為什么交互式特性會(huì)與安全性相沖突？

申請(qǐng)免費(fèi)試用、咨詢(xún)電話：400-8352-114

你隔多久會(huì)碰到瀏覽網(wǎng)頁(yè)的時(shí)候，瀏覽器只顯示一個(gè)空白頁(yè)？我經(jīng)常碰到這樣的事。 
 
有時(shí)候，網(wǎng)頁(yè)里面某個(gè)部分的內(nèi)容完全丟失，最大的可能是丟失導(dǎo)航元素，這樣我就完全無(wú)法瀏覽網(wǎng)頁(yè)。有時(shí)候，我要瀏覽的網(wǎng)頁(yè)會(huì)告知我需要安裝或啟動(dòng)一個(gè)插件程序，或者改變我的瀏覽器的設(shè)置才能夠順利地瀏覽該網(wǎng)頁(yè)和導(dǎo)航頁(yè)面。雖然并不經(jīng)常這樣，但這已經(jīng)很讓人頭疼了。

現(xiàn)在，我將是第一個(gè)承認(rèn)自己不是一個(gè)具有代表性用戶的人，但是我相信遇到這些問(wèn)題的決不止我一個(gè)人，尤其是在現(xiàn)在這樣一個(gè)用戶比以前更加關(guān)心瀏覽器的安全問(wèn)題的時(shí)候。根據(jù)我當(dāng)時(shí)的心情，以及具體的有問(wèn)題的 Web 站點(diǎn)，我可能會(huì)花上一些時(shí)間來(lái)調(diào)整瀏覽器的設(shè)置，以解決上述問(wèn)題。

但是更多的情況是，在我遇到一個(gè)不能正常顯示的 Web 站點(diǎn)時(shí)，尤其是在遇到那些要求 JavaScript、ActiveX控件、Java 或者 Macromedia Flash 才能正常顯示的 Web 站點(diǎn)時(shí)，我會(huì)問(wèn)自己在在這樣的站點(diǎn)上浪費(fèi)時(shí)間是不是值得。而且，如果一個(gè) Web 站點(diǎn)由于 JavaScript 代碼重定向、彈出窗口或者其它的什么方法把我困在其中，讓我無(wú)法解決，那么我就不會(huì)試圖花時(shí)間改變?yōu)g覽器的設(shè)置以讓 Web 站點(diǎn)正常顯示。

但是，請(qǐng)不要誤解我：Web 站點(diǎn)的交互式特性能夠?yàn)橛脩籼峁┖艽蟮谋憷?。然而，這些特性只有在正確地解決了瀏覽器安全問(wèn)題之后才會(huì)真正給用戶帶來(lái)便利。

有一點(diǎn)很重要，那就是任何有可能被濫用的技術(shù)都有可能并且最終確實(shí)會(huì)成為被濫用的目標(biāo)，而Web 站點(diǎn)的設(shè)計(jì)者似乎把這個(gè)問(wèn)題忽略了。這一問(wèn)題對(duì)任何人來(lái)說(shuō)都應(yīng)該不是新鮮事；惡意攻擊者已經(jīng)使用 Macromedia Flash 和瀏覽器端的編程語(yǔ)言（比如 Java 和 JavaScript）等交互式瀏覽器特性來(lái)繞開(kāi)安全防范措施并惡性利用瀏覽器。

很多用戶的應(yīng)對(duì)措施是通過(guò)定制瀏覽器的 Internet 安全設(shè)置，將安全級(jí)別設(shè)置得更高來(lái)防范瀏覽器被惡意利用。但是這種加強(qiáng)的安全性意味著很多通過(guò) Java、JavaScript、ActiveX、cookie 和其它瀏覽器內(nèi)建功能來(lái)實(shí)現(xiàn)交互式特性的 Web 站點(diǎn)不能正常運(yùn)行，而且除非用戶進(jìn)行人為設(shè)置，否則其它的一些交互式性能也將失效。

當(dāng)然，提高瀏覽器的安全級(jí)別怎么說(shuō)都不是一個(gè)壞主意，但是要記住，要確保這些安全設(shè)置對(duì)瀏覽器插件或?yàn)g覽器輔助對(duì)象（BHO，Browser Helper Object）沒(méi)有影響。雖然用戶現(xiàn)在能夠調(diào)整瀏覽器插件，但是這一過(guò)程甚至比設(shè)置特定的 Web 站點(diǎn)安全區(qū)域更加讓人感到困惑。這樣一來(lái)，大多數(shù)用戶根本就不愿意這樣做。

在使用特定瀏覽器插件的情況下（比如 Macromedia Flash），Web 瀏覽器的安全設(shè)置本身對(duì) Flash 插件的安全設(shè)置沒(méi)有任何影響。事實(shí)上，Internet 銷(xiāo)售公司最近正是利用了這一“特性”來(lái)顯示他們的強(qiáng)行彈出廣告——即使用戶已經(jīng)禁用了其它交互式瀏覽器特性，這些窗口仍可彈出。

此外，F(xiàn)lash 還能在瀏覽器的安全控制之外永久保存用戶的信息。雖然 Macromedia（現(xiàn)在已經(jīng)是 Adobe Systems 的一部分）已經(jīng)對(duì)這一安全問(wèn)題作出了回應(yīng)，采取了一些補(bǔ)救措施，但是我還是選擇了在瀏覽器中完全禁用Flash。

順便提一下，Macromedia Flash 還有數(shù)不清的其它漏洞。因此，那些強(qiáng)迫用戶接受 Flash 的 Web 站點(diǎn)設(shè)計(jì)者應(yīng)該清楚地意識(shí)到 Flash 會(huì)繞過(guò)瀏覽器的安全設(shè)置。

但是我也不能一味地譴責(zé) Macromedia 或者使用 Flash 設(shè)計(jì)交互式 Web 站點(diǎn)的開(kāi)發(fā)人員。即使是萬(wàn)維網(wǎng)聯(lián)盟（W3C）幾年前已經(jīng)建立了標(biāo)準(zhǔn)，但是能?chē)?yán)格遵守這一標(biāo)準(zhǔn)的瀏覽器就只有 Opera 一個(gè)。（而你知道又有多少在使用 Opera 呢？）

Internet Explorer、MozillaFirefox、AOL、Safari 和其它瀏覽器在使用 Java、JavaScript 或者 ActiveX 處理HTML 時(shí)采用的方法各不相同。對(duì)于想要建立公用交互式特性的 Web 站點(diǎn)設(shè)計(jì)者來(lái)說(shuō)，F(xiàn)lash已經(jīng)證明幾乎是兼容性最好的選擇，這是因?yàn)闉g覽器的 Flash 插件是由 Macromedia 自己開(kāi)發(fā)的。

很多 Web 站點(diǎn)能夠讓用戶根據(jù)自己的安全設(shè)置或插件的不同而選擇使用交互式特性。我對(duì)這些 Web 站點(diǎn)沒(méi)有意見(jiàn)——因?yàn)樗麄兘o了我一個(gè)選擇。但是我對(duì)于那些要求我使用不同瀏覽器、更改安全設(shè)置或者啟用瀏覽器插件的 Web 站點(diǎn)從來(lái)都沒(méi)有什么好印象。

另外還有一點(diǎn)很重要，那就是很多 Web 站點(diǎn)訪問(wèn)者并沒(méi)有必備的那些插件，或者他們已經(jīng)設(shè)置了較高的安全性，這就意味著他們通常只會(huì)看到一個(gè)空白頁(yè)面。在很多情況下，他們并不愿意去試著解決這一問(wèn)題，而是簡(jiǎn)單地選擇放棄。當(dāng)然我也不能譴責(zé)他們，因?yàn)槲易约阂矔?huì)選擇跳過(guò)這個(gè) Web 頁(yè)面，而不會(huì)去更改瀏覽器的安全設(shè)置。

我很不情愿將這則消息推到Web 站點(diǎn)設(shè)計(jì)者面前，但是那些需要更改瀏覽器設(shè)置才能實(shí)現(xiàn)的奇異特性已經(jīng)被證明是非常不受用戶歡迎的。在我看來(lái)，Web 站點(diǎn)設(shè)計(jì)者需要把注意力集中在功能性上并使設(shè)計(jì)盡可能地簡(jiǎn)單，而不是在“flash”上。

從我最近接到的有關(guān) Web 站點(diǎn)不能正常顯示的支持電話來(lái)看，我可以確定地說(shuō)，用戶對(duì)瀏覽器安全性設(shè)置的要求比對(duì)交互式 Web 站點(diǎn)特性的要求更高。隨著用戶越來(lái)越關(guān)心安全性問(wèn)題，他們會(huì)提高瀏覽器的安全性設(shè)置并禁用很多目前 Web 瀏覽器中正在使用的交互式特性。

來(lái)源：ZDNET