次要问题:通常,浏览器将停止支持废弃的操作系统多长时间?相关代码:
相关:为什么要优先考虑浏览器安全?
仅供参考:攻击面-维基百科
#1 楼
即使在使用现代浏览器的情况下也不要使用过时的操作系统。假设那天之后我仍然使用更新的浏览器,那我是否仍然安全? >
不,您不能仅通过更新浏览器来避免基于浏览器的安全漏洞。这有几个原因。首先,浏览器不是完全独立的。它利用了操作系统库,例如系统内存分配器。此分配器旨在减轻与内存损坏相关的各种安全问题。如果分配器未保持最新状态,则无论浏览器是否处于最新状态,都可能更容易针对浏览器执行内存利用错误。
另一个原因是浏览器的安全性通常取决于操作系统。沙箱功能。必须将强大的浏览器利用与所谓的沙箱转义结合起来。转义的难易程度取决于操作系统的安全性以及浏览器的安全性。通过使用过时的操作系统,您的浏览器受到了过时的和可能脆弱的安全功能的保护。
它可以“修补”基于OS的安全漏洞吗?
不。修补操作系统漏洞需要提升的特权,而浏览器则没有。即使这样做,浏览器也不旨在修改系统设置或系统文件。没有可用来修补操作系统中的安全漏洞的扩展程序或网页。
次要问题:通常,浏览器将停止支持废弃的OS多长时间?
浏览器供应商通常在停止正式支持特定操作系统时发布。在那之后,对浏览器所做的更改在较旧的系统上可能无法正常运行,因此不再视为错误,也可能无法修复。但是,程序通常会在较旧的系统上运行很长时间。他们只有在开始依赖较旧版本中不存在的较新系统API时才停止工作。这是相对罕见的。浏览器应该能够在过时的操作系统上运行很多年,尽管不是很安全,并且无需供应商的官方支持。最有可能的是,由于它开始依赖更新的API,浏览器中的功能将开始一个接一个地断开(尤其是与安全性相关的功能),直到最终根本无法启动。
评论
回复:“没有可扩展的扩展程序或网页可以修补操作系统中的安全漏洞”。好吧...可能有。但是,他们可能最终会修补任何安全漏洞使他们可以首先工作。
–DreamConspiracy
19年4月10日在8:03
除了提供内存分配器示例之外,您还可以:浏览器使用OS网络堆栈,该堆栈可能存在漏洞。除此之外,浏览器可能会使用TLS的OS实现。
–罗杰·利普斯科姆
19年4月10日在10:28
@Ooker我相信在某些情况下,攻击者(在我考虑的情况下,被认为是国家行为者)破坏了一个高价值的系统,然后对系统应用了必要的安全更新,以防止其他人破坏(大概是因为他们担心其他民族国家行为者)。
–James_pic
19年4月10日在11:51
@james我认为我们不必走那么远(注明赞助商的恶意软件)。标准恶意软件在获得访问权限后通常会对系统进行修补。为什么要与他人共享您有价值的受感染系统?
– Voo
19年4月10日在15:00
浏览器在实际上停止工作之前就已经停止支持废弃的OS。 Chrome支持Windows 7,IE支持Windows 8.1,而Firefox支持Windows 7
–鸭鸭
19年4月10日在19:34
#2 楼
较新的操作系统(例如Windows 10 over Windows 7)的一个好处是,它们具有内置于操作系统中的更高级的功能,可以防御所有类别的漏洞。实际上已经有一些示例。即使仍支持Windows 7,Web浏览器在Windows 10上也比Windows 7更安全!例如,请参阅此Google安全漏洞披露。
Chrome中存在一个漏洞,但是Google的研究人员认为,由于该版本Windows中存在其他漏洞,该漏洞仅在Windows 7中可以利用。尽管浏览器存在漏洞,Windows 10中的其他保护措施仍保护了系统。早于这些操作系统的支持日期结束(分别为2014年和2017年)。在声明中,他们声称已终止支持,因为操作系统具有已知的漏洞,这使得维护Firefox变得困难。他们在Microsoft之前就不再支持Vista!)
