公共計(jì)算機(jī)IE緩存有風(fēng)險(xiǎn)－用戶需警惕

據(jù)網(wǎng)絡(luò)應(yīng)用安全專業(yè)廠商Cenzic稱，如果你使用公共計(jì)算機(jī)上的IE瀏覽器訪問(wèn)Gmail電子郵件賬戶，你也許會(huì)在瀏覽器的緩存中留下許多敏感的信息。
    Cenzic發(fā)布警告稱，Gmail和IE瀏覽器中的安全漏洞會(huì)嚴(yán)重影響電子郵件系統(tǒng)和用戶隱私。然而，微軟并不重視這個(gè)風(fēng)險(xiǎn)。微軟稱，這不是產(chǎn)品中的安全漏洞。
    Cenzic公司聲稱研究人員發(fā)現(xiàn)一種方法，與不適當(dāng)?shù)木彺嬷噶钜黄鹗褂肅SRF（跨站請(qǐng)求偽造）能夠從IE緩存中劫持Gmail證書。這個(gè)安全問(wèn)題僅存在于用IE訪問(wèn)Gmail的過(guò)程中。微軟和Google應(yīng)該使用補(bǔ)丁保證用戶的安全，特別是保護(hù)那些在圖書館或者網(wǎng)吧使用計(jì)算機(jī)的那些用戶的安全。
    微軟發(fā)言人在聲明中稱，經(jīng)過(guò)全面的調(diào)查，微軟認(rèn)為這個(gè)風(fēng)險(xiǎn)有些言過(guò)其實(shí)。在存在疑問(wèn)的這種情況下，攻擊者需要經(jīng)過(guò)身份識(shí)別訪問(wèn)系統(tǒng)之后才能修改緩存中的文件。擁有這種水平的訪問(wèn)權(quán)限，攻擊者還能夠安裝惡意程序，造成比上面介紹的情況還要嚴(yán)重的后果。
    Cenzic公司的Khera承認(rèn)，黑客必須物理訪問(wèn)那個(gè)系統(tǒng)才能實(shí)施攻擊。但是，他堅(jiān)持說(shuō)，使用公共計(jì)算機(jī)的用戶會(huì)有遭到跨站腳本攻擊（XSS）的風(fēng)險(xiǎn)。他說(shuō)，我理解微軟的立場(chǎng)。但是，這并不表示它沒(méi)有安全漏洞。這仍是一個(gè)需要修復(fù)的嚴(yán)重問(wèn)題。
    由于沒(méi)有補(bǔ)丁，Khera建議用戶在瀏覽器上關(guān)閉緩存網(wǎng)頁(yè)，這將阻止為了以后觀看緩存任何網(wǎng)頁(yè)。但是，他警告說(shuō)，這種繞過(guò)風(fēng)險(xiǎn)的措施可能會(huì)對(duì)瀏覽器的性能產(chǎn)生不利的影響。