浏览器登录要小心

记者：神州云科为什么会想到做浏览器登录安全防护？

陈思：据2016 McAfee网络安全威胁报告数据显示，36%的网络攻击来源于浏览器，在网页内产生。当我们通过浏览器购物消费、登录网银、玩游戏、看视频时，频繁的登录个人信息，攻击者只要下发一个恶意脚本到浏览器中，就可以获取你的密码信息，不需要去攻破网站的数据中心，SSL加密也没用。而且国内80%的网站在浏览器端均没有采取加固处理，攻击者很容易就可以拿到个人登录时的用户名和密码。

记者：很多网站登录有验证码、短信验证、安装插件，乃至于USBkey，拥有这些是否就安全了？

神州云科副总裁、云科安全公司总经理 陈思

陈思：真实情况未必，验证码只能实现降频，不解决安全问题；至于短信验证码，SIM卡复制、基站信号压制等都可以轻松搞定；插件/控件只解决一个参数的保护（密码），其他关键参数仍然以明文的状态暴露在互联网上，而且大量APP无法直接安装插件/控件；至于USBkey，价格昂贵，且应用范围太过于受限。

记者：神州云科是如何解决浏览器端信息泄露问题的？

陈思：达尔动态应用加固系统（DAR）是神州云科安全公司推出的一款基于WEB端的动态应用加固保护系统，同时也是一款可编程防御架构系统，采用独特的“动态应用加密”方式，不仅可以使关键信息从明文变为密文，并且密文状态高频变化，使得攻击者信息获取成本和难度直线上升，从而有效降低甚至根绝该场景下的个人信息泄露可能。DAR通过代理的模式部署在web服务器与终端用户之间，通过JavaScript脚本加密终端与服务器端传输敏感信息，通过加密用户端账号、密码信息可避免有恶意脚本窃取用户信息，同时也可防御对撞库等此类基于应用场景的安全威胁。而且攻击者也无法轻易进行漏洞利用的扫描与尝试，为客户的安全更新争取时间，同时利用DAR可编程防御接口，云科安全技术服务人员可及时下发安全补丁，帮助企业进行安全对抗。

记者：目前达尔动态加固系统（DAR）主要应用在哪些领域？

陈思：银行、保险、电商、游戏、政府、视频网站等行业，由于存在大量登陆场景，遭受撞库等网络攻击可能性最大，需求应用也最为迫切。