2017年4月21日更新:因StartCom和WoSign接连曝出证书签发丑闻,Mozilla, Apple和Google已经决定撤销对这两家CA厂商的信任。Alex Sky网站也于2016年8月31日全部改为Let’s Encrypt CA。使用StartSSL的站长应该尽快转用其他CA。 TLS has exactly one performance problem: it is not used widely enough. Everything else can be optimized. ——摘自 istlsfastyet.com 好久没有写日志了,今天想聊聊网络安全,特别是Web安全。随着网络和移动技术的逐渐普及,越来越多的事情现在可以在网上进行。比如,我们在社交网站上发表各种各样的观点、喜好、地理位置,在购物网站上挑选物品,付费购买,在网上交电话费、水电费。个人信息与金钱交易充斥在网络的各个角落,而各种各样的网络攻击也随之而来。在各式各样的网络攻击中,有一类攻击因为门槛低、成功率高而呈现井喷态势,这就是会话劫持攻击。我曾在《WordPress建站心得(三)Web安全与隐私》一文中简单介绍这种攻击和防范,不过因为当时题目所限,没有进一步说明这种攻击对个人的影响。简单来说,会话劫持就是黑客将自己的电脑置于你与你所访问的网站中间,从而获得你与该网站的所有通讯内容,这个内容不仅包括你的cookie(也就是你和网站建立的临时信任关系),还甚至包括你登陆所使用的账户和密码。这是因为在传统的网络连接中,所有的内容都是明文传输的。所有你看到的网址开头为”http://”的网站(或未标注”https://”,如下图),你和它们的通讯都能被截获。这种攻击技术已经如此成熟,以至于完全没有技术支持的人,通过下载一些简单的软件,都能实现这种劫持。除了企业级WIFI和客户端隔离的内网环境外,所有其他网络环境都适合这种攻击。
Tag: 安全
WordPress建站心得(三)Web安全与隐私
2017年4月21日更新:因StartCom和WoSign接连曝出证书签发丑闻,Mozilla, Apple和Google已经决定撤销对这两家CA厂商的信任。Alex Sky网站也于2016年8月31日全部改为Let’s Encrypt CA。使用StartSSL的站长应该尽快转用其他CA。 在上两篇文章中,我们谈到了如何通过网页设计和服务器设置降低页面呈现时间,提高网站整体性能和提高用户体验。这一篇文章将涉足一个新的领域——安全。在我说的网站的四个重要价值——“功能”、“交互”、“性能”、“安全”中,“安全”恐怕是最少提到的话题之一了,对于WordPress更是如此。不过在当下,网站安全的话题却屡屡被提及,从前些年的CSDN用户密码泄露,到最近才发生的adobe账户泄露,再到逐渐发酵的凌镜门事件,网络攻击似乎并没有随着科技的进步而减少,反而愈演愈烈,并逐步替代木马和病毒,成为信息安全中的主要威胁。 作为用户,我们小心谨慎,注意密码安全,关闭浏览器的密码自动填充,更改路由器密码。不过这些远远不够抵御目前的诸多网络攻击。比如前几天我发现新浪微博和人人网仍然无法避免会话劫持(Session Hijacking)的攻击。我认为作为站长,对于此类攻击有不可推卸的责任。 提到网站的安全,我们首先会想到服务器的安全,比如SSH的密码安全,防火墙,SQL注入防护等。这些都非常重要,而且也是建立一个网站必要的措施。不过我今天谈到的一些安全措施,则更加针对当前的网络攻击,尤其是直接针对终端用户的攻击。这类安全措施目前较少受到重视,但却是必不可少的。我将以当前的攻击为主线,来讲讲如何通过合理配置服务器来防护。
更改路由器密码,防止DNS劫持攻击
在Web安全广受关注的今天,DNS成为网络安全比较薄弱的一环。DNS将域名解析为IP地址,引导浏览器等客户端访问域名指定的网站,但如果DNS服务器将域名故意解析到错误的IP地址,后果则十分严重。比如,未加密的用户名和密码等信息会通过这个途径泄露给第三方。如果配合证书伪造等手段,则可能对银行网站实行劫持。 目前许多普通的家庭用户都拥有iPad等无线设备,通过一个路由器共同联网,而DNS的设置则由路由器来决定。如果修改路由器的DNS设定,将造成DNS劫持。近一段时间网络上类似的攻击开始增多,如果不及时修改路由器的登陆密码,则会给黑客可乘之机。目前流行的攻击方法如下: