Network 版 (精华区)
发信人: first (匆匆), 信区: Network
标 题: 黑 客 进 行Web 欺 骗 的 手 段 和 预 防 措
发信站: 紫 丁 香 (Wed Sep 23 17:01:38 1998), 转信
---- 本 文 描 述Internet 上 的 一 种 安 全 攻 击, 它 可 能
侵 害 到WWW 用 户 的 隐 私 和 数 据 完 整 性。 这 种 攻 击
可 以 在 现 有 的 系 统 上 实 现, 危 害 最 普 通 的Web 浏
览 器 用 户, 包 括Netscape Navigator 和Microsoft Internet
Explorer 用 户。
---- Web 欺 骗 允 许 攻 击 者 创 造 整 个WWW 世 界 的 影 像
拷 贝。 影 像Web 的 入 口 进 入 到 攻 击 者 的Web 服 务 器,
经 过 攻 击 者 机 器 的 过 滤 作 用, 允 许 攻 击 者 监 控
受 攻 击 者 的 任 何 活 动, 包 括 帐 户 和 口 令。 攻 击 者
也 能 以 受 攻 击 者 的 名 义 将 错 误 或 者 易 于 误 解 的
数 据 发 送 到 真 正 的Web 服 务 器, 以 及 以 任 何Web 服
务 器 的 名 义 发 送 数 据 给 受 攻 击 者。 简 而 言 之, 攻
击 者 观 察 和 控 制 着 受 攻 击 者 在Web 上 做 的 每 一 件
事。
欺 骗 攻 击
---- 在 一 次 欺 骗 攻 击 中, 攻 击 者 创 造 一 个 易 于 误
解 的 上 下 文 环 境, 以 诱 使 受 攻 击 者 进 入 并 且 做
出 缺 乏 安 全 考 虑 的 决 策。 欺 骗 攻 击 就 像 是 一 场
虚 拟 游 戏: 攻 击 者 在 受 攻 击 者 的 周 围 建 立 起 一
个 错 误 但 是 令 人 信 服 的 世 界。 如 果 该 虚 拟 世 界
是 真 实 的 话, 那 么 受 攻 击 者 所 做 的 一 切 都 是 无
可 厚 非 的。 但 遗 憾 的 是, 在 错 误 的 世 界 中 似 乎 是
合 理 的 活 动 可 能 会 在 现 实 的 世 界 中 导 致 灾 难 性
的 后 果。
---- 欺 骗 攻 击 在 现 实 的 电 子 交 易 中 也 是 常 见 的
现 象。 例 如, 我 们 曾 经 听 说 过 这 样 的 事 情: 一 些
西 方 罪 犯 分 子 在 公 共 场 合 建 立 起 虚 假 的ATM 取 款
机, 该 种 机 器 可 以 接 受ATM 卡, 并 且 会 询 问 用 户 的
PIN 密 码。 一 旦 该 种 机 器 获 得 受 攻 击 者 的PIN 密 码
, 它 会 要 么“ 吃 卡”, 要 么 反 馈“ 故 障”, 并 返 回
ATM 卡。 不 论 哪 一 种 情 况, 罪 犯 都 会 获 得 足 够 的
信 息, 以 复 制 出 一 个 完 全 一 样 的ATM 卡。 后 面 的 事
情 大 家 可 想 而 知 了。 在 这 些 攻 击 中, 人 们 往 往 被
所 看 到 的 事 物 所 愚 弄:ATM 取 款 机 所 处 的 位 置, 它
们 的 外 形 和 装 饰, 以 及 电 子 显 示 屏 的 内 容 等 等。
---- 人 们 利 用 计 算 机 系 统 完 成 具 有 安 全 要 求 的
决 策 时 往 往 也 是 基 于 其 所 见。 例 如, 在 访 问 网 上
银 行 时, 你 可 能 根 据 你 所 见 的 银 行Web 页 面, 从 该
行 的 帐 户 中 提 取 或 存 入 一 定 数 量 的 存 款。 因 为
你 相 信 你 所 访 问 的Web 页 面 就 是 你 所 需 要 的 银 行
