容,把它们组织*类可以辨识的形式,同时还要支持今天所谓的Web 2.0应有的丰富功能。
但是作为一款软件,浏览器又是如此重要:它不仅要帮你维护社交网络,还要替你完成在线银行的交易。这个软件有义务保证你在网络世界中的安全,无论你冒险闯入的是什么胡同街巷。这个软件有义务支持你在一个标签页里不知深浅的探险,同时又在另一个标签页里进行重大涉密交易。很多人把自己的浏览器当成装甲车,认为自己能坐在里面安全舒适地观察外面的世界,而不用担心泄漏任何个人隐私,或者遭受任何威胁。等把这本书全看完,你就会明白这个假设是否成立了。
这款“无所不能”的神奇软件的开发团队,必须确保其庞大身躯的每个角落、每道接缝,都不给黑客留下可乘之机。不管你是否这么想过,实际上你每次使用浏览器,都默认信任了从未谋面(很可能这辈子永远也不会见面)的一群人,相信这群人能够保障你的重要信息不会被互联网上的黑客窃取。
本章介绍Web浏览器攻防相关的方*。我们会讨论浏览器在Web生态系统中扮演的角色,包括它与Web服务器之间的互动关系。此外,本章还会介绍一些浏览器安全基础知识,为本书后续各章的内容提供脉络。
1.1 首要问题
请大家暂时忘掉浏览器,只想着眼前有一块空白的安全画布。假设你身处这么一种境况:你要对一家公司的安全负责,必须作出某些决策。你在决定部署某个软件时,会不会考虑它可能面临的风险有多大?这个软件必须在标准运行环境(Standard Operating Environment,SOE)中无差异地安装到公司内的几乎所有机器上。人们要通过它来存取最敏感的数据,执行最敏感的操作。这个软件几乎是公司每个员工的日常工具,包括CEO、董事会成员、系统管理员、财务、人力资源,甚至你们的客户。鉴于它对公司的核心业务数据拥有如此高的权限,毫无疑问会成为黑客的理想攻击目标,因而面临极大风险。
这个软件的设计规格大致是这样的。
它要向互联网请求指令,然后执行获取的指令。
防御者无法控制这些指令。
某些指令会要求这个软件从以下来源再次请求其他指令:
互联网的其他地方;
内部网的其他地方;
非标准的HTTP和HTTPS TCP端口。
某些指令会要求这个软件通过TCP发送数据。这可能会造成对其他联网设备的攻击。
它会与互联网中任意服务器进行加密通信。防御者无法看到通信内容。
它会不断向攻击者暴露攻击目标。它会在后台静默更新。
它经常会依赖插件获得某些功能。没有统一的机制更新这些插件。
此外,对这个软件的相关研究表明:
插件一般来说都不如核心软件本身安全;
这个软件的每个变体都有文档载明的漏洞;
一份安全情报报告(Security Intelligence Report)得出结论,说这个软件是企业最大的威胁。
1. 浏览器沙箱
很多层面都可以使用沙箱机制。比如,可以应用在内核级别,把不同用户隔离开;可以应用在硬件级别,实现内核与用户空间的权限分离。
浏览器沙箱属于用户空间程序中最高层次的沙箱,它隔离的是操作系统赋予浏览器的权限和在浏览器中运行的子进程的权限。
要想完全拿下浏览器,至少要两步。第一步是找到浏览器功能上的漏洞,第二步就是突破沙箱。后者也叫绕开沙箱(sandbox bypass)。
在有的浏览器中,沙箱策略体现在用不同的进程打开不同的网站,让恶意网站很难影响其他网站乃至操作系统。这种沙箱同样也应用于插件和扩展,比如把PDF渲染进程独立出来。
绕开沙箱能够得逞,通常是因为编译后的代码种类庞杂,而且攻击者企图破坏整个进程。这种情况下沙箱有效性的标志就是它能否通过检验,即能否阻止被破坏的执行路径取得全部进程的权限。
2. IFrame沙箱
作为一种机制,可以使用IFrame显示来自不同来源不被信任的内容,有时候也可以用于显示来自相同来源但不被信任的内容。比如,的社交媒体部件13就是一个例子。利用IFrame干坏事并不新鲜,浏览器厂商很长时间以来一直致力于设置各种防范措施,降低这个家伙对浏览器造成的威胁。
HTML5规范也提出了一个IFrame沙箱建议,而且已经被现代浏览器支持。开发者对它只有最低限度的权限。沙箱IFrame指的是给这个嵌入的帧添加一个HTML5属性。
添加这个属性后,就不能在其中使用表单、执行脚本,也不能导航到顶层页面,而且只能限于与一个来源通信。施加于每一个父框架的*,都会被嵌在其中的子框架自动继承。
1.3.4 反网络钓鱼和反恶意软件
通过伪造在线内容(包括电子邮件)窃取证书等个人信息的行为,一般称为网络钓鱼(phishing)。很多组织都会公布钓鱼网站的信息,而现代浏览器可以利用这些信息。
