瀏覽器登錄要小心

記者：神州云科為什么會想到做瀏覽器登錄安全防護？

陳思：據2016 McAfee網絡安全威脅報告數據顯示，36%的網絡攻擊來源于瀏覽器，在網頁內產生。當我們通過瀏覽器購物消費、登錄網銀、玩游戲、看視頻時，頻繁的登錄個人信息，攻擊者只要下發一個惡意腳本到瀏覽器中，就可以獲取你的密碼信息，不需要去攻破網站的數據中心，SSL加密也沒用。而且國內80%的網站在瀏覽器端均沒有采取加固處理，攻擊者很容易就可以拿到個人登錄時的用戶名和密碼。

記者：很多網站登錄有驗證碼、短信驗證、安裝插件，乃至于USBkey，擁有這些是否就安全了？

神州云科副總裁、云科安全公司總經理 陳思

陳思：真實情況未必，驗證碼只能實現降頻，不解決安全問題；至于短信驗證碼，SIM卡復制、基站信號壓制等都可以輕松搞定；插件/控件只解決一個參數的保護（密碼），其他關鍵參數仍然以明文的狀態暴露在互聯網上，而且大量APP無法直接安裝插件/控件；至于USBkey，價格昂貴，且應用范圍太過于受限。

記者：神州云科是如何解決瀏覽器端信息泄露問題的？

陳思：達爾動態應用加固系統（DAR）是神州云科安全公司推出的一款基于WEB端的動態應用加固保護系統，同時也是一款可編程防御架構系統，采用獨特的“動態應用加密”方式，不僅可以使關鍵信息從明文變為密文，并且密文狀態高頻變化，使得攻擊者信息獲取成本和難度直線上升，從而有效降低甚至根絕該場景下的個人信息泄露可能。DAR通過代理的模式部署在web服務器與終端用戶之間，通過JavaScript腳本加密終端與服務器端傳輸敏感信息，通過加密用戶端賬號、密碼信息可避免有惡意腳本竊取用戶信息，同時也可防御對撞庫等此類基于應用場景的安全威脅。而且攻擊者也無法輕易進行漏洞利用的掃描與嘗試，為客戶的安全更新爭取時間，同時利用DAR可編程防御接口，云科安全技術服務人員可及時下發安全補丁，幫助企業進行安全對抗。

記者：目前達爾動態加固系統（DAR）主要應用在哪些領域？

陳思：銀行、保險、電商、游戲、政府、視頻網站等行業，由于存在大量登陸場景，遭受撞庫等網絡攻擊可能性最大，需求應用也最為迫切。