本文想简单谈谈那个所谓的“根证书”。在访问铁道部网上售票官网 www.12306.cn 后,有一个醒目的提示,为保证顺畅购票,需要下载安装根证书。那么什么是根证书?为什么买火车票的时候需要下载和安装,在淘宝等在线交易网站购物时候为什么就不需要这样做?
今年开始,人民群众们终于可以通过互联网购买火车票了。虽然说在线买的难度不比以往排队购买低多少,但这总算是一次值得鼓励的尝试。不过在线购票系统一经退出,在技术上就已经被人批得体无完肤。
为了确保安全,很多涉及在线交易的网站,例如网上银行、购物网站等,都会使用SSL技术对页面内容进行加密。SSL技术在这里的主要用途有两个:
确保网站服务器和用户浏览器之间的通讯不被窃听:这一点很好理解。SSL属于一种公钥加密体系,简单来说,一个SSL证书分为两部分:公钥和私钥。其中私钥会被网站所有者妥善保管,并在服务器端用私钥将网络通讯全部加密;而公钥会在网上广为传播,一个公钥加密后的数据只有用所对应的私钥才能解密。因此只要SSL证书本身可以保证安全,那么在访问网站的时候就可以保证网络通讯不被他人所窃取,并且如果有人进行中间人攻击,因为没有相应的密钥,导致篡改后的数据无法通过校验,因此可以及时察觉。
确保网站所宣称的身份真实可靠:这一点也不难理解。网上有个网站叫做支付宝,可如何保证这个网站就是那个真正的支付宝,而不是其他人伪造的钓鱼网站?因此真正的支付宝可以使用SSL证书,这种针对企业用的证书的申请手续比较繁琐,有一大堆审查流程,需要提交大量相关的证明文件,因此可以保证只有真正的某公司才能以这个公司的名义申请证书,只要申请到证书,就可以确信身份的可靠。此外近些年还有一种更可靠的EVSSL证书。
试试看访问“https://www.alipay.com”这个域名,随后可以看到,在浏览器的地址栏,“Http”协议后面出现了“s”这个字母,并且IE地址栏的右侧显示了一个锁头图标,因此证明该网站是SSL加密的。点击这个锁头图标后,还可以看到网站所用证书的相关信息。
加密功能基本上没什么需要解释的,因此下文的重点将放在身份可靠性这块。在上图所示界面上点击“查看证书”链接,随后可以看到该网站SSL证书的详情:
上图显示的“VeriSign
继续阅读 >>
年底的中国互联网真是异彩纷呈,随着CSDN明文密码数据库的外泄,这似乎成了一种潮流,各大网站都开始以数百万,甚至上千万用户为批次,争先恐后泄漏明文方式保存的密码,你要不泄露个百八十万用户的密码,都不好意思说自己的网站受欢迎。
一时间,IT技术类网站、网上社区、电子商务网站、政府网站,甚至电信公司,都有或多或少的密码在外泄。更有趣的是,所有外泄的数据中密码都是明文保存的。这一点就很令人费解了,如果说只有一两家网站遇到这问题,还有可能是因为网站的程序员脑子进水,但如此大范围大规模的明文存储,似乎已经不仅仅是技术问题。这个话题没法说,当然也没证据,所以就不说了。本文主要想说说看其他问题:如何用安全的方式管理安全的密码。
密码外泄后的危害
还别说,这个问题真有必要拿出来说说。我看到很多人都在说,自己的帐户没啥重要数据,自己也只是个小人物,就算密码外泄也没啥大不了的,能找回密码最好,就算找不回来,很多地方直接重新注册就行,也不会有啥问题。
那好吧,这个可以说说看自己的亲身经历。我用某个MSN邮箱注册了天涯社区,而这个帐户正好在天涯的外泄范围内。这没啥,MSN邮箱本身的密码和天涯社区的不一样,并且我在天涯社区的活动也不太多,几年也不会上去一次。但问题就在于,我的Apple
继续阅读 >>
这两天换用新本本后,我对硬盘的所有分区都启用了BitLocker加密。在微博上谈及此事时,和人讨论到了这个功能对性能的影响。虽然之前看微软的文档,那里说这个功能对性能降低的百分率在个位数,不过也有人说影响挺大的,于是我打算仔细研究一下。
首先,在网上进行了一下搜索,找到了一篇文章,其中给出的数据比较触目惊心,开启BitLocker,并使用不同加密算法时,对性能的影响在30%左右。下列两个图片来自原文网页。
由于上述结果是在一台CPU为Atom
继续阅读 >>
介绍 密码可以看作我们主要,甚至某些情况下唯一可用于防范入侵的防线。就算入侵者无法在物理上接触到计算机,对于对外的Web应用,他们依然可以通过远程桌面协议或身份验证功能访问到服务器上的服务。 本文的主要是为了告诉您Windows创建和存储密码哈希(Hash)的方式,以及这些哈希的破解方式。在介绍了如何破解Windows密码后,我还将介绍一些技巧,帮助您防范此类攻击。
继续阅读 >>
