您能解釋一下為什麼將瀏覽器安全放在首位嗎？

因為瀏覽器正在處理來自互聯網的大量不受信任的內容。

當然，如果您使用任何其他可執行此操作的程序（例如Mail客戶端，可能是Office程序，PDF閱讀器），則也應保持這些更新，因為這些程序中的漏洞也是常規的攻擊媒介。

SSL證書沒有說明您對網站的信任。 HTTPS僅防止在傳輸過程中對流量進行嗅探修改。 HTTPS站點可以提供與普通HTTP站點一樣多的惡意軟件。

除了“ 大多數個站點”與“ 全部”。

我能聞到腥味的網站嗎？

即使您可能對嗅探URL所在的網站的能力充滿信心看起來像是可疑的（實際上可能是過分自信），我敢肯定，如果您定期訪問的網站遭到黑客攻擊並提供惡意軟件（例如，水坑攻擊或其他類型的惡意軟件），您將不會事先知道黑客攻擊信譽良好的網站以增加受害者的人數），或者該網站正在投放網站本身無法控制的惡意廣告（即惡意廣告）。

編輯：
我寫完答案後，OP在問題中添加了以下內容：

其中大多數都足夠大，我可以相信它們不能被黑客入侵，...

太大而無法被黑客入侵？雖然大型網站通常比小型網站具有更好的安全性，但這並不意味著它們是不可入侵的。擁有大量客戶的站點對於攻擊者而言尤其是可觀的目標，因為這也意味著很多潛在的受害者。一些例子： ...《福布斯》上的惡意廣告...或 ...“勒索軟件”惡意廣告對《紐約時報》和BBC造成打擊或研究：排名最高的三分之一易受攻擊或被黑客入侵的網站。

...或小到我認為這對黑客沒有好處，...

太小而不能被黑客入侵？也不是：攻擊者使用自動化工具入侵WordPress或Django等不安全的CMS安裝，即以這種方式接管易受攻擊的站點非常便宜。

並非您訪問的所有網站都具有證書。您不會聞到骯髒的網站。證書並不意味著該網站不會試圖對您進行黑客攻擊。

瀏覽器是對您計算機的最大攻擊媒介。它至少會運行未經審查的JavaScript代碼，上帝知道還有什麼。它不斷處理來自不受信任來源的數據。

您的每條陳述在這裡都是錯誤的假設：

我訪問的大多數網站都具有SSL證書。

這很好，但是SSL / TLS只能保護您免受

相當多，擁有（有效）TLS證書的網站只是意味著該網站的所有者以某種方式證明了用於訪問該網站的域名的所有權，可能為此花費大量金錢（或可能不花費任何金錢）。通常，這意味著您可以相信該網站就是他們所說的那個人，並且禁止域欺騙（針對您的第三點，我將進行介紹）。但是，這可能並不意味著（例如，今年早些時候使賽門鐵克發布的所有內容都被撤銷/不信任的慘敗）。因此，TLS證書實際上只是在驗證網站的所有權，而不是網站是合法的，也不是他們在按照自己的名義行事。

TLS證書還提供了另一個保護優勢，即可以使用HTTPS。如果正確使用，HTTPS提供了兩種保護類型

• 它提供了相當高的置信度，即您接收到的數據與網絡上的數據相同服務器已發送。這對於確保在傳輸過程中第三方沒有將任何東西添加到站點或從站點中刪除非常重要。
• 它提供了相當高的置信度，可確保您正在傳輸的數據正在被傳輸。在向第三方運輸途中不可見。這就是為什麼確保您提供的任何密碼或個人數據網站都可以使用HTTPS如此重要的原因。

這仍然使您容易受到很多攻擊。最明顯的是要對Web服務器進行黑客攻擊（如果使用的是CDN，則為CDN）。還存在其他攻擊，例如XSS攻擊，惡意廣告（認為其中存在所有完全合法的站點，因為它們使用了廣告，這些站點已隱藏了自動重定向到惡意站點的功能）以及對TLS本身的攻擊（此類攻擊是為什麼不明智的原因運營商仍使用SSLv2或SSLv3，兩者均已知已損壞）。因此，HTTPS / TLS / SSL本身並不是嚴格的保護。

而且，正如您自己所說，您訪問的大多數網站中的都使用TLS，而不是全部使用TLS。 非常認真考慮您是否真的應該信任那些不使用它的其他站點，如果他們不願意花五分鐘的時間來設置來自LetsEncrypt的免費證書的服務器，還有哪些其他站點？安全方面是否在偷工減料？

