四、檢查網站的安全
當我們用搜尋引擎來搜尋網站後,搜尋引擎並不會告訴我們這些網站是否安全、是否值得信任,某些防毒軟體雖然提供了網站過濾功能,但是由於網站內容更新速度快,不見得能夠完全過濾掉不安全的網站。
筆者這邊介紹一個能夠用六種網站檢查引擎來過濾網站安全的Firefox擴充套件–LinuxExtend,讓你在下載檔案前能預先知道該網站的安全指數,再來考慮要不要從該網站下載檔案。
LinkExtend |
1.用Firefox打開LinkExtend的網站,按下〔新增至Firefox〕即可安裝。
2.安裝LinkExtend後,只要在搜尋引擎輸入關鍵字,搜尋結果後方就會有個網站安全的符號(紅色:高危險,黃色:中危險,綠色:低危險),在符號上按下滑鼠左鍵,會顯示出所LinkExtend所使用的六種網路安全檢查引擎,每個引擎所顯示的危險指數不見得相同。
在安全符號後面還有顯示該網站的「PageRank」及「SiteTraffic」,一般來說這兩個指數越高表示瀏覽的訪客數越多,該網站值得信任的程度也就越高。
另外LinkExtend也會在Firefox上方安裝一排工具列,當你開啟網站時,就會在LinkExtend工具列上顯示該網站是否安全。
如果你用的是IE瀏覽器,這邊推薦兩個相同功能的軟體:
趨勢科技的網頁威脅防禦工具(WTP Add-On):http://www.trendmicro.com.tw/wtp/micro/index.asp
McAfee的SiteAdvisor:http://www.siteadvisor.com
五、如何檢查檔案是否遭到竄改
某些避免使用者下載到被別人竄改後的假檔案,某些網站會提供檔案的雜湊值驗證碼,最常見到的就是MD5及SHA-1這兩種。
所謂雜湊值就是將檔案內的資料經過數學的計算後,所得到的一組獨一無二的數值,即使檔案被修改了一個Byte,所計算出來的雜湊值也會不同。因此我們在下載一些重要的檔案後,可以利用雜湊計算軟體來檢查檔案是否正確。
例如一般人常用的國稅局網路申報軟體,為了避免使用者下載到假檔,會在網站上公開SHA-1驗證的工具及驗證檔,可見得雜湊檢查的重要性。
阿正老師在這邊介紹一套相當容易安裝及使用的免費雜湊軟體–HashTab,支援了Windows及Mac OS X等兩大作業系統平台。
HashTab軟體介紹
|
下載並安裝好HashTab後,只要在下載的檔案上按下滑鼠右鍵,選擇【內容】,就會發現多了一個「檔案校驗」的分頁,裡面會顯示CRC32、MD5、SHA-1…等雜湊值,只要在下方的「校驗比較」欄位中輸入網站上提供的雜湊值,就會顯示比較的結果是否正確。
這邊有個小問題要考考讀者:從官方網站去下載檔案,是不是就不會下載到假檔案?
答案是:錯!當你的電腦被感染了某些電腦病毒或木馬之後,它會將你電腦的DNS設定指到假的DNS伺服器,也就是你所開啟的「官方網站」可能會被導到假的網站,因此你下載到的也會是被竄改或植入木馬的假檔,所以不得不小心!
關於其他雜湊工具,讀者也可以參考本站文章:《還怕下載到假檔案嗎?11合一的免費檔案雜湊檢查軟體幫你一次搞定!》
六、在虛擬機器或Live CD中下載檔案
如果你跟阿正老師一樣,常常需要下載軟體檔案來測試,又怕下載到有問題的檔案時,可以試試看使用虛擬機器軟體來安裝另一套作業系統。
比較常見的虛擬機器軟體有VMWare Workstation、甲骨文公司的Virtualbox、微軟的Virtual PC…等。其中阿正老師比較推薦VirtualBox,除了完全免費、版本更新速度快之外,還有完整的中文介面,操作也相當簡單,是用來當沙盒(sandbox)的不錯選擇。
VirtualBox
|
使用虛擬機器來下載檔案的最大好處,就是虛擬機器的電腦就算中毒或損毀了,也不會影響本機的正常運作,加上目前的虛擬機器軟體都提供了「快照」的功能,只要在下載前建立一個快照,當你發現下載或安裝的檔案有問題,可以隨時還原回去,非常方便。
如果你懶得在虛擬機器中安裝另一個作業系統,也可以試試目前很熱門的Ubuntu Linux,只要到官方網站下載一個不到700MB的CD映像檔,就可以從電腦或虛擬機器中直接開機,不用安裝即可執行(也就是Live CD),加上在Linux中不會感染Windows裡面的病毒,因此可以在裡面放心下載檔案或開啟可疑的Email附件,而不怕被病毒感染了!
※Ubuntu下載網頁:http://www.ubuntu.com/desktop/get-ubuntu/download
什麼是「沙盒」呢?維基百科上的解釋是:
沙盒(Sandbox)是為一些來源不可信、具備破壞力或無法判定程式意圖的程式提供試驗環境。然而,沙盒中的所有改動對作業系統不會造成任何損失。通常,這種技術被電腦技術人員廣泛使用,尤其是電腦防毒軟體行業,沙盒是一個觀察電腦病毒的重要環境。
看完有受益良多
感謝阿正老師:D
下載前多考慮風險問題,反而比較輕鬆吧。
檔案或軟體提供人是誰?官網或不認識的傢伙?
光考慮這點就會有一堆東西被隔絕在外了!