下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面 拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程序】頁（只能是這個頁面）

快速安全通道-Faststunnel是一款chrome內(nèi)核瀏覽器插件，提供國站加速服務(wù)。支持chrome、360瀏覽器、百度瀏覽器、獵豹瀏覽器、搜狗瀏覽器、QQ瀏覽器、搜狗瀏覽器等，為出國留學(xué)人員，外企外貿(mào)公司，創(chuàng)新創(chuàng)業(yè)團隊量身打造，簡單易用，無繁瑣配置，即裝即用。

方法

下載時空隧道插件

下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面 拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程序】頁（只能是這個頁面）

打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面

可是,任何組織也不可能因為瀏覽器有安全問題,就宣傳停止所有瀏覽器的使用,就地等候 快速應(yīng)用,一些開發(fā)人員也開始實現(xiàn)自己的靜默機制。比如,谷歌就給自己的Chrome瀏覽

拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程序】頁（只能是這個頁面）

使用的,而這些瀏覽器是訪問移動網(wǎng)站的唯一通道和入口,因此,移動網(wǎng)站多多少少都會受 安全性的影響。 此外,不少移動網(wǎng)站或手機APP很容易被植入惡意插件,用戶一旦下載并

安裝完成后瀏覽器會自動彈出注冊頁面，注冊后，進入郵箱激活即可登錄。

最佳答案下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程

擴展閱讀，以下內(nèi)容您可能還感興趣。

如何安裝chrome快速安全通道插件

下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面

拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程序】頁（只能是這個頁面）

如何安裝chrome快速安全通道插件

下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面

拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程序】頁（只能是這個頁面）

為什么說一個安全的瀏覽器抵得過全副武裝的安全措施？

瀏覽器安全概述

天生低調(diào)的瀏覽器卻肩負著保護用戶安全的重任。瀏覽器的工作機制，就是向整個互聯(lián)網(wǎng)請求指令，請求到以后幾乎不加任何質(zhì)疑地去執(zhí)行。瀏覽器之所以為瀏覽器，就是要忠實地匯聚遠程獲取的內(nèi)容，把它們組織*類可以辨識的形式，同時還要支持今天所謂的Web 2.0應(yīng)有的豐富功能。

但是作為一款軟件，瀏覽器又是如此重要：它不僅要幫你維護社交網(wǎng)絡(luò)，還要替你完成在線銀行的交易。這個軟件有義務(wù)保證你在網(wǎng)絡(luò)世界中的安全，無論你冒險闖入的是什么胡同街巷。這個軟件有義務(wù)支持你在一個標(biāo)簽頁里不知深淺的探險，同時又在另一個標(biāo)簽頁里進行重大涉密交易。很多人把自己的瀏覽器當(dāng)成裝甲車，認為自己能坐在里面安全舒適地觀察外面的世界，而不用擔(dān)心泄漏任何個人隱私，或者遭受任何威脅。等把這本書全看完，你就會明白這個假設(shè)是否成立了。

這款“無所不能”的神奇軟件的開發(fā)團隊，必須確保其龐大身軀的每個角落、每道接縫，都不給黑客留下可乘之機。不管你是否這么想過，實際上你每次使用瀏覽器，都默認信任了從未謀面（很可能這輩子永遠也不會見面）的一群人，相信這群人能夠保障你的重要信息不會被互聯(lián)網(wǎng)上的黑客竊取。

本章介紹Web瀏覽器攻防相關(guān)的方*。我們會討論瀏覽器在Web生態(tài)系統(tǒng)中扮演的角色，包括它與Web服務(wù)器之間的互動關(guān)系。此外，本章還會介紹一些瀏覽器安全基礎(chǔ)知識，為本書后續(xù)各章的內(nèi)容提供脈絡(luò)。

1.1　首要問題

請大家暫時忘掉瀏覽器，只想著眼前有一塊空白的安全畫布。假設(shè)你身處這么一種境況：你要對一家公司的安全負責(zé)，必須作出某些決策。你在決定部署某個軟件時，會不會考慮它可能面臨的風(fēng)險有多大？這個軟件必須在標(biāo)準(zhǔn)運行環(huán)境（Standard Operating Environment，SOE）中無差異地安裝到公司內(nèi)的幾乎所有機器上。人們要通過它來存取最敏感的數(shù)據(jù)，執(zhí)行最敏感的操作。這個軟件幾乎是公司每個員工的日常工具，包括CEO、董事會成員、系統(tǒng)管理員、財務(wù)、人力資源，甚至你們的客戶。鑒于它對公司的核心業(yè)務(wù)數(shù)據(jù)擁有如此高的權(quán)限，毫無疑問會成為黑客的理想攻擊目標(biāo)，因而面臨極大風(fēng)險。

