主题：【讨论】纯技术探讨：访问网站导致被黑的可能和难度大小 -- 铁手

后半句？后半句要等下一篇。

起这样一个题目并非是危言耸听，更不是对类似西西河这样的网站有什么看法。第一，上网永远是不安全的，不上网永远是安全的（主动运行带毒软件除外），因此上网被黑大部分的责任是应该上网者自己的事情。第二，如同ABC所言，许多网站的站长在设计网站时并没有把网站的安全放在一个适当的位置来考虑，或者说站长的安全知识已经相对落后。安全和入侵永远是道高一尺魔高一丈的问题，短期内不可能解决。第三，没有没虫（BUG)的软件，无论是服务器还是客户端(这里主要谈浏览器和其插件)。

为了简化问题，俺在这里就不搞什么威胁模型之类的东东了。分两个方面排一下安全因素重要性的高低，防护成本和防护策略。不过这种东西难免挂一漏万，考虑不到的地方尽管拍砖。

1.OS及网络管理方面。

A.安全更新。定期检查并保证OS处于最新更新状态。

B.安全策略。为管理员设置一定强度的用户口令，坚持用低级别用户帐号处理日常事务，比如上网。家庭用机，坚决关闭远程桌面等“后门”。

C.多重防火墙。网络防火墙（一般的家庭路由器都带）和桌面防火墙最好同时使用。当与网络小白使用同一个内部网络时，可考虑再加一内部防火墙与之隔离。

D.虚拟机。可以考虑使用各种虚拟机，比如VMWARE,搭载GUEST OS专门处理上网等“危险行为”。

E.OS选择。如可能，选择LINUX而非WINDOWS。

2.浏览器安全因素。

A.Active X。除非绝对必要，不可使用下载的Active X。Active X是IE威力强大的浏览器扩展手段。正因为威力强大，也是黑客之头号爱将。处理措施：除OS UPDATE和网银之外，不使用IE浏览器，特别是低版本的IE浏览器。俺自己浏览器的安全性排序：CHROME > IE8 > OPERA > SAFARI > FIREFOX > IE7 > IE6.

B.浏览器插件，这个主要是真对非IE浏览器。慎重使用小公司的插件。理论上，使用的插件愈多，被黑的可能性越大。

C.对不经常访问的网站要慎重处理，特别是有可能包含CSS攻击的BBS网站和社交网站。理论上，一个图片解码的溢出虫都可能导致一个类似CSS攻击行动。比如俺发现了一个图片解码的溢出虫，然后俺用BBS上的外接图片功能链接一个俺放置在第三方服务器上的溢出图片就可以导致这个用户机器浏览器的栈或者堆的溢出，然后，还需要俺说然后吗？

D.重要事宜,如网上银行，采用专门浏览器或者CHROME的Incognito mode (private browsing)甚至专门的机器（可以是个虚拟机）处理。如用一般浏览器处理完此类事物，一定在退出前清空“缓冲区”的一切内容。

E.“客户端欺骗”。使用这个主要是迷惑恶意网站。比如告知网站你使用的是MAC OS的Safari，实际上你使用的是Windows的Opera。有些浏览器支持这样做，但这样做能导致网页兼容性问题。

就是你采取了所有以上措施，你的机器依然有可能被黑。俺上面说的一切只是降低了你上网被黑的可能性，但你一定不要因噎废食。

“妹妹”你大胆地往前走，莫回头，因为，因为天边可能有彩虹。

祝上网冲浪安全，快乐！