我們正試圖分析一些MVC應用中的一些攻擊媒介,我們正在考慮編寫一些代碼來阻止用戶使用我們認爲太不安全的瀏覽器[版本]訪問我們的網站。哪些瀏覽器版本被認爲太不安全?
例如,任何低於IE 7的內容都將被禁止訪問我們的網站。
任何未實施HttpOnly cookie或具有嚴重已知洞/腳本問題的瀏覽器[+版本]都將出現在我們的觀察列表中。
如果沒有對所有版本的IE完全不安全(!)的明顯的諷刺評論,哪些瀏覽器和/或版本會被認爲是有風險的? IE瀏覽器往往會得到所有不好的新聞,但Chrome的第1版或Safari的第3版等呢?
老實說我還是覺得最不安全的瀏覽器就是IE。 IE有很多崩潰和很多代碼執行錯誤。在2012年的最後幾天,發現藍天0天的bug被野外利用。但我不記得上次的bug,我已經看到它在Windows 7中成功執行shellcode並且啓用了DEP和ASLR。那幾天幾乎過去了Firefox和Chrome。特別是鍍鉻沙盒非常安全。我見過只有Vupen在1年前發現了在Chrome中執行代碼的0天vourrability。
你可以看到每個產品每年的漏洞列表,你也會看到bug的分類。 http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
將產品更改爲Chrome,Internet Explorer和Safari。
另外IE真的很容易受到第三方插件的攻擊,您可以在IE上更輕鬆地實現代碼執行。
如果您有更具體的問題,請詢問。
感謝您的回覆。您提供的鏈接非常有用,幷包含大量優秀的信息。我很欣賞你對IE的評論,但事實是我們不能僅僅禁止IE瀏覽器!我們簡單地禁止了IE 7並返回。除IE之外,您建議我們禁止哪些主流瀏覽器的版本? – SimonGoldstone