這個軟件的設(shè)計規(guī)格大致是這樣的。

它要向互聯(lián)網(wǎng)請求指令，然后執(zhí)行獲取的指令。

防御者無法控制這些指令。

某些指令會要求這個軟件從以下來源再次請求其他指令：

互聯(lián)網(wǎng)的其他地方；

內(nèi)部網(wǎng)的其他地方；

非標(biāo)準(zhǔn)的HTTP和HTTPS TCP端口。

某些指令會要求這個軟件通過TCP發(fā)送數(shù)據(jù)。這可能會造成對其他聯(lián)網(wǎng)設(shè)備的攻擊。

它會與互聯(lián)網(wǎng)中任意服務(wù)器進行加密通信。防御者無法看到通信內(nèi)容。

它會不斷向攻擊者暴露攻擊目標(biāo)。它會在后臺靜默更新。

它經(jīng)常會依賴插件獲得某些功能。沒有統(tǒng)一的機制更新這些插件。

此外，對這個軟件的相關(guān)研究表明：

插件一般來說都不如核心軟件本身安全；

這個軟件的每個變體都有文檔載明的漏洞；

一份安全情報報告（Security Intelligence Report）得出結(jié)論，說這個軟件是企業(yè)最大的威脅。

1. 瀏覽器沙箱

很多層面都可以使用沙箱機制。比如，可以應(yīng)用在內(nèi)核級別，把不同用戶隔離開；可以應(yīng)用在硬件級別，實現(xiàn)內(nèi)核與用戶空間的權(quán)限分離。

瀏覽器沙箱屬于用戶空間程序中最高層次的沙箱，它隔離的是操作系統(tǒng)賦予瀏覽器的權(quán)限和在瀏覽器中運行的子進程的權(quán)限。

要想完全拿下瀏覽器，至少要兩步。第一步是找到瀏覽器功能上的漏洞，第二步就是突破沙箱。后者也叫繞開沙箱（sandbox bypass）。

在有的瀏覽器中，沙箱策略體現(xiàn)在用不同的進程打開不同的網(wǎng)站，讓惡意網(wǎng)站很難影響其他網(wǎng)站乃至操作系統(tǒng)。這種沙箱同樣也應(yīng)用于插件和擴展，比如把PDF渲染進程獨立出來。

繞開沙箱能夠得逞，通常是因為編譯后的代碼種類龐雜，而且攻擊者企圖破壞整個進程。這種情況下沙箱有效性的標(biāo)志就是它能否通過檢驗，即能否阻止被破壞的執(zhí)行路徑取得全部進程的權(quán)限。

2. IFrame沙箱

作為一種機制，可以使用IFrame顯示來自不同來源不被信任的內(nèi)容，有時候也可以用于顯示來自相同來源但不被信任的內(nèi)容。比如，的社交媒體部件13就是一個例子。利用IFrame干壞事并不新鮮，瀏覽器廠商很長時間以來一直致力于設(shè)置各種防范措施，降低這個家伙對瀏覽器造成的威脅。

HTML5規(guī)范也提出了一個IFrame沙箱建議，而且已經(jīng)被現(xiàn)代瀏覽器支持。開發(fā)者對它只有最低限度的權(quán)限。沙箱IFrame指的是給這個嵌入的幀添加一個HTML5屬性。

添加這個屬性后，就不能在其中使用表單、執(zhí)行腳本，也不能導(dǎo)航到頂層頁面，而且只能限于與一個來源通信。施加于每一個父框架的*，都會被嵌在其中的子框架自動繼承。

1.3.4　反網(wǎng)絡(luò)釣魚和反惡意軟件

通過偽造在線內(nèi)容（包括電子郵件）竊取證書等個人信息的行為，一般稱為網(wǎng)絡(luò)釣魚（phishing）。很多組織都會公布釣魚網(wǎng)站的信息，而現(xiàn)代瀏覽器可以利用這些信息。