的Web 页 面。 无 论 是 页 面 的 外 观、URL 地 址, 还 是 其
他 一 些 相 关 内 容, 都 让 你 感 到 非 常 熟 悉, 没 有 理
由 不 相 信。 但 是, 你 很 可 能 是 在 被 愚 弄。
---- 为 了 分 析 可 能 出 现 欺 骗 攻 击 的 范 围 和 严 重
性, 我 们 需 要 深 入 研 究 关 于Web 欺 骗 的 两 个 部 分:
安 全 决 策 和 暗 示。
---- 安 全 决 策
---- 安 全 决 策, 这 里 指 的 是 会 导 致 安 全 问 题 的 一
类 决 策。 这 类 决 策 往 往 都 含 有 较 为 敏 感 的 数 据,
也 就 是 意 味 着 一 个 人 在 做 出 决 策 时, 可 能 会 因
为 关 键 数 据 的 泄 露, 导 致 不 受 欢 迎 的 结 果。 很 可
能 发 生 这 样 的 事 情: 第 三 方 利 用 各 类 决 策 数 据
攻 破 某 种 秘 密, 进 行 破 坏 活 动, 或 者 导 致 不 安 全
的 后 果。 例 如, 在 某 种 场 合 输 入 帐 户 和 密 码, 就
是 我 们 在 此 谈 到 的 安 全 决 策 问 题。 因 为 帐 户 和
密 码 的 泄 露 会 产 生 我 们 不 希 望 发 生 的 问 题。 此
外, 从Internet 上 下 载 文 件 也 是 一 类 安 全 决 策 问
题。 不 能 否 认, 在 下 载 的 文 件 当 中 可 能 会 包 含 有
恶 意 破 坏 的 成 分, 尽 管 这 样 的 事 情 不 会 经 常 发
生。
---- 安 全 决 策 问 题 无 处 不 在, 甚 至 在 我 们 通 过 阅
读 显 示 信 息 做 出 决 策 时, 也 存 在 一 个 关 于 信 息
准 确 性 的 安 全 决 策 问 题。 例 如, 如 果 你 决 定 根 据
网 上 证 券 站 点 所 提 供 的 证 券 价 格 购 买 某 类 证 券
时, 那 么 你 必 须 确 保 所 接 收 信 息 的 准 确 性。 如 果
有 人 故 意 提 供 不 正 确 的 证 券 价 格, 那 么 不 可 避
免 地 会 有 人 浪 费 自 己 的 财 富。
---- 暗 示
---- WWW 站 点 提 供 给 用 户 的 是 丰 富 多 彩 的 各 类 信
息, 人 们 通 过 浏 览 器 任 意 翻 阅 网 页, 根 据 得 到 的
上 下 文 环 境 来 做 出 相 应 的 决 定。Web 页 面 上 的 文
字、 图 画 与 声 音 可 以 给 人 以 深 刻 的 印 象, 也 正 是
在 这 种 背 景 下, 人 们 往 往 能 够 判 断 出 该 网 页 的
地 址。 例 如, 一 个 特 殊 标 识 的 存 在 一 般 意 味 着 处
于 某 个 公 司 的Web 站 点。
---- 我 们 都 知 道 目 标 的 出 现 往 往 传 递 着 某 种 暗
示。 在 计 算 机 世 界 中, 我 们 往 往 都 习 惯 于 各 类 图
标、 图 形, 它 们 分 别 代 表 着 各 类 不 同 的 含 义。 富
有 经 验 的 浏 览 器 用 户 对 某 些 信 息 的 反 应 就 如 同
富 有 经 验 的 驾 驶 员 对 交 通 信 号 和 标 志 做 出 的 反
应 一 样。
---- 目 标 的 名 字 能 传 达 更 为 充 分 的 信 息。 人 们 经
常 根 据 一 个 文 件 的 名 称 来 推 断 它 是 关 于 什 么
的。manual.doc 是 用 户 手 册 的 正 文 吗 ? 它 完 全 可 以
是 另 外 一 个 文 件 种 类, 而 不 是 用 户 手 册 一 类 的
文 档。 一 个microsoft.com 的 链 接 难 道 就 一 定 指 向 我
们 大 家 都 知 道 的 微 软 公 司 的URL 地 址 吗 ? 显 然 可
以 偷 梁 换 柱, 改 向 其 他 地 址。
---- 人 们 往 往 还 会 在 时 间 的 先 后 顺 序 中 得 到 某
种 暗 示。 如 果 两 个 事 件 同 时 发 生, 你 自 然 地 会 认
为 它 们 是 有 关 联 的。 如 果 在 点 击 银 行 的 网 页 时,
username 对 话 框 同 时 出 现 了, 你 自 然 地 会 认 为 你
应 该 输 入 你 在 该 银 行 的 帐 户 与 口 令。 如 果 你 在
点 击 了 一 个 文 档 链 接 后, 立 即 就 开 始 了 下 载, 那
么 你 很 自 然 地 会 认 为 该 文 件 正 从 该 站 点 下 载。
然 而, 以 上 的 想 法 不 一 定 都 是 正 确 的。
---- 如 果 你 仅 仅 看 到 一 个 弹 出 窗 口, 那 么 你 会 和
一 个 可 视 的 事 件 联 系 起 来, 而 不 会 认 识 到 一 个
隐 藏 在 窗 口 背 后 的 不 可 视 的 事 件。 现 代 的 用 户
接 口 程 序 设 计 者 花 费 很 大 的 精 力 来 设 计 简 单 易
懂 的 界 面, 人 们 感 受 到 了 方 便, 但 潜 在 的 问 题 是
人 们 可 能 习 惯 于 此, 不 可 避 免 地 被 该 种 暗 示 所
欺 骗。
---- TCP 和DNS 欺 骗
---- 除 了 我 们 将 要 讨 论 的 欺 骗 手 段 外, 还 有 一 些
其 他 手 段, 在 这 里 我 们 将 不 做 讨 论。 这 种 攻 击 的
例 子 包 括TCP 欺 骗( 在TCP 包 中 使 用 伪 造 的IP 地 址)
以 及DNS 欺 骗( 攻 击 者 伪 造 关 于 机 器 名 称 和 网 络
信 息)。 读 者 有 兴 趣 可 以 阅 读 有 关 资 料。
Web 欺 骗
---- Web 欺 骗 是 一 种 电 子 信 息 欺 骗, 攻 击 者 在 其
中 创 造 了 整 个Web 世 界 的 一 个 令 人 信 服 但 是 完 全
错 误 的 拷 贝。 错 误 的Web 看 起 来 十 分 逼 真, 它 拥 有
相 同 的 网 页 和 链 接。 然 而, 攻 击 者 控 制 着 错 误 的
Web 站 点, 这 样 受 攻 击 者 浏 览 器 和Web 之 间 的 所 有
网 络 信 息 完 全 被 攻 击 者 所 截 获, 其 工 作 原 理 就
好 像 是 一 个 过 滤 器。
---- 后 果
---- 由 于 攻 击 者 可 以 观 察 或 者 修 改 任 何 从 受 攻
击 者 到Web 服 务 器 的 信 息; 同 样 地, 也 控 制 着 从Web
服 务 器 至 受 攻 击 者 的 返 回 数 据, 这 样 攻 击 者 就
有 许 多 发 起 攻 击 的 可 能 性, 包 括 监 视 和 破 坏。
---- 攻 击 者 能 够 监 视 受 攻 击 者 的 网 络 信 息, 记 录
他 们 访 问 的 网 页 和 内 容。 当 受 攻 击 者 填 写 完 一
个 表 单 并 发 送 后, 这 些 数 据 将 被 传 送 到Web 服 务
器,Web 服 务 器 将 返 回 必 要 的 信 息, 但 不 幸 的 是,
攻 击 者 完 全 可 以 截 获 并 加 以 使 用。 大 家 都 知 道
绝 大 部 分 在 线 公 司 都 是 使 用 表 单 来 完 成 业 务
的, 这 意 味 着 攻 击 者 可 以 获 得 用 户 的 帐 户 和 密
码。 下 面 我 们 将 看 到, 即 使 受 攻 击 者 有 一 个“ 安