#3 楼
哦,天哪,这是一个表面积问题。使用Internet Explorer,表面积很大。另一方面,Firefox几乎所有内容都使用其自己的解码器,将表面积减少到只有几块。无论如何,TCP堆栈,DNS和字体渲染引擎仍然是攻击的目标。认为攻击者不会选择可以实际起作用的漏洞是不明智的,而且我每隔几个月就会看到GDI +远程代码执行漏洞,几乎像发条一样。不要这么做。至少在Windows上没有。在Linux上,我们可以做一些奇怪的事情,使shellcode无法正常工作,至少使攻击者必须专门针对您。但是,如果您还没有做过,也不要在Linux上做。
评论
为什么我们要使Shellcode在Linux上不起作用而在Windows上不起作用?
– Oker
19年4月11日在1:24
@Ooker:我们可以通过ptrace()或LSM或其他更奇怪的方法来防止execve()工作。我们还可以移动syscall门,但这不会阻止所有操作。
–约书亚
19年4月11日在1:57
来自浏览器漏洞的@Joshua Shellcode不需要使用execve()。而且我猜您可以更改syscall编号,但这需要修补libc并调整所有调用syscall的手动程序集。更不用说,如果shellcode滥用了库调用,那将是完全没有用的。
–森林
19年4月11日在6:13
#4 楼
答:浏览器是安全缺陷的重要区域,并且是bug和弱点的常见来源。虽然“最新”和“安全”根本不是一回事,但拥有功能强大的浏览器会大大降低您的曝光率,并且通常(至少)更新的意味着“正在使用”的漏洞越来越少那会影响你的。因此,是的,这很有帮助,并且如果它是进入您系统的唯一途径并且表现出其自身的功能,那么操作系统仅需要以理智的方式进行行为以防止您被暴露(以所有可能的操作系统都具有理智的方式)。 br />
但是:浏览器不是唯一的安全问题来源。除了自身之外,它什么也做不了,而且在受感染的系统中浏览器也可能无法保护您。
OS级别的保护虽然不如没有第一个漏洞的好放置并限制bug的损坏。
因此:风险,从而回答您的问题。如果有很多其他危险目标打开并聆听,那么您的浏览器到底有多好可能根本就没有意义。
建议:
公认的智慧(在这些部分中) ),人们会提出以下建议:
“越多的安全性越好,越新的安全性越强。”,在这种情况下,它也翻译为“也更新您的操作系统”。 />
我认为两者都是合理的,我不会反对更新。但是:
这不是灵丹妙药:没有人会100%安全。
可能需要权衡诸如便利性之类的其他问题(这些通常是错误的)被忽略)。
总有一种微小的可能性导致您使用Windows-10进行更新,而没人想要......
评论
评论不作进一步讨论;此对话已移至聊天。
–Rory Alsop♦
19年4月15日在10:51
评论
为什么不只安装Windows 10?这很痛苦,但是您可以禁用违反隐私的“遥测”功能,并将桌面更改为更像7的桌面。Windows10无论如何都具有明显优越的安全性。也许您那时应该考虑切换到流行的Linux发行版,例如Ubuntu。它是安全的,对隐私友好的,并且在各种硬件(甚至是旧硬件)上也能很好地工作。
不幸的是,我需要Windows程序(AutoHotKey,ShareX,ManicTime)。 Libre Office可以代替MS Office,但是对于大型文件来说却是个难题。
Wine可用于许多程序,并且有许多与Wine不兼容的Windows本地程序有很好的(有时是更好的)替代方案。我想您必须决定购买一台新计算机是否足够重要(并每隔几年继续这样做)。
实际上,与Windows 7相比,Windows 10在相同规格上通常应该更加平滑,这是因为它进行了几项改进,例如用户空间字体渲染(这意味着较少的上下文切换→降低了Meltdown的影响),压缩内存(例如Linux上的zram),从而大大提高了响应速度在内存不足的系统上