瀏覽器會在訪問網(wǎng)站時，將其與惡意站點名單進行對照。如果檢測到要訪問的網(wǎng)站是一個釣魚網(wǎng)站，瀏覽器就會采取措施。相關(guān)內(nèi)容將在第2章介紹。

類似地，服務(wù)器也可能在所有者未察覺的情況下被利用，或者有人專門運行這種服務(wù)器，托管著一些利用瀏覽器的隱患內(nèi)容。這些網(wǎng)站會*用戶手工下載和執(zhí)行軟件，從而繞過瀏覽器防御措施。

關(guān)于托管有惡意代碼的惡意網(wǎng)站，有很多組織都提供了相應(yīng)的黑名單。瀏覽器可以直接引用，以便實時檢測14。

1.3.5　混入內(nèi)容

所謂混入內(nèi)容（mixed content）網(wǎng)站，是指某個來源使用HTTPS協(xié)議，然后又通過HTTP請求內(nèi)容。換句話說，所有頁面內(nèi)容都不是通過HTTPS發(fā)送的。

不通過HTTPS傳輸?shù)膬?nèi)容有可能被修改，使得任何加密數(shù)據(jù)的措施形同虛設(shè)。如果通過未加密的通道傳輸?shù)氖悄_本，那么攻擊者就可能在數(shù)據(jù)流中注入指令，進而破壞瀏覽器與服務(wù)器間的交互。

1.4　核心安全問題

瀏覽器安全特性的一度擴張，奠定了如今既廣闊又復(fù)雜的局面。傳統(tǒng)網(wǎng)絡(luò)安全一般依賴外圍或邊界防御設(shè)施的部署與維護，比如防火墻。隨著時間推移，這些設(shè)備似乎要把除了基本流量之外的一切都過濾掉。

對網(wǎng)絡(luò)的管控雖然越來越嚴密，但訪問信息的需求一點沒有減少，投入實際使用的Web技術(shù)（相當(dāng)多流量走的都是80或443端口）也越來越多。實際上，防火墻非常有效地起到了限流的作用，而只給我們剩下了HTTP流量。日益增多的SSL VPN技術(shù)取代過去的IPSEC VPN的應(yīng)用就是一個很好的例子。

當(dāng)然，防火墻所做的就是把所有網(wǎng)絡(luò)流量都歸總到兩個端口上：80和443。這樣的流量遷移極大依賴于瀏覽器的安全模型。

接下來我們討論一下瀏覽器安全的基本情況，以及攻防之中的有利和不利因素構(gòu)成的復(fù)雜局面。特別地，我們會專注于為什么Web流量沒有被*住，反而為各種攻擊提供了可能性。

1.4.1　攻擊面

攻擊面（attack surface）不是個新概念，它指的是瀏覽器容易遭受未信任來源攻擊影響的范圍。這樣說來，最小的情況下，瀏覽器的渲染引擎就是問題所在。瀏覽器的攻擊面是越來越大了，畢竟大量的API和各種存取數(shù)據(jù)的抽象功能也在與日俱增。

相反，網(wǎng)絡(luò)的攻擊面很大程度上已經(jīng)受到了嚴密控制。接入點和受控流量的概念已經(jīng)深入人心，而改變控制流程，結(jié)果就會不一樣。比如，訪問防火墻不同端口流量可以通過人們熟悉的方法得到輕易驗證和*。

很少聽說瀏覽器廠商會刪減瀏覽器功能的，倒是經(jīng)常會聽到宣傳說某某瀏覽器又增加了什么功能之類的。與多數(shù)產(chǎn)品一樣，削弱功能的同時還要維護向后兼容并沒有什么可以預(yù)見的好處。而隨著功能不斷增多，攻擊面勢必也越來越大。

現(xiàn)代瀏覽器的更新都采用后臺自動和靜默方式。有時候，攻擊面的變化是防御者意識不到的。某些情況下，這是一個好現(xiàn)象。可是，對一個成熟和可靠的安全團隊而言，這樣往往會造成更多麻煩，而不是帶來更多好處。

然而，也很少有哪個組織，其安全團隊成員敢說自己在瀏覽器防御方面非常有經(jīng)驗。即使這個軟件是最值得信任的軟件之一，它也仍然對互聯(lián)網(wǎng)暴露著自己最大的攻擊面。

