Author

Topic: 比特币浏览器安全防盗简单措施 (Read 546 times)

member
Activity: 82
Merit: 10
安全确实很重要
full member
Activity: 252
Merit: 150
http://www.yibite.com/blog-10148-332.html
最近,针对浏览器端的比特币欺诈和盗窃明显升温,插件病毒盗取比特币和虚假网站骗取用户密码的行为时有发生。今天我就介绍一些简单的浏览器安全常识,无需安装多个浏览器或复杂设置,简单点击保证安全。

以下浏览器均采用谷歌浏览器为案例,其他浏览器请参照使用。

一:防钓鱼

今天blockchain发布了安全公告,警告存在假blockchain网站钓鱼的情况。由于钓鱼是经常发生的,很多钓鱼网站还会在获取用户密码后跳转到真实网站去,防不胜防。所以这里提供一些简单的防钓鱼措施。

1,使用“收藏夹”代替搜索引擎访问比特币网站

现代网络搜索工具极大进步,很多人上网都是默认打开搜索,然后输入网站名完成上网。而鉴于目前的网络安全形势,显然不可能完全信任搜索引擎。特别是在中国特色下,由于某搜索公司可以“竞价排名”,上当是分分钟的事。

其实,浏览器都有完善的收藏功能,完全可以自己保存需要的网址。

请先手工登录一次所有需要使用的比特币网站,如blockchain钱包、交易所、查询网站、常用邮箱、(当然还有我们壹比特!),添加到收藏夹中(谷歌浏览器里叫书签)。随后访问网址就不用再搜索和输入了。这样既方便快捷,又确保了安全。
注意,第一次访问时请小心核对网址。如是安全连接的网站,请点击地址栏前端的绿色“锁” 按钮,获取安全证书信息,确保访问的是你想要去的网站。
善用收藏夹不仅可以保证安全,还可以提高您的上网效率。
2,不要轻信邮件
当年收到任何一封邮件,自称来自交易所、钱包或其他跟钱有关的网站,因为什么原因,要求你主动去他们网站做点什么事,并要求你输入帐号和密码,这99%都是骗局。
假设当你收到一封邮件,自称来自某钱包,声称您的帐号受到异常登录,可能被盗,已经被冻结,要求你访问邮件中的网址去重置密码,这完全可能就是一个陷阱。 一般这种情况只可能发生在网站数据库被盗等严重风险事故后,网站本身都会贴出公告,绝对不会轻易给客户发送此类邮件。
正确的做法是:手工输入或从收藏夹中找出这个钱包地址,访问一下自己的帐户,看看到底有没有发生邮件中所声称的情况就知道了。

二、防欺诈

1,病毒插件偷换地址
近期又出现了新的“浏览器插件病毒”,可以盗窃客户的比特币。我群里的一位朋友就中招了,被盗15个比特币,损失惨重。此类插件的工作原理很简单,主动识别付款地址,并替换成自己的比特币地址… 客户虽然访问了正确的网站,但当要进行付款操作时,上面显示的比特币地址被病毒插件替换成了病毒自己的比特币地址,钱自然就打给了骗子。
很多安全专家指出,禁用浏览器插件或使用两个不同的浏览器。这确实保证了安全,可是易用性就大打折扣了。如果客户必须进行极为繁琐的操作才能保证安全,显然也不太可能。但现代浏览器提供了一个额外的功能,可以保证这两个目的同时满足,这就是“隐私浏览”。
使用隐私浏览保护交易
隐私浏览(或隐身浏览)是现代浏览器的一种功能,在高版本的谷歌、火狐或IE浏览器中均有该功能。该功能的特性是可以启用一个独立的新浏览器进程,关闭后并不保存该进程的浏览数据。设计初衷是为了保护隐私,自动删除上网记录。但由于各种浏览器插件本质上可以记录用户上网操作,在隐私浏览中插件默认被禁用。
因此,简单的使用隐私浏览就可以达到既不删除各种已安装的插件,又暂停所有插件的目的,并且不保留记录,有效的保护了比特币交易安全。
在浏览器中,选择新建隐身窗口


隐身窗口独立于已经打开的浏览器界面,并不会启用任何的插件,而且不会保留浏览记录。但收藏夹仍然可以使用。因此使用隐身窗口进行比特币交易,是一个良好的安全习惯。
注意,隐私浏览进程仍然可以开启插件,通过插件控制台,您可以决定在隐私浏览进程中插件的权限。

