入口保護解密瀏覽器地址欄安全

技術宅

大家知道瀏覽器地址欄是我們訪問網絡的入口，一旦其安全性存在紕漏，無疑會給我們的上網安全帶來極大的威脅。那么瀏覽器廠商是如何幫助用戶在上網時做出正確和安全的決策？簡單的地址欄背后又隱藏著多少安全秘密？了解背后的原理，就可以讓我們上網更安全。

網站怎么打開——了解瀏覽器訪問網站流程

一般情況下如果我們要訪問某網址，常規的方式都是通過在地址欄輸入網站的域名進行訪問，顯然如果地址欄上出現了安全問題，后續所訪問的Web頁面，可信任的體系將全部崩塌。那么從地址欄開始直到打開訪問頁面，在瀏覽器的背后又經歷了什么？下面以訪問百度頁面為例。

當我們在地址欄輸入www. baidu.com后，瀏覽器會查找域名對應的服務器IP地址。首先在瀏覽器緩存查找，如果緩存里沒有則查找系統目錄下的Hosts文件，根據其中的表名查找對應的IP。如果上面都沒有找到，那么就向本地DNS服務器查詢，還沒有的話本地DNS會請求ROOT DNS Server（根域名服務器）查詢，最終找到www.baidu. com所對應的IP。

找到IP地址后瀏覽器會根據IP地址給目標服務器發送HTTP請求，請求被百度服務器響應后會建立Socket連接，然后瀏覽器根據HTTP解析響應的內容，進行解析、布局和渲染。比如加載網站首頁圖片、相應的代碼等內容，加載完成后就會完整顯示百度首頁內容了（圖1）。

安全背后——地址欄常見安全防護手段

通過上面的描述，大家了解了瀏覽器是怎么通過地址欄訪問一個頁面的。那么瀏覽器在整個訪問過程中，在地址欄會出現什么安全隱患？瀏覽器廠商又采用什么樣的防護手段來保障我們的上網安全？

從上述網站訪問流程中我們知道，在地址欄輸入網址后瀏覽器會從本地緩存和Hosts文件中查找IP地址。因為緩存會被清空，我們在訪問一個新的頁面的時候大多是從Hosts文件開始查找，Hosts文件則是從表名查找對應的IP。因此我們訪問網站第一個威脅就來自Hosts文件，一些黑客或者木馬會通過更改表名和對應的IP，從而實現域名轉向。比如添加一個“173.252.193.47 www.taobao.com”語句，這樣即使在地址欄輸入淘寶域名，但是打開的卻是其他網站頁面（圖2）。

這類劫持的大多是我們常用的域名如淘寶、網銀，網站則主要用來釣魚。為了避免這類威脅，現在瀏覽器廠商大多通過內置釣魚插件、服務器收集常見釣魚網站、網友上傳舉報收集等來進行防范。比如QQ瀏覽器在訪問這類網站的時候會進行攔截，提示網站安全性有問題（圖3）。

如果DNS解析沒有問題，那么在地址欄輸入正確域名后，瀏覽器又會通過什么手段來保護我們的上網安全？

對于大家經常需要訪問的重要網站，如在線支付、網銀這類網站，現在主流的瀏覽器大多使用安全指示符來進行標示。比如網銀大多使用“https：//”加密形式，在地址欄輸入這類網站時，在網址的左側就會出現一個小鎖標記，表明該網站使用了證書加密，點擊小鎖可以看到網站使用的證書。這樣對于網銀等網站，我們只要通過查看是否有小鎖標記就可以很方便地確認真偽（圖4）。

不過因為證書需要向特定的證書頒發機構認證，并且需要支付一定的證書費用，因此一些使用https：//加密的網站如果使用自己的證書加密，那么也有可能被瀏覽器認為是危險網站。典型網站如12306的在線售票頁面https：//kyfw.12306.cn/ otn/，因為其使用的證書默認沒有被瀏覽器信任，所以在Edge瀏覽器打開后會顯示為不安全網站（圖5）。

為了避免此類情況的發生，現在很多主流瀏覽器如搜狗瀏覽器、QQ瀏覽器等則引入了云網址安全檢測服務，對于用戶經常訪問（當然包括那些沒有使用Https加密的網站）或者社會知名的網站（如12306售票網站），瀏覽器廠商會預先對這類網站進行檢測，并將檢測結果放置于云服務器上。這樣用戶在瀏覽器地址欄輸入這類網址時，瀏覽器就會連接到云服務器進行檢測，如果服務器有該網站的數據，那么則會在地址欄出現一個綠色字符標記，點擊后可以展開詳細信息，查看訪問網站的安全信息（圖6）。

訪問安全——不能僅靠瀏覽器廠商

如上所述，瀏覽器主要通過防釣魚和安全網址標示的方法來保護我們訪問網站的安全。顯然要更好地保護訪問安全，僅靠廠商們這些防護措施遠遠不夠。因為現在釣魚網站層出不窮，瀏覽器主要是通過釣魚網站數據庫和網友舉報進行甑別，這樣難免有漏網之魚。特別是對一些不知名網站的仿冒，瀏覽器基本無法識別。

因此對于常用網站的訪問，建議在首次訪問確認是正確官網，將其添加到收藏夾備用，下次直接在收藏夾打開訪問，打開頁面時可以參考瀏覽器標示進一步確認。如果發現訪問被劫持，則應檢查Hosts文件是否被篡改。

對于一些不知名或者小網站的訪問，如訪問一些地方性小銀行，則應該確認網址后再按回車鍵訪問，如網址應該是根據網點官方宣傳資料上的地址輸入。如果通過百度搜索，則應該只訪問查詢網站后面有“官網”標記的網頁。當然還要養成良好的上網習慣，如不隨意打開QQ傳輸網址、瀏覽不明網站等。