全” 连 接( 通 常 是 通 过Secure Sockets Layer 来 实 现
的, 用 户 的 浏 览 器 会 显 示 一 把 锁 或 钥 匙 来 表 示
处 于 安 全 连 接), 也 无 法 逃 脱 被 监 视 的 命 运。
---- 在 得 到 必 要 的 数 据 后, 攻 击 者 可 以 通 过 修 改
受 攻 击 者 和Web 服 务 器 之 间 任 何 一 个 方 向 上 的 数
据, 来 进 行 某 些 破 坏 活 动。 攻 击 者 修 改 受 攻 击 者
的 确 认 数 据, 例 如, 如 果 受 攻 击 者 在 线 订 购 某 个
产 品 时, 攻 击 者 可 以 修 改 产 品 代 码, 数 量 或 者 邮
购 地 址 等 等。 攻 击 者 也 能 修 改 被Web 服 务 器 所 返
回 的 数 据, 例 如, 插 入 易 于 误 解 或 者 攻 击 性 的 资
料, 破 坏 用 户 和 在 线 公 司 的 关 系 等 等。
---- 欺 骗 整 个Web 世 界
---- 你 可 能 认 为 攻 击 者 欺 骗 整 个Web 世 界 是 不 可
能 的, 但 是 恰 恰 相 反, 攻 击 者 不 必 存 储 整 个Web 世
界 的 内 容, 他 只 需 要 制 造 出 一 条 通 向 整 个Web 世
界 的 链 路。 当 他 需 要 提 供 关 于 某 个Web 站 点 的 错
误Web 页 面 时, 他 只 需 要 在 自 己 的 服 务 器 上 建 立
一 个 该 站 点 的 拷 贝, 由 此 等 待 受 害 者 自 投 罗 网。
Web 欺 骗 的 工 作 原 理
---- 欺 骗 能 够 成 功 的 关 键 是 在 受 攻 击 者 和 其
他Web 服 务 器 之 间 设 立 起 攻 击 者 的Web 服 务 器, 这
种 攻 击 种 类 在 安 全 问 题 中 称 为“ 来 自 中 间 的 攻
击”。 为 了 建 立 起 这 样 的 中 间Web 服 务 器, 黑 客 往
往 进 行 以 下 工 作。
---- 改 写URL
---- 首 先, 攻 击 者 改 写Web 页 中 的 所 有URL 地 址, 这
样 它 们 指 向 了 攻 击 者 的Web 服 务 器 而 不 是 真 正
的Web 服 务 器。 假 设 攻 击 者 所 处 的Web 服 务 器
是www.attacker.org, 攻 击 者 通 过 在 所 有 链 接 前 增 加
http://www.attacker.org 来 改 写URL。 例 如,
http://home.netscape.com 将 变
为http://www.attacker.org/http://home.netscape.com. 当 用
户 点 击 改 写 过 的http://home.netscape.com( 可 能 它 仍
然 显 示 的 是http://home.netscape.com), 将 进 入 的 是
http://www.attacker.org, 然 后 由http://www.attacker.org
向http://home.netscape.com 发 出 请 求 并 获 得 真 正 的 文
档, 然 后 改 写 文 档 中 的 所 有 链 接, 最 后 经 过
http://www.attacker.org 返 回 给 用 户 的 浏 览 器。 工 作
流 程 如 下 所 示:1. 用 户 点 击 经 过 改 写 后
的http://www. attacker.org/http://home.netscape.com;
---- 2. http://www.attacker.org 向http://home.