Symantec公司很勤劳,旗下的Norton安全软件每年都要升级一次。这不,马上要到2010年了,所以2010版的NAV/NIS产品也已经正式发布。 目前发布的还只有英文版,其他语种的版本将在稍后的一个月内相继发布,按照论坛上给出的计划,简体中文版将于10月19日发布。 和2009版相比,2010版除了功能上的改进外,最大的特点就是更好的支持Windows 7。之前我有片帖子介绍了2009系列的Windows 7兼容性补丁,根据计划,官方人员在论坛上宣布的是,从8月31日起,这个补丁就开始通过Live
继续阅读 >>
等了好久,今天终于在官方论坛上看到这则消息了,Symantec旗下的Norton Anti Virus/Norton Internet Security 2009,以及Norton 360 v3兼容Windows 7的补丁终于正式发布。安装补丁后,NAV/NIS 2009的版本号将变为16.7.2.11,而Norton 360的版本号将变为3.5.2.11。 其实说到兼容性问题,在Windows 7下,无论是32位还是64位,感觉都还算正常,不过有一个问题很令人郁闷,那就是将FireFox升级到3.5之后,诺顿的FF扩展没法用了,也就没法使用密码管理器功能,这次的兼容性问题也将解决这个Bug。
继续阅读 >>
这是个广告,不过我没有从中收取任何好处。
去年九月底,我买了一套Symantec的Norton Internet Security 2009安全套装软件一年授权,当时的使用感觉和想法可以参考这里。现在这个授权就快到期了,开始考虑续订,同时Symantec也开始推广优惠活动,原价¥299一台电脑一年升级的授权,现在可以装给三台电脑,并且两年升级,也就是3+2优惠活动(单位不同不能相加减,小学老师都教过的)。而一些网站也在销售这个软件,同时网站上的折扣更高,例如京东,现在卖¥88(前两天好像还是¥120多呢),还是三台电脑,两年升级服务。这个价钱就相当优惠了,等于一台电脑一年只需要14.6元,这比卡巴斯基一年25元还要便宜。
就算是给京东和NIS做个广告吧,感兴趣的朋友可以在这里购买。
需要注意一些问题:
两年的授权期限是从第一次激活开始计算的,也就是说,如果2009年7月14日激活了第一台电脑,那随后的两台电脑,无论何时安装或激活,都是20011年7月13日到期。
在京东购买的是盒装实物,需要首先安装一台电脑,激活,然后访问这里,填写必要的信息,并等待通过申请,然后才能安装另外两台电脑。
Norton的2010系列产品就快要发布了,现在购买2009版产品,根据英文官网论坛的介绍,在2010版正式发布后,可以直接免费升级到最新版本。但是,对于这种优惠的3+2活动能否享受免费的升级,暂时不清楚。问了一下客服,但客服没有直接回答,只说随时关注官网上的最新信息,所以也不知道届时能不能免费升级。
Once
继续阅读 >>
想当年,诺顿的安全软件是我最感兴趣的,而且我买的第一套正版软件就是Norton AntiVirus 2000,记得当时还在上大学,而那时每个月的生活费才400块。买了电脑后,就买了一套正版的NAV 2000,花了好像一百多块。
可大概从2003版开始,Norton系列软件越来越难用,体积越来越大,速度越来越慢,而效果则越来越差。于是后来我开始换用卡巴斯基,后来换成了微软的ForeFront Clinet Security。不过最近Norton
继续阅读 >>
很多人可能都听说过ERD Commander之类的软件,这种软件可以创建一个引导光盘,并用这张光盘将电脑引导进入一个特殊的WindowsPE环境(可以理解为运行在光盘上的Windows系统)中。在这个环境中,我们可以在不知道电脑上安装的操作系统管理员帐户和密码的情况下直接编辑系统的注册表或者修改任何一个帐户的登陆密码。甚至还可以获得文件的NTFS访问权限,并绕过Windows的权限设置读取需要的机密文件。这种在Windows没有运行着的情况下对系统进行"攻击"的操作就叫做"脱机攻击"。
其实类似这样的工具还有很多,有些是售价昂贵的商业软件,有些甚至是可以免费获得软件。那么这是否就意味着Windows的安全性很差呢?其实也不然。因为进行脱机攻击的时候,被攻击的Windows并没有运行,因此Windows的各种安全保护机制也无法生效,进而造成了被攻击的可能。其实不仅仅是Windows,任何操作系统都无法有效避免这种脱机攻击。至于从物理层面的攻击,例如恶意拔掉服务器电源导致服务中断,或者损坏硬件造成数据丢失,更是无法仅依靠操作系统就能避免。所以说实现系统安全和数据安全的一个大前提就是首先要保证计算机在物理上的安全,不让攻击者能从物理上接触到计算机。
不过好在Windows
继续阅读 >>
