浏览器安全

0x01 Google Chrome隐私安全设置

Chrome隐私安全设置主要是针对内容设置方面，内容设置板块中包括了八个方面的设定项目，对于这八个方面涉及到了Cookie、位置、摄影机、麦克风、动作感应器、通知、JavaScript、Flash、图片、弹窗式视窗与重新定向、广告、背景同步处理、处理程序、插件等。

每个设置选项，都对应提供了“管理例外情况”选项，即Chrome浏览器赋予用户去修改内容设置的配置权限，用户可以根据个人的偏好来完成设定，以保证既能使用户安全使用浏览器，又能符合个人偏好，如图1-18所示。

谷歌右上角【...】按钮——>点击【设定】按钮——>【隐私权和安全性】栏下，点击【网站设定】——>进入【网站设定】后再【权限】栏下面所涉及的功能依照个人需求来配置。

选择右上角【...】按钮

点击【网站设定】按钮

这里演示一下某个功能的演示，这里就演示一下Cookie的安全设置好勒

首先点击【权限】栏下点击Cookie

进入后，按照个人需求来配置

0x02 Firefox 火狐浏览器安全设置

安装No Script安全插件，在No Script里面设置，禁止Java/Adobe Flash/Silverlight/其他插件/IFRAME等项目。选择“对受信任站点仍然应用这些限制”。

这些设置不会影响浏览器正常使用，No Script 只允许在信任域(例如家庭网络)上执行 JavaScript、Java(和其他插件)。保护“信任边界”不受XSS攻击、跨区的DNS重新绑定/CSRF攻击（路由器黑客）和点击劫持尝试。它的白名单基于抢先阻止机制，在不损失任何功能的前提下，防止利用已知或未知安全漏洞的攻击。

首先还是打开火狐浏览器然后找到工具-附加组件-然后搜noscript，如图，点击安装，后需要重新启动火狐浏览器

隐私设置。避免浏览器记录浏览历史和Cookies等信息，在选项，隐私中选择不跟踪或部分跟踪的选项，如下图所示

0x03 IE内核浏览器安全设置

IE自从Internet Explorer4.0版本发布后，引入安全区域这个概念。

IE中的四个安全区域：Internet、本地Intranet、受信任的站点、受限制的站点等四类。用户可以将不同站点划分到这四个安全区域中，采取不同的安全策略。

Cookie是储存在计算机硬盘上的小文本文件，这个文件保存了用户信息和访问站点的详细信息。因此Cookie如果被某些网站或恶意代码在未经用户许可的情况下夺取，将造成很大的安全隐患，导致敏感数据泄露。

Active控件是指基于标准COM接口来实现对象连接与嵌入、能嵌入到IE中执行、以OCX为扩展名的OLE控件。使用Active控件可以轻松方便的在Web页中插入多媒体效果、交互式对象、以及复杂程序，提高了Web程序的功能。但是由于Active控件具有客户端的文件读写、系统命令执行等权限，所以恶意的ActiveX控件对客户端危害极大。IE可以针对ActiveX控件的下载、使用进行控制，包括设置只能使用经过签名的、安全的Active控件等功能。

Cookies管理。“Cookies”是由网络服务器发送出来以存储在网络浏览器上，便于下次同一访客又访问该网络服务器所使用的信息。Cookies最典型的应用是判定注册用户是否已经登录网站，用户可能会得到提示，是否在下一次进入此网站时保留用户信息以便简化登录手续，这些都是Cookies的功用。另一个重要应用场合是“购物车”之类的应用。用户可能会在一段时间内在同一家网站的不同页面中选择不同的商品，这些信息都会写入Cookies，以便在最后付款时提取信息。Cookies可以保持登录信息到用户下次与服务器的会话，还有一些Cookie在用户退出会话的时候就被删除了，这样可以有效保护个人隐私。

打开IE浏览器，点击“工具”→“Internet 选项”→“隐私”，这里设定了“阻止所有Cookie”、“高”、“中高”、“中”、“低”、“接受所有Cookie”六个级别(默认为“中”)，拖动滑块就可以方便地进行设定，点击“站点”，可以对特定网站设定允许或拒绝它们使用Cookie，如下图所示。

为不同区域的Web内容指定安全级别设置。包括Internet和本地Intranet，还可以设置受信任的站点和受限制的站点，以此来管理本地计算机和Internet的安全访问，如下图所示。

禁用或限制使用Java程序及ActiveX控件。在网页中经常使用Java、Java Applet、ActiveX编写的脚本，它们可能会获取用户标识、IP地址、口令，甚至会在计算机上安装某些程序或进行其他操作，因此应对Java、Java小程序脚本、ActiveX控件和插件的使用进行限制。

选择“自定义级别”，设置“ActiveX控件和插件”、“Java”、“脚本”、“下载”、“用户验证”以及其它安全选项。对于一些不太安全的控件或插件以及下载操作，应该予以禁止、限制，至少要进行提示，如下图所示。

调整自动完成功能的设置。缺省条件下，用户在第一次使用Web地址、表单、表单的用户名和密码（口令）后，同意保存密码（口令），在下一次再进入同样的Web页及输入密码（口令）时，只需输入前面部分，后面的就会自动完成，给用户带来了方便，但同时也留下了一些安全隐患，不过用户可以通过调整“自动完成”功能的设置来解决。方法如下:依次点击“Internet选项”→“内容”→“自动完成设置”，打开“自动完成设置”对话框，选中要使用的“自动完成”复选项，如图4所示。