是的，这是一个很好的、务实的方法，应该为他可能面临的许多威胁提供合理的安全级别。它并不完美（例如，它不会阻止他访问的站点通过 HTTP 包含外部资源），但对于大多数用途（包括在线银行）来说可能已经足够了。

如果他使用 Firefox，如果他可以安排他的可引导 Linux CD 上的 Firefox 副本安装了 HTTPS Everywhere 扩展，那将是一个不错的补充。HTTPS Everywhere 旨在帮助您访问可通过 HTTPS 访问的流行站点的 HTTPS 版本。但这可能是不必要的，这取决于他的习惯。例如，如果他只查看一两个网站，并且总是小心地在地址栏中输入“https”，那么 HTTPS Everywhere 可能是不必要的。

如果他还需要保护他的隐私或匿名性，他可能会考虑使用 Tor 的 Live CD，它与 Tor 捆绑在一起以实现匿名性。

PS 另请参阅Secure Linux Desktop上的问题。

WPA2-Personal 与弱密码一起使用时容易受到暴力攻击。使用足够长的随机密码或使用非常长的密码可以提供一些针对此类攻击的保护。此外，定期查看 WiFi 路由器的日志将有助于检测恶意使用。

保留用于高价值会话的 SSL 证书指纹的书面记录或打印页面。将此限制在极少数站点，并在执行任何关键操作之前检查 SSL 指纹。

对于银行业务和金融交易的保护，将超过一定金额的交易限制在分行。这将限制单一交易的责任。另一个有用的预防措施是要求银行拨打您的家庭/手机号码以验证超过一定金额的交易。我同意@gowenfawr 的建议，将在线功能限制为查看账户余额，并且不允许从在线会话发起转账。

@DW 的回复很好。他确实提到了网站可能会将您重定向到 HTTPS，如果用户错误地直接输入了 HTTP URL（毕竟它们是默认值），他最终会收到未加密的请求。正如 DW 所指出的，HTTPS Everywhere 有很大帮助，但它并不完美。

解决问题的另一种方法（取决于您朋友的需求）可能是在某个地方以 20 美元/月的价格获得一个 VPS，然后在该服务器上运行 OpenVPN（当然，禁用拆分隧道），然后对所有浏览进行 NAT通过该服务器的流量。这应该在 DNS 解析方面提供一定程度的安全性，以及在计算机和 OpenVPN VPS 之间的数据包路径中防止他人窥探的隐私。

提问者没有说嗅探器阻力是否是一个主要问题，所以这可能完全不合时宜，但这种设置过去对我来说效果很好。

从 CD 引导时，更难使用最新的安全补丁。

使用只读操作系统确实可以防止许多攻击，并且特别适用于使用相对较小的软件库且没有获得很多安全更新的服务器部署。

但是当整个 X11 以及桌面和浏览器堆栈都被拉进来时，安全更新的频率变得更大，每次更新时重新刻录 CD 的开销可能会失控。许多银行网站也依赖闪存。

从带有物理只读开关的 USB 记忆棒或其他更容易保持更新的媒体启动可能会更容易。

Google 的 Chrome 操作系统和相关的 Chromium 操作系统相对较新，但如果您有合适的硬件，它可能是一个不错的选择。在受支持的硬件上，它利用 TPM 保护来更方便地验证启动完整性，并具有许多其他良好的强化功能。

参见例如

• Google Chrome 博客：Chromebook 安全性：浏览更安全
• 安全概述 - Chromium 项目

但是请注意，仍然存在风险，并且该项目还很年轻。例如，2011 Blackhat 会议上有一个关于扩展错误和 XSS 如何仍然导致严重的安全漏洞的演讲：

• MATT JOHANSEN + KYLE OSBORN - 破解 Google Chrome OS