我们正试图分析一些MVC应用中的一些攻击媒介,我们正在考虑编写一些代码来阻止用户使用我们认为太不安全的浏览器[版本]访问我们的网站。哪些浏览器版本被认为太不安全?
例如,任何低于IE 7的内容都将被禁止访问我们的网站。
任何未实施HttpOnly cookie或具有严重已知洞/脚本问题的浏览器[+版本]都将出现在我们的观察列表中。
如果没有对所有版本的IE完全不安全(!)的明显的讽刺评论,哪些浏览器和/或版本会被认为是有风险的? IE浏览器往往会得到所有不好的新闻,但Chrome的第1版或Safari的第3版等呢?
老实说我还是觉得最不安全的浏览器就是IE。 IE有很多崩溃和很多代码执行错误。在2012年的最后几天,发现蓝天0天的bug被野外利用。但我不记得上次的bug,我已经看到它在Windows 7中成功执行shellcode并且启用了DEP和ASLR。那几天几乎过去了Firefox和Chrome。特别是镀铬沙盒非常安全。我见过只有Vupen在1年前发现了在Chrome中执行代码的0天vourrability。
你可以看到每个产品每年的漏洞列表,你也会看到bug的分类。 http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
将产品更改为Chrome,Internet Explorer和Safari。
另外IE真的很容易受到第三方插件的攻击,您可以在IE上更轻松地实现代码执行。
如果您有更具体的问题,请询问。
感谢您的回复。您提供的链接非常有用,并包含大量优秀的信息。我很欣赏你对IE的评论,但事实是我们不能仅仅禁止IE浏览器!我们简单地禁止了IE 7并返回。除IE之外,您建议我们禁止哪些主流浏览器的版本? – SimonGoldstone