為什么交互式特性會與安全性相沖突？

文章來源：泛普軟件

你隔多久會碰到瀏覽網(wǎng)頁的時候，瀏覽器只顯示一個空白頁？我經(jīng)常碰到這樣的事。

有時候，網(wǎng)頁里面某個部分的內(nèi)容完全丟失，最大的可能是丟失導航元素，這樣我就完全無法瀏覽網(wǎng)頁。有時候，我要瀏覽的網(wǎng)頁會告知我需要安裝或啟動一個插件程序，或者改變我的瀏覽器的設置才能夠順利地瀏覽該網(wǎng)頁和導航頁面。雖然并不經(jīng)常這樣，但這已經(jīng)很讓人頭疼了。

現(xiàn)在，我將是第一個承認自己不是一個具有代表性用戶的人，但是我相信遇到這些問題的決不止我一個人，尤其是在現(xiàn)在這樣一個用戶比以前更加關心瀏覽器的安全問題的時候。根據(jù)我當時的心情，以及具體的有問題的 Web 站點，我可能會花上一些時間來調(diào)整瀏覽器的設置，以解決上述問題。

但是更多的情況是，在我遇到一個不能正常顯示的 Web 站點時，尤其是在遇到那些要求 JavaScript、ActiveX控件、Java 或者 Macromedia Flash 才能正常顯示的 Web 站點時，我會問自己在在這樣的站點上浪費時間是不是值得。而且，如果一個 Web 站點由于 JavaScript 代碼重定向、彈出窗口或者其它的什么方法把我困在其中，讓我無法解決，那么我就不會試圖花時間改變?yōu)g覽器的設置以讓 Web 站點正常顯示。

但是，請不要誤解我：Web 站點的交互式特性能夠為用戶提供很大的便利。然而，這些特性只有在正確地解決了瀏覽器安全問題之后才會真正給用戶帶來便利。

有一點很重要，那就是任何有可能被濫用的技術都有可能并且最終確實會成為被濫用的目標，而Web 站點的設計者似乎把這個問題忽略了。這一問題對任何人來說都應該不是新鮮事；惡意攻擊者已經(jīng)使用 Macromedia Flash 和瀏覽器端的編程語言（比如 Java 和 JavaScript）等交互式瀏覽器特性來繞開安全防范措施并惡性利用瀏覽器。

很多用戶的應對措施是通過定制瀏覽器的 Internet 安全設置，將安全級別設置得更高來防范瀏覽器被惡意利用。但是這種加強的安全性意味著很多通過 Java、JavaScript、ActiveX、cookie 和其它瀏覽器內(nèi)建功能來實現(xiàn)交互式特性的 Web 站點不能正常運行，而且除非用戶進行人為設置，否則其它的一些交互式性能也將失效。

當然，提高瀏覽器的安全級別怎么說都不是一個壞主意，但是要記住，要確保這些安全設置對瀏覽器插件或瀏覽器輔助對象（BHO，Browser Helper Object）沒有影響。雖然用戶現(xiàn)在能夠調(diào)整瀏覽器插件，但是這一過程甚至比設置特定的 Web 站點安全區(qū)域更加讓人感到困惑。這樣一來，大多數(shù)用戶根本就不愿意這樣做。

在使用特定瀏覽器插件的情況下（比如 Macromedia Flash），Web 瀏覽器的安全設置本身對 Flash 插件的安全設置沒有任何影響。事實上，Internet 銷售公司最近正是利用了這一“特性”來顯示他們的強行彈出廣告——即使用戶已經(jīng)禁用了其它交互式瀏覽器特性，這些窗口仍可彈出。

此外，F(xiàn)lash 還能在瀏覽器的安全控制之外永久保存用戶的信息。雖然 Macromedia（現(xiàn)在已經(jīng)是 Adobe Systems 的一部分）已經(jīng)對這一安全問題作出了回應，采取了一些補救措施，但是我還是選擇了在瀏覽器中完全禁用Flash。

順便提一下，Macromedia Flash 還有數(shù)不清的其它漏洞。因此，那些強迫用戶接受 Flash 的 Web 站點設計者應該清楚地意識到 Flash 會繞過瀏覽器的安全設置。

但是我也不能一味地譴責 Macromedia 或者使用 Flash 設計交互式 Web 站點的開發(fā)人員。即使是萬維網(wǎng)聯(lián)盟（W3C）幾年前已經(jīng)建立了標準，但是能嚴格遵守這一標準的瀏覽器就只有 Opera 一個。（而你知道又有多少在使用 Opera 呢？）

Internet Explorer、MozillaFirefox、AOL、Safari 和其它瀏覽器在使用 Java、JavaScript 或者 ActiveX 處理HTML 時采用的方法各不相同。對于想要建立公用交互式特性的 Web 站點設計者來說，F(xiàn)lash已經(jīng)證明幾乎是兼容性最好的選擇，這是因為瀏覽器的 Flash 插件是由 Macromedia 自己開發(fā)的。

很多 Web 站點能夠讓用戶根據(jù)自己的安全設置或插件的不同而選擇使用交互式特性。我對這些 Web 站點沒有意見——因為他們給了我一個選擇。但是我對于那些要求我使用不同瀏覽器、更改安全設置或者啟用瀏覽器插件的 Web 站點從來都沒有什么好印象。

另外還有一點很重要，那就是很多 Web 站點訪問者并沒有必備的那些插件，或者他們已經(jīng)設置了較高的安全性，這就意味著他們通常只會看到一個空白頁面。在很多情況下，他們并不愿意去試著解決這一問題，而是簡單地選擇放棄。當然我也不能譴責他們，因為我自己也會選擇跳過這個 Web 頁面，而不會去更改瀏覽器的安全設置。

我很不情愿將這則消息推到Web 站點設計者面前，但是那些需要更改瀏覽器設置才能實現(xiàn)的奇異特性已經(jīng)被證明是非常不受用戶歡迎的。在我看來，Web 站點設計者需要把注意力集中在功能性上并使設計盡可能地簡單，而不是在“flash”上。

從我最近接到的有關 Web 站點不能正常顯示的支持電話來看，我可以確定地說，用戶對瀏覽器安全性設置的要求比對交互式 Web 站點特性的要求更高。隨著用戶越來越關心安全性問題，他們會提高瀏覽器的安全性設置并禁用很多目前 Web 瀏覽器中正在使用的交互式特性。

來源：ZDNET

發(fā)布：2007-04-22 10:10 編輯：泛普軟件 · xiaona [打印此頁] [關閉]

相關欄目：