它們中的大多數要么足夠大以至於我可以相信它們不能被黑客入侵，要么足夠小以至於我認為對於黑客來說並不有利。

您過去十年沒有看過任何新聞嗎？僅就公開披露而言，對擁有超過100萬個 用戶的網站有數十種已知的攻擊（按照大多數人的定義，這是一個大型網站，因為1億以上超過世界人口的1％，並且可能接近互聯網總人數的3-4％）。我建議您查看我是否被私有？上的公共違規列表，那裡有很多大牌，包括處理很多敏感數據的大牌（例如Experian）。因此，不，期望某些東西“太大而無法被黑客入侵”是不現實的。實際上，大型站點是攻擊者最有吸引力的目標，因為它們擁有很多用戶。他們還因公開披露安全漏洞而臭名昭著，因為他們有更多的潛在客戶會輸，因此他們更有動力不這樣做。

另一方面，小型站點是>容易目標，即使沒有吸引力。如果您將大型網站視為黑客的高風險投資，那麼小型網站就是低風險的投資。它們可能不會提供太多回報，但是它們通常會提供更一致的回報，因此它們仍然是有吸引力的目標。

此外，請考慮到攻擊者經常將目標瞄準軟件易受攻擊，不一定是特定站點。 WordPress是一個很好的例子，因為它已在各種規模的網站上使用，並且過去已成功地多次用作攻擊媒介。

我能聞到腥的網站

首先，僅僅因為網站不是“可疑的”就並不意味著它不是威脅。根據許多人的定義，也有很多合法的網站看起來像是“腥”。

第二，複製合法站點並不難，但仍然會導致結果不合法。經常採用各種形式的域欺騙。一段時間以前，在一個大型的Infosec網站上有一篇相當不錯的博客文章（不幸的是，我現在找不到，否則我會在這裡鏈接它）在apple.com上進行了演示。

例如您需要注意但可能無法發現的事物類型，您能說出uv和υν之間的區別嗎？不，這不是一個技巧性的問題，第一個是小寫拉丁字母'u'和'v'，而第二個是小寫希臘字母upsilon和nu。在大多數無襯線字體（如地址欄中幾乎所有瀏覽器使用的字體，以及大多數SE子網站上的默認字體）中，這兩對字符幾乎無法區分。即使使用許多襯線字體，對於大多數人也很難區分。同樣，АВ實際上是一對西里爾字母，不是不是拉丁字母，在大多數字體中再次與拉丁字母“ AB”沒有區別。兩種情況都說明了IDN同形異義詞攻擊的示例，該技術使攻擊者利用看上去相似或相同的不同字符的相似性，使人們看起來像指向合法網站的鏈接，從而誘使他們遵循其鏈接。

漂亮很多，不要以為您可以識別一個威脅網站，直到為時已晚。

由於沒有人指出這一點：

反病毒軟件的作用遠不如您想像的那樣。實際上，如果您詢問安全專家，則主要建議是保持安全將是更新所有軟件的方法，而不是運行防病毒程序的建議值-因此，您正計劃不要做的事情。

為什麼？防病毒軟件所做的一切就是阻止已知的舊流行病。但是，大多數成功的廣泛攻擊只會創建新病毒並使用時間窗口，直到更新防病毒軟件才能傳播。防病毒軟件不是萬能藥，它只能檢測出已知的信息（有行為檢測功能，但對於現有的任何AV軟件來說效果都不佳），因此，在抵禦新攻擊時，它只會幫助減少入侵機會。到目前為止，對於攻擊者而言，最便宜的入侵機會是過時的瀏覽器或核心系統。

所以，是的，如果您關心任何數據，則對於最新的瀏覽器而言至關重要實際上，您是否擁有殺毒軟件並不重要-確實有一定幫助，但是如果您的瀏覽器或核心系統已過時，它就不能使您免受大多數新攻擊。 p>

旁注：如果您運行的是沙盒瀏覽器，則可能會有所不同。但是，除非您知道那是您在做什麼，否則您很可能不會這樣做。而且我不確定32bit是否支持UWP / Windows App Store等任何常見的沙盒解決方案。同樣，在那種情況下，網站可能仍然能夠從所有其他打開的網站（包括您的銀行網站標籤）中竊取數據。因此，這並不理想。