浏览器会在访问网站时,将其与恶意站点名单进行对照。如果检测到要访问的网站是一个钓鱼网站,浏览器就会采取措施。相关内容将在第2章介绍。
类似地,服务器也可能在所有者未察觉的情况下被利用,或者有人专门运行这种服务器,托管着一些利用浏览器的隐患内容。这些网站会*用户手工下载和执行软件,从而绕过浏览器防御措施。
关于托管有恶意代码的恶意网站,有很多组织都提供了相应的黑名单。浏览器可以直接引用,以便实时检测14。
1.3.5 混入内容
所谓混入内容(mixed content)网站,是指某个来源使用HTTPS协议,然后又通过HTTP请求内容。换句话说,所有页面内容都不是通过HTTPS发送的。
不通过HTTPS传输的内容有可能被修改,使得任何加密数据的措施形同虚设。如果通过未加密的通道传输的是脚本,那么攻击者就可能在数据流中注入指令,进而破坏浏览器与服务器间的交互。
1.4 核心安全问题
浏览器安全特性的一度扩张,奠定了如今既广阔又复杂的局面。传统网络安全一般依赖外围或边界防御设施的部署与维护,比如防火墙。随着时间推移,这些设备似乎要把除了基本流量之外的一切都过滤掉。
对网络的管控虽然越来越严密,但访问信息的需求一点没有减少,投入实际使用的Web技术(相当多流量走的都是80或443端口)也越来越多。实际上,防火墙非常有效地起到了限流的作用,而只给我们剩下了HTTP流量。日益增多的SSL VPN技术取代过去的IPSEC VPN的应用就是一个很好的例子。
当然,防火墙所做的就是把所有网络流量都归总到两个端口上:80和443。这样的流量迁移极大依赖于浏览器的安全模型。
接下来我们讨论一下浏览器安全的基本情况,以及攻防之中的有利和不利因素构成的复杂局面。特别地,我们会专注于为什么Web流量没有被*住,反而为各种攻击提供了可能性。
1.4.1 攻击面
攻击面(attack surface)不是个新概念,它指的是浏览器容易遭受未信任来源攻击影响的范围。这样说来,最小的情况下,浏览器的渲染引擎就是问题所在。浏览器的攻击面是越来越大了,毕竟大量的API和各种存取数据的抽象功能也在与日俱增。
相反,网络的攻击面很大程度上已经受到了严密控制。接入点和受控流量的概念已经深入人心,而改变控制流程,结果就会不一样。比如,访问防火墙不同端口流量可以通过人们熟悉的方法得到轻易验证和*。
很少听说浏览器厂商会删减浏览器功能的,倒是经常会听到宣传说某某浏览器又增加了什么功能之类的。与多数产品一样,削弱功能的同时还要维护向后兼容并没有什么可以预见的好处。而随着功能不断增多,攻击面势必也越来越大。
现代浏览器的更新都采用后台自动和静默方式。有时候,攻击面的变化是防御者意识不到的。某些情况下,这是一个好现象。可是,对一个成熟和可靠的安全团队而言,这样往往会造成更多麻烦,而不是带来更多好处。
然而,也很少有哪个组织,其安全团队成员敢说自己在浏览器防御方面非常有经验。即使这个软件是最值得信任的软件之一,它也仍然对互联网暴露着自己最大的攻击面。
1. 升级速度
浏览器安全团队不一定会与组织的步调一致。更常见的情况是,希望维持自己安全形象的厂商却无力修复浏览器的问题。
修复浏览器的安全bug常常被开发者排在最低优先级,这与安全社区的期望恰恰相反。2013年1月,随着Firefox 18.0的发布,Mozilla吹嘘15自己修复了一个混入内容的问题,也就是说,使浏览器在来源使用HTTPS协议时,不能加载HTTP内容。如果我告诉你Firefox的这个bug早在2000年12月就被人发现了16,你会作何感想?也许这是一个极端的例子,但浏览器安全bug被漠视的情况由此可见一斑。
从终端用户对浏览器安全升级没有发言权这一点来说,浏览器与其他软件也没有什么差别。可是,任何组织也不可能因为浏览器有安全问题,就宣传停止所有浏览器的使用,就地等候一个重要的安全补丁发布。这么说来,从浏览器安全bug被爆出之日起到这个bug被修复的这段时间内,大多数组织的浏览器都处于容易被攻击的状态。
2. 静默更新
静默的后台更新,虽然会增大受攻击的可能性,但应该说也能给用户带来很大的价值。为保证可用更新的快速应用,一些开发人员也开始实现自己的静默机制。
比如,谷歌就给自己的Chrome浏览器实现了一个静默更新功能17。用户无权禁用这个功能,以此保证及时提供所有更新,而不会被用户阻断。
这方面一个明显的例子,就是谷歌在Chrome中部署自己的PDF渲染引擎取代Adobe Reader。这确保了每个自动更新的Chrome都不再受制于这个第三方插件的更新进程。