1. 升級速度

瀏覽器安全團隊不一定會與組織的步調(diào)一致。更常見的情況是，希望維持自己安全形象的廠商卻無力修復(fù)瀏覽器的問題。

修復(fù)瀏覽器的安全bug常常被開發(fā)者排在最低優(yōu)先級，這與安全社區(qū)的期望恰恰相反。2013年1月，隨著Firefox 18.0的發(fā)布，Mozilla吹噓15自己修復(fù)了一個混入內(nèi)容的問題，也就是說，使瀏覽器在來源使用HTTPS協(xié)議時，不能加載HTTP內(nèi)容。如果我告訴你Firefox的這個bug早在2000年12月就被人發(fā)現(xiàn)了16，你會作何感想？也許這是一個極端的例子，但瀏覽器安全bug被漠視的情況由此可見一斑。

從終端用戶對瀏覽器安全升級沒有發(fā)言權(quán)這一點來說，瀏覽器與其他軟件也沒有什么差別。可是，任何組織也不可能因為瀏覽器有安全問題，就宣傳停止所有瀏覽器的使用，就地等候一個重要的安全補丁發(fā)布。這么說來，從瀏覽器安全bug被爆出之日起到這個bug被修復(fù)的這段時間內(nèi)，大多數(shù)組織的瀏覽器都處于容易被攻擊的狀態(tài)。

2. 靜默更新

靜默的后臺更新，雖然會增大受攻擊的可能性，但應(yīng)該說也能給用戶帶來很大的價值。為保證可用更新的快速應(yīng)用，一些開發(fā)人員也開始實現(xiàn)自己的靜默機制。

比如，谷歌就給自己的Chrome瀏覽器實現(xiàn)了一個靜默更新功能17。用戶無權(quán)禁用這個功能，以此保證及時提供所有更新，而不會被用戶阻斷。

這方面一個明顯的例子，就是谷歌在Chrome中部署自己的PDF渲染引擎取代Adobe Reader。這確保了每個自動更新的Chrome都不再受制于這個第三方插件的更新進程。

這里面的確有問題。如果瀏覽器在后臺更新和新增功能時出現(xiàn)問題，就可能增大每個瀏覽器的攻擊面。這樣所有組織的安全團隊都不得不在某種程度上依賴瀏覽器的開發(fā)者，而在瀏覽器開發(fā)者對終端用戶組織的需求還不夠關(guān)注的情況下，這種依賴著實令人懊惱。

3. 擴展

擴展可以增強瀏覽器功能，而又不需要單獨開發(fā)一款軟件。但擴展可以影響瀏覽器加載的每一個頁面，反過來，每個頁面又會影響擴展。

每個擴展都可能成為攻擊者的目標(biāo)，因而它們會增大瀏覽器的攻擊面。有時候，常見的XSS隱患也會通過擴展進入瀏覽器。關(guān)于擴展及其隱患，將在第7章討論。

4. 插件

一般來說，插件就是能夠獨立于瀏覽器運行的軟件。與擴展不同，瀏覽器只會在Web應(yīng)用通過對象標(biāo)簽或Content-type首部包含它們的情況下，才會運行插件。

有些互聯(lián)網(wǎng)功能離不開合適的插件，這也是瀏覽器支持增強插件功能的原因。比如，瀏覽器在訪問Juniper等VPN網(wǎng)關(guān)時，就要使用Java小程序。

很多公司的業(yè)務(wù)都依賴于一批主流的瀏覽器插件，而有些插件以往就暴露出了一些隱患。在這種情況下，防御者要么選擇使用包含隱患的插件，要么選擇停辦一些公司業(yè)務(wù)。

大部分插件都沒有集中更新的機制。這意味著在某些情況下必須手工確保它們的使用安全，從而給防御帶來了不可避免的負擔(dān)和復(fù)雜性。

很多安全媒體都對插件給予負面的評價。由于一些固有的隱患，安全專家甚至建議組織清除所有這些插件。操作系統(tǒng)廠商也在采取措施，通過自己的自動更新機制禁用不安全的插件，禁用時間為不確定，或者至安全警報解除為止。

