如果您真的关心安全性,是时候更新了
所以如果我需要的所有其他软件和功能都可以在 32 位操作系统上运行,我猜升级的唯一原因是浏览器的安全性?您能解释一下为什么在以下情况下应将浏览器安全放在首位:
我希望这不是过度自信效应。我希望我不会过度自信,因为我没有过度自信的效果。
与往常一样,统计数据或案例研究可能会增加答案的说服力。
你能解释一下为什么浏览器安全应该放在首位吗?
因为浏览器正在处理来自互联网的大量不受信任的内容。
当然,如果您使用任何其他执行此操作的程序(例如 Mail 客户端、Office 程序、PDF 阅读器),您也应该保持更新,因为这些程序中的漏洞也是常规攻击媒介。
.. 我访问的大多数网站都有 SSL 证书,
SSL 证书没有说明您在站点中可以拥有的信任。HTTPS 仅防止在传输过程中对流量的嗅探修改。HTTPS 站点可以像普通 HTTP 站点一样为恶意软件提供服务。
除此之外,“大多数网站”与“所有网站”不同。
我能闻到可疑的网站吗?
即使您可能对自己嗅探 URL 看起来可疑的网站的能力充满信心(这实际上可能是过度自信),但我很确定您不会预先知道您经常访问的网站是否被黑客入侵并提供恶意软件(即水坑攻击或其他类型的黑客攻击高声誉网站以增加受害者数量),或者如果它正在提供网站本身无法控制的恶意广告(即恶意广告)。
编辑:
在我写完答案后,OP 在问题中添加了以下内容:
它们中的大多数要么足够大,我可以相信它们不会被黑客入侵,...
太大而不能被黑客入侵?虽然大型网站通常采用比小型网站更好的安全性,但这并不意味着它们是不可破解的。拥有大量客户的网站对于攻击者来说尤其是一个有利可图的目标,因为这也意味着很多潜在的受害者。一些例子: ......福布斯上的恶意广告......或......纽约时报和英国广播公司受到“勒索软件”恶意广告或研究:三分之一的顶级网站易受攻击或被黑客攻击。
...或者足够小,我认为这对黑客来说没有利润,...
太小不能被黑客入侵?这也不是真的:攻击者使用自动化工具大量入侵不安全的 CMS 安装,例如 WordPress 或 Django,即以这种方式接管易受攻击的站点非常便宜。
并非您访问的所有网站都有证书。你不能闻到可疑的网站。证书并不意味着该网站没有试图破解您。
浏览器是针对您计算机的最大攻击媒介。它至少会倾向于运行未经审查的 JavaScript 代码,天知道还有什么。它不断处理来自不受信任来源的数据。
您的每个陈述都在这里做出错误的假设:
这很好,但 SSL/TLS 只能保护您免受某些类型的攻击。
几乎,拥有(有效)TLS 证书的网站仅仅意味着该网站的所有者以某种方式证明了对用于访问该网站的域名的所有权,可能为此花费了大量资金(或可能不花钱)。通常,这意味着您可以相信该网站就是他们所说的那样,除非域欺骗(我将在回应您的第三点时对此进行介绍)。但是,这可能并不意味着(例如,请参阅今年早些时候赛门铁克发布的所有内容都被撤销/不受信任的惨败)。因此,TLS 证书实际上只是验证站点所有权,而不是验证站点是否合法或他们正在做他们所说的事情。
TLS 证书提供了更多保护优势,它们允许您使用 HTTPS。如果正确使用, HTTPS 正好提供两种类型的保护:
这仍然使您容易受到很多攻击。最明显的是网络服务器被黑客入侵(或者如果他们使用的是 CDN)。还有其他一些,比如 XSS 攻击、恶意广告(想想所有完全合法的网站,因为它们使用的广告隐藏了对恶意网站的自动重定向),以及对 TLS 本身的攻击(这些攻击是为什么不明智的运营商仍然使用 SSLv2 或 SSLv3,两者都已知已损坏)。因此,HTTPS/TLS/SSL 本身并不是严格的保护。
此外,正如您自己所说,您访问的大多数网站都使用 TLS,而不是全部。仔细想想你是否真的应该信任那些不使用它的其他网站,如果他们不愿意花五分钟时间用 LetsEncrypt 的免费证书设置他们的服务器,他们在哪些其他方面的安全性方面偷工减料在?
