五千年(敝帚自珍)

主题:【原创】从温相账户被黑说说网络安全问题 -- Highway

共:💬10 🌺4
分页树展主题 · 全看首页 上页
/ 1
下页 末页
  • 家园 【原创】从温相账户被黑说说网络安全问题

    前几天,温相在网上的账户又被人攻击了。“黑客”盗窃了温相的密码,登陆进去,以温相身份胡乱发言...温相很着急,但又无法登陆进去(密码可能已经被黑客改掉了),所以只好在我们这里给大家解释一下。

    盗用被人的密码是一件很卑鄙的事,我们都很鄙视这种不道德的做法。但是我们是不是也很纳闷,这密码怎么就被盗了呢。今天我就这个问题简单说一下。

    大致说来,密码被盗可能出现在三个环节。客户端,网络上,服务器端。

    一。客户端

    大多数网络程序都给用户提供一个方便,也就是记住用户登陆信息,所谓“Remember me”,这样用户以后访问该网站的时候会自动登陆。这些登陆信息一般是以Cookie的形式存放在用户的硬盘上。如果黑客能接触用户的硬盘,那么他可以偷盗这些Cookie。用这些Cookie他可以得到用户的ID和密码等等。Cookie虽然不是明码,但解密起来并不困难。(大家如果用公用计算机上网,这Cookie也是一个问题,要小心)

    二。网络上

    我们在BBS上发言的时候,我们的ID,密码和发言以POST的形式发送到BBS的服务器上。要知道从你的计算机到BBS的服务器要经过无数的网络设备,如Swith,Router等等。黑客如果在路上截获了这些传输中的信息,他可以得到你的ID,密码。在安全性要求比较高的应用中,客户机和服务器的通信是加密的。所谓的SSL(Secure Sockets Layer)。大家可能注意到了,你登陆到你的信用卡公司,银行的等等的网站的时候,浏览器状态条上有一个小的锁,这就意味着所有的通信都是加密的。黑客即使截获了这些信息,也很难破获。现在广为应用的128位加密好像还没有有效的解密方法。

    那么为什么大多BBS不使用这种方法呢?技术上讲,SSL非常简单,只要申请一个Server Certification并使用HTTPS协议就可以了。但是使用SSL会极大的增大服务器的负担。因为服务器受到每一个Package的时候,都要进行解密。所以即使是在安全性要求比较高的应用中也是在几个关键的Page使用SSL。

    不过说句心里话,我不认为一般的小偷小摸者有这种水平。

    三。服务器端

    服务器端的安全问题很复杂。因为这涉及到服务器的操作系统,WEB服务器,数据库系统以及网络设置等等问题。黑客可以从很多方面下手。攻入BBS网络的内部。即使使用了最新的OS,Web Server, Database Server,Firewall等等,许多网络管理上的漏洞和人为的疏忽都可能给黑客以可乘之机。如果黑客对你的网站比较熟悉,那找到漏洞就会更容易一些。

    这些问题温相和广大用户爱莫能助,需要服务器一端想办法解决。但就我分析,黑客不是真正意义上的Profession Hacker,不具备攻陷一个网站的能力。它可能是比较熟悉那个网站,利用了一些管理上的漏洞。或者他对某些人有一些了解,somehow猜到了别人的密码。所以对于大家的一个建议就是使用比较复杂的密码,并时常更换。

    以上说的是黑客偷盗了别人的密码,而非法得到授权(Authorization)。除此之外,小人们还可以利用验证问题进行捣乱。

    验证,就是所谓的Authentication。打个比方吧,你说你是钻石王老五,那么怎么叫我们相信你就是呢? 除非你忽的一下亮出一个20克拉的钻石晃的我们睁不开眼,否则我们是不会相信的。

    让我们假设这样一个场景。有一天你突然收到一封Highway的Email.里面夹七夹八的尽是一些不好的话。你肯定大怒,心说我怎么得罪你了。说不定马上回EMAIL给Highway,或是上网发布一个申明,言辞也不客气。

    也许有人提醒你,“你肯定那是Highway的EMAIL吗”?

    “那还有错,EMAIL明明白白的写着From [email protected]嘛”。

    这里就是一个Authentication的问题。From [email protected]并不能证明这EMAIL一定是出自Highway之手。对于程序员来说,可以用SMTP以任何人的名义发EMAIL,只是一两行程序的问题。所以你因该给Highway先回一个EMAIL,问一下是怎么回事before take any action?小人虽然可以冒名发EMAIL,但他却收不到别人的EMAIL。这样Highway收到EMAIL后,和你一沟通,问题马上就明白了。

    其实网上的很多纠纷都由此而起。当一个人突然攻击你的时候,你一定要先弄清楚,这个人是真还是假。弄明白了以后再采取行动才好,不是吗?

    如果你对Authentication非常在意。那么你可以申请“个人身份验证(Personal Certification)”。这是一对密匙。所谓的Public-Private Pair密匙。你事先给收信人你的Public密匙。以后你在和他通信的时候,用你的Private密匙加密。这样这封信就只有你指定的收信人可以看。同时收信人可以确信,这封信是真正出自你手,并且在传输过程中没有被人篡改过。

    当然了,如果你收到了一封来自Highway的加密EMAIL,那这封EMAIL一定是Highway写的嘛。嘿嘿,也不一定。比如Highway的LP一脚把Highway踢到一边,坐在Highway的电脑前“奋笔疾书”。这个别人是没有办法Figure out的。当然了,这不是技术问题,我们在这里不讨论。

    最后在对那些偷盗别人密码的小人说一句,盗用别人ID,攻击别人的计算机是触犯联邦法律的,如果被查到是要进监狱的。美国的监狱可不是什么好地方,我想别的地方的也不会好到哪里去。所以奉劝你不要闹到那一步。


    本帖一共被 7 帖 引用 (帖内工具实现)
    • 家园 写得好,老轧不好意思给加精,我来加

      辛苦highway乐,也感谢我心飞翔的支持。等我忙完这段时间,一定来给大家捧场!

    • 家园 的LP一脚把Highway踢到一边,坐在Highway的电脑前“奋笔疾书”

      我晕,这一篇是谁写的?!!#¥¥?#¥%……―(

    • 家园 谢谢高速公路兄,我现在学习电脑的热情大增啊:

      我昨天刚刚知道了一种可以用来攻击对方的软件下载的知识,这种东西虽然是比较中等的,可还是挺管用的,试一试后,发现IT业真是博大精深啊,比历史好玩多了。和影视差不多。

      我现在正在认真学习一种叫做“一着制敌”的软件的使用

      ,等学习之后再向同志们汇报工作的心得体会。

    • 家园 这个比方打得好。

      打个比方吧,你说你是钻石王老五,那么怎么叫我们相信你就是呢? 除非你忽的一下亮出一个20克拉的钻石晃的我们睁不开眼,否则我们是不会相信的。

      写得好。长见识。

      • 家园 这比方还是可改进的

        ,其实光亮颗钻石出来还是不够的,充其量只是证明了您是位款爷,要证明您同时是位王老五却还不充分。除非您左手捏着颗海洋之心,右手从西装口袋里又掏出张纸,注意,不是钻石鉴定书哦,该是张《流动人口计划生育》证明,上面注明了您未婚未育,当然离婚未育也成,然后在醒目的位置盖着鲜红的五角星,钢印也可。如此这般,俺就想不信您是钻石级王老五也不行啊。

        不过话说回来,也许不少女同志说,没事儿,右手不用拿那证儿了,咱们也不在乎那个,换成花儿得了吧。

分页树展主题 · 全看首页 上页
/ 1
下页 末页


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河