插件會大幅度增加攻擊面。它們既能增強瀏覽器功能，又為黑客提供了攻擊目標(biāo)。第8章將深入探討插件。

這個特殊的沙箱是瀏覽器安全的重要保障機制。考慮到在網(wǎng)絡(luò)活動中的首要地位，瀏覽器實際上是連接互聯(lián)網(wǎng)上不同資源區(qū)域的事實標(biāo)準(zhǔn)，因此也應(yīng)該承擔(dān)著維護和平的使命。為滿足每個區(qū)域的需求，準(zhǔn)許訪問不同來源的自治功能相應(yīng)泛濫。如果這些功能違背SOP，那么本來合法的功能就可能成為敵人，因為它們會穿越安全區(qū)。

移動網(wǎng)站會遭遇哪些安全風(fēng)險

首先，從操作系統(tǒng)來看，這是移動網(wǎng)站天然不可避開的環(huán)境，因為目前以智能手機為代表的移動設(shè)備都是依靠Google公司開發(fā)的Android與蘋果公司開發(fā)的iOS兩大操作系統(tǒng)來驅(qū)動和主宰的。

然而，這兩大主流操作系統(tǒng)卻沒有大家想象中的那樣安全。Android因其開源的特性，被視為存在最大安全風(fēng)險的系統(tǒng)，也被看作惡意軟件最主要的集中平臺。同樣，蘋果iOS系統(tǒng)本身也存在諸多漏洞，iCloud隱私泄露事件頻出，包括之前有來自美國印第安納大學(xué)、佐治亞理工學(xué)院和中國北京大學(xué)的六名研究人員稱，他們在蘋果iOS、Mac OS X操作系統(tǒng)里發(fā)現(xiàn)了一系列安全漏洞，這些漏洞可以導(dǎo)致用戶的密碼被竊取。

不管是手機上自帶的瀏覽器還是軟件商店下載的瀏覽器也大都是基于以上兩種操作系統(tǒng)來使用的，而這些瀏覽器是訪問移動網(wǎng)站的唯一通道和入口，因此，移動網(wǎng)站多多少少都會受到操作系統(tǒng)安全性的影響。

此外，不少移動網(wǎng)站或手機APP很容易被植入惡意插件，用戶一旦下載并安裝，這些軟件就會強制聯(lián)網(wǎng)，并且私自下載未知軟件，竊取用戶通訊錄、短信、照片等隱私信息，還可能使用基于位置的服務(wù)推送特定的廣告，造成用戶流量的快速消耗。

在移動網(wǎng)絡(luò)層，移動網(wǎng)站也有可能陷入公共或免費WiFi的潛伏的安全陷阱。如今很多智能手機用戶都有這樣的習(xí)慣：到一個地方先搜WIFI，所有這些WIFI熱點并不完全是有安全保障的，有的WiFi熱點是需要輸入手機號碼來獲得手機驗證碼才能使用無線網(wǎng)絡(luò)，曾經(jīng)就有報道有用戶連接到黑客偽造的WIFI熱點，在輸入手機號驗證的過程中，手機上的數(shù)據(jù)信息輕而易舉就被黑客竊取到了。

移動網(wǎng)站可能遭遇的安全風(fēng)險還有一個很大且不容忽視的威脅，就是手機病毒。現(xiàn)在，智能手機因為覆蓋用戶廣泛、承擔(dān)的功能作用越來越多，逐漸成為各種病毒滋生擴散的溫床。現(xiàn)在的手機病毒也已經(jīng)不單單是應(yīng)用內(nèi)彈廣告或者從后臺上傳用戶隱私信息等，有的通過二維碼掃描被惡意安裝軟件或植入代碼，有的甚至跳到了用戶的鎖屏界面，更直接地勒索用戶資費。據(jù)有關(guān)統(tǒng)計，現(xiàn)在，手機上誘騙欺詐類病毒居首位，且以扣取用戶費用為主，通過消耗手機流量對用戶造成一定的經(jīng)濟損失。

如何安裝chrome快速安全通道插件

下載時空隧道插件打開【擴展程序】在谷歌瀏覽器的右上角，菜單中找到【更多工具】打開【擴展程序】頁面拖放安裝把下載的擴展包（FastStunnel.crx） 拖拽到【擴展程序】頁（只能是這個頁面）
聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時與本網(wǎng)聯(lián)系，我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:[email protected]