在过去的十年里,你没有看过任何新闻吗?仅就公开披露而言,对拥有超过 1亿用户的网站(根据大多数人的定义,这是一个很大的网站,因为 1 亿是世界人口的 1% 以上,可能接近 3-互联网用户总数的 4%)。我建议看一下“我被控制了吗?”上的公开违规列表。,那里有很多大牌,包括处理非常敏感数据的大牌(例如 Experian)。所以,不,期望某些东西“太大而不能被黑客入侵”是不现实的。事实上,大型网站是攻击者最有吸引力的目标之一,因为它们有很多的用户。他们在公开披露安全漏洞方面也有着臭名昭著的不良记录(他们有更多的动机不这样做,因为他们有更多的潜在客户会失去)。
另一方面,小型网站很容易成为目标,即使没有吸引力。如果您认为大型网站是黑客的高风险投资,那么小型网站就是低风险投资。他们可能不会在回报方面给予那么多,但他们通常会给予更一致的回报,所以他们仍然是有吸引力的目标。
此外,请考虑攻击者经常针对易受攻击的软件,不一定是特定站点。WordPress 就是一个很好的例子,因为它在大大小小的网站上都使用过,并且过去曾多次成功地用作攻击媒介。
首先,仅仅因为网站不是“可疑”并不意味着它不是威胁。根据许多人的定义,还有不少合法网站看起来“可疑”。
其次,复制一个合法的网站并不难,但仍然会用结果做非法的事情。为此,经常使用各种形式的域欺骗。不久前,在一个大型 infosec 网站上有一篇相当不错的博客文章(不幸的是,我现在找不到,否则我会在这里链接它)用 apple.com 展示了这一点。
作为您需要注意但可能无法发现的事物类型的示例,您能说出 uv 和 υν 之间的区别吗?不,这不是一个技巧问题,第一个是小写的拉丁字母“u”和“v”,而第二个是小写的希腊字母 upsilon 和 nu。在大多数无衬线字体中(就像几乎所有浏览器在地址栏中使用的字体,以及大多数 SE 子站点上的默认字体),这两对字符几乎无法区分。即使在许多衬线字体中,大多数人也很难区分它们。同样,АВ 实际上是一对西里尔字符,而不是拉丁语,在大多数字体中与拉丁语“AB”再次无法区分。这两个案例都说明了 IDN 同形异义词攻击的示例,攻击者利用这种技术利用看起来相似或相同的不同字符的相似性,通过使他们看起来像合法网站的链接来诱骗人们跟踪他们的链接。
几乎不要假设您将能够识别一个威胁的站点,直到为时已晚。
由于还没有人指出这一点:
杀毒软件远没有你想象的那么有用。事实上,如果您询问安全专家,保持安全的主要建议将是更新您的所有软件,而不是运行防病毒软件的建议——这正是您打算不做的事情。
为什么?防病毒软件所做的只是阻止已知的旧流行病。然而,大多数成功的广泛攻击只是创建新病毒并使用时间窗口,直到防病毒软件更新以传播。防病毒软件不是灵丹妙药,它只检测它所知道的(有行为检测,但对任何 AV 软件都不是很有效),因此针对新的攻击,它只会帮助减少入侵机会。到目前为止,攻击者最便宜的入侵机会是过时的浏览器或核心系统。
所以,是的,如果您完全关心计算机上的任何数据,那么您的浏览器必须是最新的,这一点至关重要。是否有防病毒软件实际上并不重要——它确实有一点帮助,但如果您的浏览器或核心系统已经过时,它不会帮助您抵御大多数新的攻击。
旁注:如果您运行沙盒浏览器,这可能会有所不同。但是,除非您知道那是您正在做的事情,否则您很可能不会这样做。而且我不确定 32 位是否支持任何常见的沙盒解决方案,例如 UWP/Windows App Store。此外,在这种情况下,网站可能仍然能够从所有其他打开的网站(包括您的银行网站选项卡)中窃取数据。所以这并不理想。