这里面的确有问题。如果浏览器在后台更新和新增功能时出现问题,就可能增大每个浏览器的攻击面。这样所有组织的安全团队都不得不在某种程度上依赖浏览器的开发者,而在浏览器开发者对终端用户组织的需求还不够关注的情况下,这种依赖着实令人懊恼。
3. 扩展
扩展可以增强浏览器功能,而又不需要单独开发一款软件。但扩展可以影响浏览器加载的每一个页面,反过来,每个页面又会影响扩展。
每个扩展都可能成为攻击者的目标,因而它们会增大浏览器的攻击面。有时候,常见的XSS隐患也会通过扩展进入浏览器。关于扩展及其隐患,将在第7章讨论。
4. 插件
一般来说,插件就是能够独立于浏览器运行的软件。与扩展不同,浏览器只会在Web应用通过对象标签或Content-type首部包含它们的情况下,才会运行插件。
有些互联网功能离不开合适的插件,这也是浏览器支持增强插件功能的原因。比如,浏览器在访问Juniper等VPN网关时,就要使用Java小程序。
很多公司的业务都依赖于一批主流的浏览器插件,而有些插件以往就暴露出了一些隐患。在这种情况下,防御者要么选择使用包含隐患的插件,要么选择停办一些公司业务。
大部分插件都没有集中更新的机制。这意味着在某些情况下必须手工确保它们的使用安全,从而给防御带来了不可避免的负担和复杂性。
很多安全媒体都对插件给予负面的评价。由于一些固有的隐患,安全专家甚至建议组织清除所有这些插件。操作系统厂商也在采取措施,通过自己的自动更新机制禁用不安全的插件,禁用时间为不确定,或者至安全警报解除为止。
插件会大幅度增加攻击面。它们既能增强浏览器功能,又为黑客提供了攻击目标。第8章将深入探讨插件。
这个特殊的沙箱是浏览器安全的重要保障机制。考虑到在网络活动中的首要地位,浏览器实际上是连接互联网上不同资源区域的事实标准,因此也应该承担着维护和平的使命。为满足每个区域的需求,准许访问不同来源的自治功能相应泛滥。如果这些功能违背SOP,那么本来合法的功能就可能成为敌人,因为它们会穿越安全区。
移动网站会遭遇哪些安全风险
首先,从操作系统来看,这是移动网站天然不可避开的环境,因为目前以智能手机为代表的移动设备都是依靠Google公司开发的Android与苹果公司开发的iOS两大操作系统来驱动和主宰的。
然而,这两大主流操作系统却没有大家想象中的那样安全。Android因其开源的特性,被视为存在最大安全风险的系统,也被看作恶意软件最主要的集中平台。同样,苹果iOS系统本身也存在诸多漏洞,iCloud隐私泄露事件频出,包括之前有来自美国印第安纳大学、佐治亚理工学院和中国北京大学的六名研究人员称,他们在苹果iOS、Mac OS X操作系统里发现了一系列安全漏洞,这些漏洞可以导致用户的密码被窃取。
不管是手机上自带的浏览器还是软件商店下载的浏览器也大都是基于以上两种操作系统来使用的,而这些浏览器是访问移动网站的唯一通道和入口,因此,移动网站多多少少都会受到操作系统安全性的影响。
此外,不少移动网站或手机APP很容易被植入恶意插件,用户一旦下载并安装,这些软件就会强制联网,并且私自下载未知软件,窃取用户通讯录、短信、照片等隐私信息,还可能使用基于位置的服务推送特定的广告,造成用户流量的快速消耗。
在移动网络层,移动网站也有可能陷入公共或免费WiFi的潜伏的安全陷阱。如今很多智能手机用户都有这样的习惯:到一个地方先搜WIFI,所有这些WIFI热点并不完全是有安全保障的,有的WiFi热点是需要输入手机号码来获得手机验证码才能使用无线网络,曾经就有报道有用户连接到黑客伪造的WIFI热点,在输入手机号验证的过程中,手机上的数据信息轻而易举就被黑客窃取到了。
移动网站可能遭遇的安全风险还有一个很大且不容忽视的威胁,就是手机病毒。现在,智能手机因为覆盖用户广泛、承担的功能作用越来越多,逐渐成为各种病毒滋生扩散的温床。现在的手机病毒也已经不单单是应用内弹广告或者从后台上传用户隐私信息等,有的通过二维码扫描被恶意安装软件或植入代码,有的甚至跳到了用户的锁屏界面,更直接地勒索用户资费。据有关统计,现在,手机上诱骗欺诈类病毒居首位,且以扣取用户费用为主,通过消耗手机流量对用户造成一定的经济损失。
如何安装chrome快速安全通道插件
下载时空隧道插件打开【扩展程序】在谷歌浏览器的右上角,菜单中找到【更多工具】打开【扩展程序】页面拖放安装把下载的扩展包(FastStunnel.crx) 拖拽到【扩展程序】页(只能是这个页面)
