正规的网站也不再安全了？

　　正规的R IA单机是非常强大的，因为它把客户引擎作为用户浏览器的延伸加以利用，把大多数的处理程序下载到了客户端的机器 。这种可执行程序的客户端就常常被利用，成了恶意代码的承载体。RIA采用活跃的ActiveX plug-ins，这是一种常见的RIA技术，非常容易受到攻击。（赛门铁克2007年上半年发现89%的浏览器的插件程序在因特网的浏览器中感染了   

　　正规的网站也不再是安全的了。网络攻击者能够（而且也是这样做的）在一些常用的网站上插入可以执行的XML恶意软件--去年，电脑专家们就发现MySpace网站上被植入了病毒代码。流媒体是第二个被利用的病毒承载体。大家可以想象如果特洛伊木马被植入到YouTube 具有影响力的特色视频中，然后被成千上万的毫无防备的用户观看，将产生什么样的后果。

　　就在这个月，特洛伊木马通过SMTP使用户的机器受到感染，之后又传染到了HTTP。Storm backers 使威斯康星州第一选举区的共和党网站受到感染。幸运的是，网站的主人在几个小时之内就消除了危险的代码。据安全专家们估计至少有200万 机器感染了Storm botnet；通过Web的传播，该病毒的感染能力可能会触及到数千万台机器。对网站实施地毯式的拦截也不是一个解决方案；有证据显示许多的网站还是能够为一些用户提供正规的商业功能的。

　　SSL加密网站同样会造成一种威胁。大多数Web安全解决方案不能检查SSL隧道，SSL隧道携带着点到点的加密数据，使SSL成为截获数据最有效的承载体。网络攻击者还设立可以通过SSL激活的Web服务器，看似正规网址，却使用网络钓鱼的方法破坏受害者。当用户收到一封电子邮件，然后点击一个他认为是自己银行的网址时，他的Web浏览器中常用的安全防护软件就会传递给他们一个错误的安全信息。

　　SSL还是一个通过企业的防火墙来传播蝇蛆病毒和特洛伊木马、使其进入可信的已知网站的有效方法。一旦蝇蛆病毒被安装，它就会行成botnets，就会采用同样的SSL对话把敏感数据及其它有价值的内容泄漏到企业网络之外。但多数内容过滤和其它安全产品都无法识别这些攻击，因为他们无法看到加密的数据，因此，这些对话就能够自由地出入网络之中了。

　　安全专家们如何才能保护他们的企业呢？

　　首先，他们必须有能力实时地对正规网站进行扫描，查找可执行的病毒和其它恶意软件。地毯式封锁不是一个解决方法--许多基于web的正规商业应用也采用可执行文件来丰富用户的体验。安全专家们必须能够在p2p应用中同时建立宽广和精细的基于用户的策略控制，如即时通信和Skype，而同时不会影响用户的生产力和应用性能。 

　　了解今天的网络钓鱼技术也是非常重要的。应该防止用户把数据传输到高风险的网站和具有明显的SSL认证的网站。最后，IT 的支持者们应该对RTSP、MMS、IM、SSL 和P2P应用实施宽广的协议控制，这样就会识别威胁并阻止威胁。有些更为综合的web安全解决方案能够提供该级别的安全功能，同时也能够提供基本的信息通讯、防病毒和防垃圾邮件过滤等。其关键是保证一个无缝隙的、没有限制的用户体验。这是一个很高的要求，但还不是一个不能达到的目标。