---- netscape.com 请 求 文 档;
---- 3. http://home.netscape.com 向http://www.
---- attacker.org 返 回 文 档;
---- 4. http://www.attacker.org 改 写 文 档 中 的 所 有URL;
---- 5. http://www.attacker.org 向 用 户 返 回 改 写 后 的
文 档。
---- 很 显 然, 修 改 过 的 文 档 中 的 所 有URL 都 指 向
了www.attacker.org , 当 用 户 点 击 任 何 一 个 链 接 都
会 直 接 进 入www.attacker.org, 而 不 会 直 接 进 入 真 正
的URL。 如 果 用 户 由 此 依 次 进 入 其 他 网 页, 那 么 他
们 是 永 远 不 会 摆 脱 掉 受 攻 击 的 可 能。
---- 关 于 表 单
---- 如 果 受 攻 击 者 填 写 了 一 个 错 误Web 上 的 表 单,
那 么 结 果 看 来 似 乎 会 很 正 常, 因 为 只 要 遵 循 标
准 的Web 协 议, 表 单 欺 骗 很 自 然 地 不 会 被 察 觉: 表
单 的 确 定 信 息 被 编 码 到URL 中, 内 容 会 以HTML 形 式
来 返 回。 既 然 前 面 的URL 都 已 经 得 到 了 改 写, 那 么
表 单 欺 骗 将 是 很 自 然 的 事 情。
---- 当 受 攻 击 者 提 交 表 单 后, 所 提 交 的 数 据 进 入
了 攻 击 者 的 服 务 器。 攻 击 者 的 服 务 器 能 够 观 察,
甚 至 是 修 改 所 提 交 的 数 据。 同 样 地, 在 得 到 真 正
的 服 务 器 返 回 信 息 后, 攻 击 者 在 将 其 向 受 攻 击
者 返 回 以 前 也 可 以 为 所 欲 为。
---- 关 于“ 安 全 连 接”
---- 我 们 都 知 道 为 了 提 高Web 应 用 的 安 全 性, 有 人
提 出 了 一 种 叫 做 安 全 连 接 的 概 念。 它 是 在 用 户
浏 览 器 和Web 服 务 器 之 间 建 立 一 种 基 于SSL 的 安 全
连 接。 可 是 让 人 感 到 遗 憾 的 是, 它 在Web 欺 骗 中 基
本 上 无 所 作 为。 受 攻 击 者 可 以 和Web 欺 骗 中 所 提
供 的 错 误 网 页 建 立 起 一 个 看 似 正 常 的“ 安 全 连
接”: 网 页 的 文 档 可 以 正 常 地 传 输 而 且 作 为 安 全
连 接 标 志 的 图 形( 通 常 是 关 闭 的 一 把 钥 匙 或 者
锁) 依 然 工 作 正 常。 换 句 话 说, 也 就 是 浏 览 器 提
供 给 用 户 的 感 觉 是 一 种 安 全 可 靠 的 连 接。 但 正
像 我 们 前 面 所 提 到 的 那 样, 此 时 的 安 全 连 接 是
建 立 在www.attacker.org 而 非 用 户 所 希 望 的 站 点。
---- 攻 击 的 导 火 索
---- 为 了 开 始 攻 击, 攻 击 者 必 须 以 某 种 方 式 引 诱
受 攻 击 者 进 入 攻 击 者 所 创 造 的 错 误 的Web。 黑 客
往 往 使 用 下 面 若 干 种 方 法。
---- 1 把 错 误 的Web 链 接 放 到 一 个 热 门Web 站 点
上;
---- 2 如 果 受 攻 击 者 使 用 基 于Web 的 邮 件, 那 么
可 以 将 它 指 向 错 误 的Web;
---- 3 创 建 错 误 的Web 索 引, 指 示 给 搜 索 引 擎。
