過去幾年，主流Web瀏覽器供應商一直在努力開發新的改進的安全功能來幫助推廣其最新瀏覽器版本，搶占市場份額，特別是在企業領域。

但是，這種趨勢似乎已經戛然而止，因為在最新版本的Mozilla Firefox和谷歌Chrome中，安全創新并不是焦點。而最新版本的微軟IE瀏覽器IE 11也沒有可圈可點的新的安全功能，只是更新了安全做法。

那么，現在是怎么回事?供應商對安全性這么低的關注度，是否意味著瀏覽器已經絕對安全?在本文中，我們將從IE 11安全性來探討當前Web瀏覽器年安全成熟度，Web瀏覽器安全的未來發展以及企業應該怎么做來保持安全。

IE 11：瀏覽器安全措施已經趨于穩定?

由于缺乏新的安全功能，最新版本IE瀏覽器IE 11已經飽受批評。很多人表示，缺乏新功能是因為瀏覽器安全技術已經趨于穩定。然而，盡管缺乏新的安全功能，IE 11提供了一些改進的安全做法。

例如，為了降低IE 11對Web Graphics Library三維圖形標準的支持所帶來的風險以及抵御基于WebGL的攻擊，微軟向其圖形驅動程序增加了客戶端沙箱技術。如果攻擊者找到一種方法來通過WebGL注入惡意代碼，攻擊者將無法破壞系統的其余部分。此外，現在Enhanced Protected Mode和AppContainer在默認情況下屬于開啟狀態，以防止網頁讀取或寫入到操作系統受保護的部分。還有一些新的組策略安全相關的設置。對于隱私觀念比較強的企業，瀏覽器設置中的Do Not Track可以用來阻止網站跟蹤用戶。

在筆者看來，最佳安全做法仍然是使用最新版本的軟件以及保持更新。盡管IE 11并沒有新的安全功能，但企業還是應該升級以及利用IE 11中提供的額外的安全措施。

關于Web瀏覽器安全性的真相

然而，沒有應用程序是100%安全。作為通往互聯網的網關和首選應用接口，瀏覽器和插件生態系統(特別是Java)仍然是那些試圖攻擊企業或竊取企業數據的攻擊者的頭號目標。

毫無疑問，現在的瀏覽器遠遠比早期版本更安全。地址空間布局隨機化和數據執行保護等緩解技術已經解決和成功阻止了常見的攻擊媒介(例如緩沖區溢出)。

然而，改進的安全性只會迫使網絡犯罪分子去別處尋找突破點。很多攻擊現在正在花時間和資源來開發基于社會工程學的攻擊，以誘騙受害者安裝惡意代碼。這也是很多最新瀏覽器安全功能被設計為阻止用戶點擊已知惡意網站或者從風險來源下載內容的原因之一。

保護最薄弱的環節

在企業防御中，員工可以說是最薄弱的緩解。可悲的是，大多數用戶仍然會選擇為他們提供最佳用戶體驗的瀏覽器，而不是具有最佳安全功能的瀏覽器。太多警報和警告往往會導致用戶關掉用來保護他們的安全控制。在筆者看來，很多瀏覽器供應商沒有推出新安全功能，因為他們在評估用戶的反饋意見，來權衡哪些現有默認設置既增加了安全性又確保可接受的用戶體驗。

請記住，瀏覽器軟件可以提供的保護是有限制的，特別是當用戶在瀏覽網頁必須打開不受信任的代碼時，或者營銷服務和廣告服務不斷嘗試和規避很多專注于保護用戶隱私的廣為人知的瀏覽器功能。

企業的最佳防御措施

為了提高瀏覽器整體安全性，我們很想要看到跨所有瀏覽器的Web標準的改進的兼容性。這不僅能讓安全站點更容易部署，而且能夠減少試圖使網頁在所有平臺正確顯示所花的時間。谷歌的AdID是旨在替代第三方cookies的用戶跟蹤技術，這可能為廣告主更負責人的跟蹤鋪平道路。

然而，這種web瀏覽器的烏托邦可能用戶不會實現。所以現在，攻擊者將繼續尋找瀏覽器的弱點，并專注于容易攻擊的終端，這意味著終端反惡意軟件保護仍然是企業應該采取的重要的安全措施。

此外，源代碼被竊取的應用(例如來自Adobe的產品)仍將是流行的攻擊向量，因為攻擊者們能夠相對容易地找到零日漏洞利用。瀏覽器插件和移動應用也將很受歡迎，因為網絡管理員將很難控制其安裝和使用。

當發現新的攻擊技術在破壞瀏覽器時，供應商將會爭相發布新版本來緩解這種攻擊，以及額外的控制來保護用戶免受攻擊的影響。

最后，除了瀏覽器制造商向其產品構建的防御措施外，企業還應該部署額外的安全控制。雖然瀏覽器安全已經走過了漫長的道路，額外的防御措施(例如web安全網關、端點反惡意軟件和安全意識培訓)是對付很多堅定的有創造力的攻擊者的重要因素。