網路瀏覽安全助手的新防護實驗：Haute Secure

打開瀏覽器，上網隨意的瀏覽各個網站，即使只是這麼簡單的幾個動作，你還是有可能遭遇各種安全威脅。例如誤入網路釣魚網站而被竊取帳號密碼，不小心點擊了網頁裡的惡意連結而遭受各種惡意程序的入侵，以上這些安全威脅就發生在日常的上網行為中。而且這些網路上惡意連結、惡意網站的威脅，是一般的防毒軟體和防火牆所無法偵測的。因此除了使用者必須建立更謹慎的上網習慣外，安全產品公司也開始努力的開發可能的解決方案，其中Mcafee的SiteAdvisor無疑是一款成功的瀏覽器安全套件，它可以安裝到瀏覽器上，當你瀏覽各種網站時，SiteAdvisor會告訴你這個網站的安全級別與可能遭遇的安全威脅，判斷標準來自Mcafee自己的資料庫以及使用者的回饋。SiteAdvisor的誕生受到許多好評，也證明了「瀏覽網頁的安全性」是目前電腦安全防護的一個重要課題。後來在「趨勢科技推出免費網路瀏覽安全套件：Trend Protect Beta初用心得」中，我也介紹了Trend推出的另一個類似的瀏覽器安全套件。

但是這樣的軟體有一個共同的缺陷，就是他們都是被動的防護機制，他們必須依靠事先的偵測資料來決定網頁的安全性，但是以現在網頁被植入惡意連結的速度來看，一個昨天安全的網站不代表今天就安全，一個大致上安全的網站，很有可能其中一個小廣告的連結被替換成惡意程序。於是Haute Secure這樣一款兼顧了主動防禦和被動過濾的瀏覽器安全助手，便以一種實驗性的姿態來嘗試網路瀏覽安全防護的另一種可能性。

• Haute Secure：http://hautesecure.com/
• Haute Secure下載網頁：http://hautesecure.com/download.aspx

Haute Secure是一款在07年7月初左右推出的頗具實驗性的安全套件，目前只有安裝在IE離覽器上的版本，但是開發者承諾不久後會推出Firefox的擴充套件版。安裝後會在後台產生一個常駐的系統服務：「CtServ」，然後在你的IE上會出現一個「Haute Secure」的工具按鈕，會依據目前瀏覽的安全狀態顯示不同的顏色，也有一個很漂亮的說明框，並起可以連到Haute Secure查看更詳細資料。整體外觀看起來和Mcafee SiteAdvisor很相像，不過Haute Secure在功能上特別針對SiteAdvisor的兩個弱點進行改進，一個弱點就是前面提過的被動防護機制，另一個弱點則是SiteAdvisor只能提供你一整個網站安全與否的資訊，但是卻無法深入網頁內的各個細部內容進行篩選。

所以Haute Secure除了具有被動式的防護資料庫，可以幫你過濾出壞網站的名單，阻止你或提醒你進入壞網站外，Haute Secure還提供了一種行為偵測技術，當你進入一個網頁時，Haute Secure會偵測你瀏覽這個網頁的互動過程，如果有不正常的寫入你的電腦系統的行為，Haute Secure會「主動的」阻止寫入，並且出現提示的訊息。另外因為Haute Secure不只是一個被動過濾機制，也是一個主動偵測程式，所以Haute Secure會去偵測網頁裡的每一個內容連結，然後只針對特定的部分內容連結進行阻擋，而不會直接封鎖整個網頁，所以我們還是可以繼續瀏覽網頁中其他安全的內容。

而且Haute Secure在資料庫更新上採用了P2P的點對點技術，也就是說每一個Haute Secure的使用者可以互相交換、傳輸、增添各種最新的安全資料庫，不需要等待主伺服器上的安全更新，如此一來可以讓Haute Secure的資料更新速度更迅速。

我這樣講你可能聽得有點模糊，所以下面我就更詳細的介紹這個工具的運作流程。前面我們提到Haute Secure同時具有主動的偵測技術和被動的過濾資料庫，前面這個行為偵測技術有點類似HIPS的概念（不過當然不一樣），它不是依靠病毒碼的更新來掃描惡意檔案，而是依靠對於行為的判斷來決定這個行動是否可疑，而當Haute Secure的行為偵測技術判定某個連結有可疑的寫入行動時，它首先會阻擋其寫入你的系統的動作，這時候工具列按鈕會出現紅色警示，如下圖所示按下按鈕就會跳出所阻擋的程序的說明視窗。

Haute Secure的紅色警示代表有出現主動阻擋的動作，可能是阻止一個檔案的下載、執行、或是封鎖了網頁中的一個元件、還是阻擋了一整個惡意連結的載入。除了當阻止了一整個網頁的載入時會出現封鎖畫面外，其他時候Haute Secure只是個別阻止了惡意程序的部分，只有惡意的影片、Flash、JavaScript等部分會被個別封鎖，所以你還是可以繼續瀏覽其他正常部分的網頁。因為現今很多知名的網站可能會被植入惡意連結，所以Haute Secure這種主動的針對網頁細部元件進行偵測和分別阻擋的技術，其實很符合現實的需求。

這時候我們有必要先解釋Haute Secure的被動資料庫更新機制。Haute Secure的資料庫更新來自於各個用戶透過主動行為偵測所找到的可疑、惡意內容。假設當我的Haute Secure主動偵測到了一個A連結有可疑的寫入行為，於是除了阻擋A連結外，我還會透過點對點技術將「A連結可能是惡意網頁」的資訊傳遞給其他的Haute Secure使用者，於是經由P2P的散布，A連結黑名單就會自動加入所有Haute Secure的被動資料庫中，這種方式確實是可以達到一種即時快速的更新，但是也會帶來一些小問題，我們後面再說。

Haute Secure的顏色示警還有一種黃色警示。黃色視窗中被過濾出來的連結，就是那些包含在被動資料庫中的可疑名單。如果這個網頁中的某些連結通過了你電腦中的Haute Secure偵測，並沒有惡意的行動，但是這些連結卻包含在資料庫的可疑名單中時，就會顯示黃色的提醒視窗，主要是提醒用戶要稍微提高警覺，Haute Secure不會主動阻檔這些連接。如果你點擊黃色說明視窗左下角的More Info，你就可以看到這個連結位置是什麼時間點被回報為惡意連結的。

如果你安裝了Haute Secure，然後來瀏覽「電腦玩物」時，你將會看到出現黃色警示視窗的訊息，點進去看，你會發現這些「可疑」的連結指的是「FeedBurner」、「Google」、「Blogger」、「Blogspot」的連結。不要太訝異，這正是Haute Secure既有主動式行為偵測，又讓用戶端自行更新資料庫所帶來的可能問題，因為行為偵測會將許多安全行為也判定為可疑，這時候需要有經驗的用戶手動去允許它們。另外一方面，像是Blogspot的連結下可能包含許多部落格網站，如果其中有的網站被檢測出有惡意程序，那麼也可能讓主域名被列入可疑名單。

所以即使Haute Secure具有主動阻擋的特色，可以增加不少安全性，但是我們還是不能將這種工具完全當作防毒軟體那樣放著那它自己跑，對於Haute Secure提供的資訊，最後還是需要我們自己去做最後的過濾，將你信任的網站放行，然後對於有警示的不明連結加倍謹慎。

目前Haute Secure還在Beta階段，它的防禦能力和安全提醒機制也還沒有一個全面的評測，不過就防護概念來說，Haute Secure確實提出了一種綜合的解決方案，有興趣的朋友可以試用看看，另外也期待Firefox版的早日推出。