在扩展程序控制台中,可以管理隐私浏览模式下的插件权限,不建议打开不信任的插件。如果全部关闭,则在隐私浏览模式中不会启用任何插件。

三、其他措施
1,拒绝IE(微软系统默认浏览器)
不要使用任何旧版本的浏览器,包括“某国产安全浏览器” 进行比特币交易!
由于浏览器的设计问题,原则上早期WINDOWS系统自带的浏览器(Internet Explorer) 存在安全隐患。不建议使用WINDOWS7(及以前)版本系统自带的IE浏览器进行比特币交易。
解决办法是升级系统到WIN8或升级浏览器到较高的版本,但旧版本的WINDOWS系统本身(WIN7及以前)本身就存在安全问题,强烈不建议在WIN8以前的系统上使用IE浏览器进行比特币交易。
任何中国国产的“安全浏览器”“快速浏览器” 安全性均不明,且权限管理混乱,默认插件繁多,一样不建议使用。

2,启用全部安全措施
为了防止跨站脚本攻击等针对服务器的攻击行为,以及流量劫持等针对网关的攻击,强烈建议开启各类比特币交易网站的全部安全措施,包括手机短信和二次验证码。这些措施可以一定程度上防止各类其他攻击手段。

四、养成良好的网络安全习惯
世界上没有100%的安全,但养成良好的网络安全习惯,有助于最大限度降低网络安全风险。 良好的网络安全习惯其实很简单,只需要一些简单的常识。
1,不要轻易“应邀”输入密码。输入密码必须是主动的。任何邀请你去哪里输入密码的都是耍流氓。
2,微软系统需要安装杀毒软件。 苹果系统不要随便安装东西,本身非常安全了。
3,不要轻易下载莫名其妙的软件,特别是比特币相关软件,务必确保在官方下载。
4,家用无线网络尽量设置复杂的密码,并更改无线发射装置的管理密码(非常重要!黑客可以通过脚本从浏览器使用默认密码爆进后台,更改DNS达到劫持的目的)
5,不要贪图小便宜。在公共场所免费上网?那往往是个大坑。免费的翻|墙 软件?其实那是个陷阱。


五、进阶技术(可选)
浏览器多进程、多COOKIES方法:
为了确保安全或多开浏览器进行交易,有时候我们需要使用多个浏览器进程和独立的cookies,其实很简单,chrome支持参数打开,请创建三五个 chrome浏览器点快捷方式,然后修改快捷方式的属性,把用户目录赋予3个不同位置,如c:\user1  c:\user2 c:\user3 
谷歌浏览器的快捷方式属性后面添加“--user-data-dir=C:\user1” 以分配一个全新的用户目录
"C:\Documents and Settings\****\chrome.exe" --user-data-dir=C:\user1
这样,从这个快捷方式打开的chrome就会使用C:\user1 存放cookies和其他资料。
再给另外的快捷方式赋予user2,user3等不同的用户目录位置,那么从每个不同的快捷方式打开的浏览器就将使用不同的用户资料档案,从而实现同时开启多个cookies的目的。

浏览器配合RAMDISK:
最安全的清除记录方式是电清除,因磁存储的剩磁可以被恢复,但储存在内存中的资料掉电后会彻底消失。
目前系统均允许使用一部分内存,模拟出一个硬盘来进行操作,以达到提速目的,
因此建立一个内存盘,并把上面的用户资料夹位置赋予到内存盘中,记录和cookies在断电后就被彻底的清除了。这也能有利于减少硬盘碎片和极大提升载入网页的速度。
建立一个内存盘,如P:\  并将chrome的用户资料赋予--user-data-dir=P:\user1
打开快捷方式后,chrome会自动在P中建立user1的资料目录,并以光速载入数据
原理是电子在随机储存器RAM中以近光速运行,而读取硬盘的内容较慢,因硬盘是机械式的,一般电脑也就5000到7000转/分,需要更长的时间。SSD可以解决这个问题,但频繁读写SSD,又会损害SSD的寿命。
这样既达到了极快的载入网页,又达到了关机完全清除数据,而且每次打开是一个全新的浏览器,更好的保护了安全,只是不能使用收藏夹了。
具体RAMDISK的安装与设置请自行解决。
Jump to: