为什么交互式特性会与安全性相冲突？

申请免费试用、咨询电话：400-8352-114

你隔多久会碰到浏览网页的时候，浏览器只显示一个空白页？我经常碰到这样的事。 
 
有时候，网页里面某个部分的内容完全丢失，最大的可能是丢失导航元素，这样我就完全无法浏览网页。有时候，我要浏览的网页会告知我需要安装或启动一个插件程序，或者改变我的浏览器的设置才能够顺利地浏览该网页和导航页面。虽然并不经常这样，但这已经很让人头疼了。

现在，我将是第一个承认自己不是一个具有代表性用户的人，但是我相信遇到这些问题的决不止我一个人，尤其是在现在这样一个用户比以前更加关心浏览器的安全问题的时候。根据我当时的心情，以及具体的有问题的 Web 站点，我可能会花上一些时间来调整浏览器的设置，以解决上述问题。

但是更多的情况是，在我遇到一个不能正常显示的 Web 站点时，尤其是在遇到那些要求 JavaScript、ActiveX控件、Java 或者 Macromedia Flash 才能正常显示的 Web 站点时，我会问自己在在这样的站点上浪费时间是不是值得。而且，如果一个 Web 站点由于 JavaScript 代码重定向、弹出窗口或者其它的什么方法把我困在其中，让我无法解决，那么我就不会试图花时间改变浏览器的设置以让 Web 站点正常显示。

但是，请不要误解我：Web 站点的交互式特性能够为用户提供很大的便利。然而，这些特性只有在正确地解决了浏览器安全问题之后才会真正给用户带来便利。

有一点很重要，那就是任何有可能被滥用的技术都有可能并且最终确实会成为被滥用的目标，而Web 站点的设计者似乎把这个问题忽略了。这一问题对任何人来说都应该不是新鲜事；恶意攻击者已经使用 Macromedia Flash 和浏览器端的编程语言（比如 Java 和 JavaScript）等交互式浏览器特性来绕开安全防范措施并恶性利用浏览器。

很多用户的应对措施是通过定制浏览器的 Internet 安全设置，将安全级别设置得更高来防范浏览器被恶意利用。但是这种加强的安全性意味着很多通过 Java、JavaScript、ActiveX、cookie 和其它浏览器内建功能来实现交互式特性的 Web 站点不能正常运行，而且除非用户进行人为设置，否则其它的一些交互式性能也将失效。

当然，提高浏览器的安全级别怎么说都不是一个坏主意，但是要记住，要确保这些安全设置对浏览器插件或浏览器辅助对象（BHO，Browser Helper Object）没有影响。虽然用户现在能够调整浏览器插件，但是这一过程甚至比设置特定的 Web 站点安全区域更加让人感到困惑。这样一来，大多数用户根本就不愿意这样做。

在使用特定浏览器插件的情况下（比如 Macromedia Flash），Web 浏览器的安全设置本身对 Flash 插件的安全设置没有任何影响。事实上，Internet 销售公司最近正是利用了这一“特性”来显示他们的强行弹出广告——即使用户已经禁用了其它交互式浏览器特性，这些窗口仍可弹出。

此外，Flash 还能在浏览器的安全控制之外永久保存用户的信息。虽然 Macromedia（现在已经是 Adobe Systems 的一部分）已经对这一安全问题作出了回应，采取了一些补救措施，但是我还是选择了在浏览器中完全禁用Flash。

顺便提一下，Macromedia Flash 还有数不清的其它漏洞。因此，那些强迫用户接受 Flash 的 Web 站点设计者应该清楚地意识到 Flash 会绕过浏览器的安全设置。

但是我也不能一味地谴责 Macromedia 或者使用 Flash 设计交互式 Web 站点的开发人员。即使是万维网联盟（W3C）几年前已经建立了标准，但是能严格遵守这一标准的浏览器就只有 Opera 一个。（而你知道又有多少在使用 Opera 呢？）

Internet Explorer、MozillaFirefox、AOL、Safari 和其它浏览器在使用 Java、JavaScript 或者 ActiveX 处理HTML 时采用的方法各不相同。对于想要建立公用交互式特性的 Web 站点设计者来说，Flash已经证明几乎是兼容性最好的选择，这是因为浏览器的 Flash 插件是由 Macromedia 自己开发的。

很多 Web 站点能够让用户根据自己的安全设置或插件的不同而选择使用交互式特性。我对这些 Web 站点没有意见——因为他们给了我一个选择。但是我对于那些要求我使用不同浏览器、更改安全设置或者启用浏览器插件的 Web 站点从来都没有什么好印象。

另外还有一点很重要，那就是很多 Web 站点访问者并没有必备的那些插件，或者他们已经设置了较高的安全性，这就意味着他们通常只会看到一个空白页面。在很多情况下，他们并不愿意去试着解决这一问题，而是简单地选择放弃。当然我也不能谴责他们，因为我自己也会选择跳过这个 Web 页面，而不会去更改浏览器的安全设置。

我很不情愿将这则消息推到Web 站点设计者面前，但是那些需要更改浏览器设置才能实现的奇异特性已经被证明是非常不受用户欢迎的。在我看来，Web 站点设计者需要把注意力集中在功能性上并使设计尽可能地简单，而不是在“flash”上。

从我最近接到的有关 Web 站点不能正常显示的支持电话来看，我可以确定地说，用户对浏览器安全性设置的要求比对交互式 Web 站点特性的要求更高。随着用户越来越关心安全性问题，他们会提高浏览器的安全性设置并禁用很多目前 Web 浏览器中正在使用的交互式特性。

来源：ZDNET