一位同事的防毒套件 (Avast) 在他的瀏覽器快取中偵測到病毒。因此,他將瀏覽器設定為在每次會話後清除快取。這是合理的做法嗎?
在我看來,即使存在受感染的文件,除非您導航到從中獲取該文件的網站,否則該文件也不會被使用。在這種情況下,您已經因與受感染的網站互動而面臨風險。如果您沒有瀏覽該網站,則任何內容都不應調用快取的檔案。
是否存在一種攻擊媒介可以使清除快取成為合理的安全支援決策?
答案1
除了病毒之外,您被告知清除瀏覽器快取的原因是網站本地儲存的 cookie 檔案。如果攻擊者已經在您的電腦上感染了病毒,那麼他或她就可以輕易地劫持您未登出的會話。他們可以從 cookie 讀取您的會話 ID仍然儲存在您的電腦上,因為您沒有登出也沒有刪除它們。
透過簡單地退出網站,您就可以減輕這種風險,因為特定的會話 ID 將無效。但是,某些憑證可能會保存在本機或透過會話 ID 本身保存在伺服器端(即您的使用者名稱、先前提交的表單)。
至於刪除瀏覽器的快取來處理路過式下載,只要您的防毒程式運作正確,它就會在病毒下載到電腦後立即偵測到該病毒。
假設是不是偵測到,並且病毒已寫入磁碟,清除快取可能會進一步觸發 AV 在刪除期間檢查快取中的檔案。但是,如果您的防毒軟體在將文件下載到瀏覽器快取後沒有檢測到該文件,我會假設攻擊者已經在您的電腦上執行了程式碼。
最後,如果病毒程式碼已經在目標電腦上下載並執行,那麼清除快取並不會真正幫助您。然而,瀏覽器快取中存在各種麵包屑(包括臨時檔案和 cookie)。如果攻擊者已經存在於計算機上,或稍後訪問了計算機,他/她可以使用這些東西來利用您的各種在線帳戶,或分析您的瀏覽歷史記錄(並使用結果來改進中間人攻擊)。
雖然之後清除快取可能有點矯枉過正每一個會話,最佳實踐是確保您退出網站當你使用完它們後,並且定期清除瀏覽器的快取(每週兩次就足夠了,如果使用大量磁碟空間,則更多)。
與往常一樣,造訪包含敏感資訊的網站後,請立即清除所有留下的臨時文件,或使用瀏覽器的「私人」模式(隱身)瀏覽。