---- 完 善 攻 击
---- 前 面 描 述 的 攻 击 相 当 有 效, 但 是 它 还 不 是 十
分 完 美 的。 黑 客 往 往 还 要 创 造 一 个 可 信 的 环 境,
包 括 各 类 图 标、 文 字、 链 接 等, 提 供 给 受 攻 击 者
各 种 各 样 的 十 分 可 信 的 暗 示。 总 之 就 是 隐 藏 一
切 尾 巴。 此 时, 如 果 错 误 的Web 是 富 有 敌 意 的, 那
么 无 辜 的 用 户 将 处 于 十 分 危 险 的 境 地。
---- 另 外, 黑 客 还 会 注 意 以 下 方 面。
---- 1 状 态 线 路
---- 连 接 状 态 是 位 于 浏 览 器 底 部 的 提 示 信 息, 它
提 示 当 前 连 接 的 各 类 信 息。Web 欺 骗 中 涉 及 两 类
信 息。 首 先, 当 鼠 标 放 置 在Web 链 接 上 时, 连 接 状
态 显 示 链 接 所 指 的URL 地 址, 这 样, 受 攻 击 者 可 能
会 注 意 到 重 写 的URL 地 址。 第 二, 当Web 连 接 成 功
时, 连 接 状 态 将 显 示 所 连 接 的 服 务 器 名 称。 这
样, 受 攻 击 者 可 以 注 意 到 显 示www.attacker.org , 而
非 自 己 所 希 望 的 站 点。
---- 攻 击 者 能 够 通 过JavaScript 编 程 来 弥 补 这 两 项
不 足。 由 于JavaScript 能 够 对 连 接 状 态 进 行 写 操
作, 而 且 可 以 将JavaScript 操 作 与 特 定 事 件 绑 定 在
一 起, 所 以, 攻 击 者 完 全 可 以 将 改 写 的URL 状 态 恢
复 为 改 写 前 的 状 态。 这 样Web 欺 骗 将 更 为 可 信。
---- 2 位 置 状 态 行
---- 浏 览 器 的 位 置 状 态 行 显 示 当 前 所 处 的URL 位
置, 用 户 也 可 以 在 其 中 键 入 新 的URL 地 址 进 入 到
另 外 的URL, 如 果 不 进 行 必 要 的 更 改, 此 时URL 会 暴
露 出 改 写 后 的URL。 同 样 地, 利 用JavaScript 可 以 隐
藏 掉 改 写 后 的URL。JavaScript 能 用 不 真 实 的URL 掩 盖
真 实 的URL, 也 能 够 接 受 用 户 的 键 盘 输 入, 并 将 之
改 写, 进 入 不 正 确 的URL。
Web 欺 骗 的 弱 点
---- 尽 管 黑 客 在 进 行Web 欺 骗 时 已 绞 尽 脑 汁, 但 是
还 是 留 有 一 些 不 足。
---- 文 档 信 息
---- 攻 击 者 并 不 是 不 留 丝 毫 痕 迹,HTML 源 文 件 就
是 开 启 欺 骗 迷 宫 的 钥 匙。 攻 击 者 对 其 无 能 为 力。
通 过 使 用 浏 览 器 中“view source” 命 令, 用 户 能 够
阅 读 当 前 的HTML 源 文 件。 通 过 阅 读HTML 源 文 件, 可
以 发 现 被 改 写 的URL, 因 此 可 以 觉 察 到 攻 击。 遗 憾
的 是, 对 于 初 学 者 而 言,HTML 源 文 件 实 在 是 有 些
难 懂。
---- 通 过 使 用 浏 览 器 中“view document information” 命
令, 用 户 能 够 阅 读 当 前URL 地 址 的 一 些 信 息。 可 喜
的 是 这 里 提 供 的 是 真 实 的URL 地 址, 因 此 用 户 能
够 很 容 易 判 断 出Web 欺 骗。 不 过, 绝 大 多 数 用 户 都
