我们正在尝试分析我们的一个MVC应用程序上的一些攻击媒介,我们正在考虑编写一些代码以防止用户使用我们认为过于不安全的浏览器[版本]访问我们的网站。
例如,任何低于IE 7的内容都将被禁止访问我们的网站。
任何未实现HttpOnly cookie或具有严重已知漏洞/脚本问题的浏览器[+版本]都将出现在我们的监视列表中。
如果没有关于IE的所有版本完全不安全(!)的明显讽刺评论,您认为哪些浏览器和/或版本存在风险? IE往往会受到所有糟糕的压力,但是Chrome的版本1或Safari的版本3等等呢?
答案 0 :(得分:1)
老实说,我仍然认为大多数不安全的浏览器都是IE浏览器。 IE有很多崩溃和很多代码执行错误。在2012年的最后几天,蓝洞0天的虫子被发现在野外被开采。但我不记得我见过的最后一个错误,它在启用了DEP和ASLR的Windows 7中成功执行了shellcode。那些日子几乎已经过去了Firefox和Chrome。特别是镀铬沙箱非常安全。我见过只有Vupen找到了一个0天的版本,它在1年前在Chrome中执行了代码。
您可以看到每个产品每年的漏洞列表,您也会看到错误的分类。 http://www.cvedetails.com/product/3264/Mozilla-Firefox.html?vendor_id=452
将产品更改为Chrome,Internet Explorer和Safari。
IE也非常容易被第三方插件攻击,你可以在IE上轻松实现代码执行。
如果您有更具体的问题,请询问。