- 发帖可能变空内容,邪门暂不知所以然
- 『稷下学宫』新认证方式,24年网站打算和努力目标
主题:【原创】从温相账户被黑说说网络安全问题 -- Highway
前几天,温相在网上的账户又被人攻击了。“黑客”盗窃了温相的密码,登陆进去,以温相身份胡乱发言...温相很着急,但又无法登陆进去(密码可能已经被黑客改掉了),所以只好在我们这里给大家解释一下。
盗用被人的密码是一件很卑鄙的事,我们都很鄙视这种不道德的做法。但是我们是不是也很纳闷,这密码怎么就被盗了呢。今天我就这个问题简单说一下。
大致说来,密码被盗可能出现在三个环节。客户端,网络上,服务器端。
一。客户端
大多数网络程序都给用户提供一个方便,也就是记住用户登陆信息,所谓“Remember me”,这样用户以后访问该网站的时候会自动登陆。这些登陆信息一般是以Cookie的形式存放在用户的硬盘上。如果黑客能接触用户的硬盘,那么他可以偷盗这些Cookie。用这些Cookie他可以得到用户的ID和密码等等。Cookie虽然不是明码,但解密起来并不困难。(大家如果用公用计算机上网,这Cookie也是一个问题,要小心)
二。网络上
我们在BBS上发言的时候,我们的ID,密码和发言以POST的形式发送到BBS的服务器上。要知道从你的计算机到BBS的服务器要经过无数的网络设备,如Swith,Router等等。黑客如果在路上截获了这些传输中的信息,他可以得到你的ID,密码。在安全性要求比较高的应用中,客户机和服务器的通信是加密的。所谓的SSL(Secure Sockets Layer)。大家可能注意到了,你登陆到你的信用卡公司,银行的等等的网站的时候,浏览器状态条上有一个小的锁,这就意味着所有的通信都是加密的。黑客即使截获了这些信息,也很难破获。现在广为应用的128位加密好像还没有有效的解密方法。
那么为什么大多BBS不使用这种方法呢?技术上讲,SSL非常简单,只要申请一个Server Certification并使用HTTPS协议就可以了。但是使用SSL会极大的增大服务器的负担。因为服务器受到每一个Package的时候,都要进行解密。所以即使是在安全性要求比较高的应用中也是在几个关键的Page使用SSL。
不过说句心里话,我不认为一般的小偷小摸者有这种水平。
三。服务器端
服务器端的安全问题很复杂。因为这涉及到服务器的操作系统,WEB服务器,数据库系统以及网络设置等等问题。黑客可以从很多方面下手。攻入BBS网络的内部。即使使用了最新的OS,Web Server, Database Server,Firewall等等,许多网络管理上的漏洞和人为的疏忽都可能给黑客以可乘之机。如果黑客对你的网站比较熟悉,那找到漏洞就会更容易一些。
这些问题温相和广大用户爱莫能助,需要服务器一端想办法解决。但就我分析,黑客不是真正意义上的Profession Hacker,不具备攻陷一个网站的能力。它可能是比较熟悉那个网站,利用了一些管理上的漏洞。或者他对某些人有一些了解,somehow猜到了别人的密码。所以对于大家的一个建议就是使用比较复杂的密码,并时常更换。
以上说的是黑客偷盗了别人的密码,而非法得到授权(Authorization)。除此之外,小人们还可以利用验证问题进行捣乱。
验证,就是所谓的Authentication。打个比方吧,你说你是钻石王老五,那么怎么叫我们相信你就是呢? 除非你忽的一下亮出一个20克拉的钻石晃的我们睁不开眼,否则我们是不会相信的。
让我们假设这样一个场景。有一天你突然收到一封Highway的Email.里面夹七夹八的尽是一些不好的话。你肯定大怒,心说我怎么得罪你了。说不定马上回EMAIL给Highway,或是上网发布一个申明,言辞也不客气。
也许有人提醒你,“你肯定那是Highway的EMAIL吗”?
“那还有错,EMAIL明明白白的写着From [email protected]嘛”。
这里就是一个Authentication的问题。From [email protected]并不能证明这EMAIL一定是出自Highway之手。对于程序员来说,可以用SMTP以任何人的名义发EMAIL,只是一两行程序的问题。所以你因该给Highway先回一个EMAIL,问一下是怎么回事before take any action?小人虽然可以冒名发EMAIL,但他却收不到别人的EMAIL。这样Highway收到EMAIL后,和你一沟通,问题马上就明白了。
其实网上的很多纠纷都由此而起。当一个人突然攻击你的时候,你一定要先弄清楚,这个人是真还是假。弄明白了以后再采取行动才好,不是吗?
如果你对Authentication非常在意。那么你可以申请“个人身份验证(Personal Certification)”。这是一对密匙。所谓的Public-Private Pair密匙。你事先给收信人你的Public密匙。以后你在和他通信的时候,用你的Private密匙加密。这样这封信就只有你指定的收信人可以看。同时收信人可以确信,这封信是真正出自你手,并且在传输过程中没有被人篡改过。
当然了,如果你收到了一封来自Highway的加密EMAIL,那这封EMAIL一定是Highway写的嘛。嘿嘿,也不一定。比如Highway的LP一脚把Highway踢到一边,坐在Highway的电脑前“奋笔疾书”。这个别人是没有办法Figure out的。当然了,这不是技术问题,我们在这里不讨论。
最后在对那些偷盗别人密码的小人说一句,盗用别人ID,攻击别人的计算机是触犯联邦法律的,如果被查到是要进监狱的。美国的监狱可不是什么好地方,我想别的地方的也不会好到哪里去。所以奉劝你不要闹到那一步。
本帖一共被 7 帖 引用 (帖内工具实现)
- 相关回复 上下关系8
😅【原创】从温相账户被黑说说网络安全问题
写得好,老轧不好意思给加精,我来加 不爱吱声 字73 2004-03-01 07:08:16
你先忙着。等过两天你有空了我再换防。 Highway 字0 2004-03-01 07:58:52
的LP一脚把Highway踢到一边,坐在Highway的电脑前“奋笔疾书” 萨苏 字45 2004-02-29 18:01:58
😜谢谢高速公路兄,我现在学习电脑的热情大增啊: 1 温相 字258 2004-02-29 07:02:38
😄哈哈,又一颗“电脑之星”在冉冉升起! Highway 字52 2004-02-29 08:03:24
😜我哥们儿说他目前教我的都是: 温相 字42 2004-02-29 17:24:45
😄这个比方打得好。 1 肖盈盈 字173 2004-02-28 21:43:12