如果您關心安全性，就應該關心安全性。

如果您足夠關心說“我能聞到腥味的網站”或“我訪問的大多數網站都具有SSL證書”之類的內容，那麼您確實關心安全性。

攻擊物在那裡。期。讓我們不要自欺欺人。我們不要假裝自己沒有免疫力。拿 Stuxnet。 Stuxnet被認為可以摧毀多達1000台用於濃縮伊朗核燃料的離心機。至少損失了數億美元。實際上，從國家的角度進行良好的風險評估會更加可怕。

您感到無敵是因為您訪問帶有SSL證書的網站嗎？ Stuxnet命中的計算機出現氣隙。互聯網和被感染的計算機之間沒有連接。他們仍然被感染。

所以真正的問題不是“我安全嗎？”你不是。真正的問題是您是否足夠安全？花費一些美元和一些小時進行升級是否值得？這是一個平衡問題。這很有用。

這是一個測試。登錄到您的計算機。登錄到您關心的幾個站點。現在把你的電腦交給我。我要走開了。你覺得怎麼樣？您對我的數據有多緊張？如果您所擁有的只是裝滿可愛小貓照片的硬盤驅動器，那麼我帶著筆記本電腦走了，您可能會更生氣。筆記本電腦更換起來很昂貴。但是，如果您在那台計算機上擁有銀行憑證，那麼您可能會更加擔心我將如何使用這些憑證。您的SSN在那台計算機上嗎？

一旦您知道可以造成多大的損害，以及防止損害的成本，您就可以做出判斷。

瀏覽器更新包括對證書頒發機構數據以及實際上它自己的證書的更新。這兩件事都有到期日期，而且有很多網站根本無法通過過舊的瀏覽器訪問 ，因為SSL證書無法通過過舊的瀏覽器或過時的瀏覽器進行驗證舊的瀏覽器無法向遠程服務器驗證其自身的證書。因此，即使您不關心安全性，也可能關心安全性驗證為您實現的訪問和功能。

此外，當您“聞”到網站的可疑性時看著，對於許多攻擊來說已經為時已晚。希望您的舊32位操作系統也無法獲取其防病毒軟件的更新。

除了其他答案中的優缺點之外，

您的32位軟件是否仍在定期更新，或者它是不贊成使用的舊版本？

一旦任何與互聯網連接的軟件停止接收新的安全修復程序，此後便很容易受到每個新錯誤或黑客的攻擊。

• 我訪問的大多數網站都具有SSL證書，
• 它們中的大多數要么足夠大以至於我可以相信它們不會被黑客入侵，要么足夠小以至於我可以
• 我能聞到腥腥的網站嗎？

裡面的所有內容都不對。

正如您所猜測的那樣，瀏覽器安全性很重要，因為在大多數係統上，沒有其他軟件會定期從信任邊界之外正常地遇到

• 需要實時處理的數據，
• 不訂閱某些簡單且易於過濾的格式，然後
• 然後由實現不斷變化的目標的高度複雜的軟件解析或執行-換句話說：很可能包含實施錯誤，其中一些可能是可利用的。

SSL保護您免受某些類型的攻擊，如果攻擊者的目標是破壞您的計算機，則大多數與攻擊無關。正如其最新名稱TLS所暗示的那樣，其業務是傳輸安全性，而不是保護您的瀏覽器或計算機。

各種類型的網站都經常遭到黑客攻擊。最小的自動機器人。這裡的背景噪音非常驚人。如果您擁有自己的服務器，請打開日誌文件一天，並驚嘆於幾乎所有有趣端口（24/7）的大量連接嘗試。打開您的Web服務器日誌文件，並通讀奇怪的路徑和標準路由，以找到流行的，不安全的軟件包。如果無法正常工作，至少在某些情況下不會出現這種情況。

與此同時，大型網站並不能僅僅通過擴大規模而變得更加安全。在動物界，您必須是最大的動物，才能免受食肉動物的傷害。如果您只是個大個子，那就意味著您正在被獅子而不是狐狸獵殺。互聯網上的內容相同，如果是大型網站，則意味著您的威脅行為者是敬業的活動家，有組織的犯罪活動，也許是各個國家（取決於您的企業）等。威脅概況會根據您的規模進行更改，但是完全天真地聲明它會變得更好是很天真的。

您可能會聞到魚腥的網站，但是通過側向加載已經沉積了很多惡意軟件，例如通過廣告網絡而不是直接通過網站。

因此，總而言之：瀏覽器安全性很重要，因為它是最大的漏洞之一，即使不是最大的漏洞也是如此。在您的周圍，儘管瀏覽器或反惡意軟件工具都可以幫上忙，但您不能通過瀏覽習慣或反惡意軟件工具充分保護自己。