很 少 注 意 以 上 一 些 属 性, 可 以 说 潜 在 的 危 险 还
是 存 在 的。
---- 逃 离 灾 难
---- 受 攻 击 者 可 以 自 觉 与 不 自 觉 地 离 开 攻 击 者
的 错 误Web 页 面。 这 里 有 若 干 种 方 法。 访 问Bookmark
或 使 用 浏 览 器 中 提 供 的“Open location” 进 入 其 他
Web 页 面, 离 开 攻 击 者 所 设 下 的 陷 阱。 不 过, 如 果
用 户 使 用“Back” 按 键, 则 会 重 新 进 入 原 先 的 错 误
Web 页 面。 当 然, 如 果 用 户 将 所 访 问 的 错 误Web 存
入Bookmark, 那 么 下 次 可 能 会 直 接 进 入 攻 击 者 所 设
下 的 陷 阱。
---- 关 于 追 踪 攻 击 者
---- 有 人 建 议 应 当 通 过 跟 踪 来 发 现 并 处 罚 攻 击
者。 确 实 如 此, 攻 击 者 如 果 想 进 行Web 欺 骗 的 话,
那 么 离 不 开Web 服 务 器 的 帮 助。 但 是, 他 们 利 用 的
Web 服 务 器 很 可 能 是 被 攻 击 后 的 产 物, 就 象 罪 犯
驾 驶 着 盗 窃 来 的 汽 车 去 作 案 一 样。
预 防 办 法
---- Web 欺 骗 是 当 今Internet 上 具 有 相 当 危 险 性 而
不 易 被 察 觉 的 欺 骗 手 法。 幸 运 的 是, 我 们 可 以 采
取 的 一 些 保 护 办 法。
---- 短 期 的 解 决 方 案
---- 为 了 取 得 短 期 的 效 果, 最 好 从 下 面 三 方 面 来
预 防:
---- 1. 禁 止 浏 览 器 中 的 JavaScript 功 能, 那 么 各 类
改 写 信 息 将 原 形 毕 露;
---- 2. 确 保 浏 览 器 的 连 接 状 态 是 可 见 的, 它 将 给
你 提 供 当 前 位 置 的 各 类 信 息;
---- 3. 时 刻 注 意 你 所 点 击 的URL 链 接 会 在 位 置 状
态 行 中 得 到 正 确 的 显 示。
---- 现 在,JavaScript、ActiveX 以 及Java 提 供 越 来 越 丰
富 和 强 大 的 功 能, 而 且 越 来 越 为 黑 客 们 进 行 攻
击 活 动 提 供 了 强 大 的 手 段。 为 了 保 证 安 全, 建 议
用 户 考 虑 禁 止 这 些 功 能。
---- 这 样 做, 用 户 将 损 失 一 些 功 能, 但 是 与 可 能
带 来 的 后 果 比 较 起 来, 每 个 人 会 得 出 自 己 的 结
论。
---- 长 期 的 解 决 方 案
---- 1. 改 变 浏 览 器, 使 之 具 有 反 映 真 实URL 信 息 的
功 能, 而 不 会 被 蒙 蔽;
---- 2. 对 于 通 过 安 全 连 接 建 立 的Web — — 浏 览 器
对 话, 浏 览 器 还 应 该 告 诉 用 户 谁 在 另 一 端, 而 不
只 是 表 明 一 种 安 全 连 接 的 状 态。 比 如: 在 建 立 了
安 全 连 接 后, 给 出 一 个 提 示 信 息“Netscape Inc.” 等
等。
---- 所 有 的 解 决 方 案, 可 以 根 据 用 户 的 安 全 要 求
和 实 际 条 件 来 加 以 选 择。
--
※ 来源:.紫 丁 香 bbs.hit.edu.cn.[FROM: 202.97.236.132]
Powered by KBS BBS 2.0 (http://dev.kcn.cn)
页面执行时间:204.745毫秒