信息时代的安全防护(一)——密码安全

Safety concept: Opened Padlock on digital background

前言 不知不觉中,21世纪已经过去了18年。千禧年出生的孩子,这时候也已经或即将成年。在这时间的滚滚长河之中,形形色色的数码产品逐步融入人们的日常生活,而我们绝大部分人都已不知不觉中迈入了信息时代。从你用的智能手机,到家庭控制系统,到网上银行及购物,到城市基础设施,整个人类社会的活动和内容都在逐步数字化,虚拟化。在信息化之前的时代,个人隐私和安全有近乎天然的防护——盗取你的财产,小偷首先得知道你住在哪里,然后亲自上门撬锁。只要装上比较好的防盗门,小偷自然进不了家中。但信息时代的到来,使我们的个人隐私和安全防护发生了根本性的变化。我们的信息存储在我们几乎无法控制的地方,而要盗取这些信息,黑客并不需要知道我们住在哪里,甚至不需要知道我们是谁。 这篇文章将探讨信息时代安全防护的一个重要组成部分——密码安全。5年多前我曾写过一篇类似的文章,《网络安全的基石 – 密码安全》。本文可以看作是这篇文章的延伸,亦可以看作一个更大主题的一部分。这个系列的文章不会罗列技术细节,而是从宏观角度探讨我们作为普通用户应该采取的安全措施。

WordPress建站心得(三)Web安全与隐私

2017年4月21日更新:因StartCom和WoSign接连曝出证书签发丑闻,Mozilla, Apple和Google已经决定撤销对这两家CA厂商的信任。Alex Sky网站也于2016年8月31日全部改为Let’s Encrypt CA。使用StartSSL的站长应该尽快转用其他CA。 在上两篇文章中,我们谈到了如何通过网页设计和服务器设置降低页面呈现时间,提高网站整体性能和提高用户体验。这一篇文章将涉足一个新的领域——安全。在我说的网站的四个重要价值——“功能”、“交互”、“性能”、“安全”中,“安全”恐怕是最少提到的话题之一了,对于WordPress更是如此。不过在当下,网站安全的话题却屡屡被提及,从前些年的CSDN用户密码泄露,到最近才发生的adobe账户泄露,再到逐渐发酵的凌镜门事件,网络攻击似乎并没有随着科技的进步而减少,反而愈演愈烈,并逐步替代木马和病毒,成为信息安全中的主要威胁。 作为用户,我们小心谨慎,注意密码安全,关闭浏览器的密码自动填充,更改路由器密码。不过这些远远不够抵御目前的诸多网络攻击。比如前几天我发现新浪微博和人人网仍然无法避免会话劫持(Session Hijacking)的攻击。我认为作为站长,对于此类攻击有不可推卸的责任。 提到网站的安全,我们首先会想到服务器的安全,比如SSH的密码安全,防火墙,SQL注入防护等。这些都非常重要,而且也是建立一个网站必要的措施。不过我今天谈到的一些安全措施,则更加针对当前的网络攻击,尤其是直接针对终端用户的攻击。这类安全措施目前较少受到重视,但却是必不可少的。我将以当前的攻击为主线,来讲讲如何通过合理配置服务器来防护。

请关闭浏览器的密码自动填充功能

前几天看到一片文章《XSS Hack:获取浏览器记住的明文密码》(抱歉因安全考虑无法提供链接,请感兴趣的朋友百度之),讲的是目前还在萌芽中的一种跨站攻击方式——密码填充劫持。花了点时间研究了一下,觉得这种方法是几乎所有人都很难防范的。我在《网络安全的基石 – 密码安全》一文中曾提到了三种密码攻击的方法,而这次出现的是一种全新的攻击方法,十分隐蔽,且完全不需要互动。 跨站脚本攻击(Cross-Site Scripting),简称XSS,是近几年来十分流行的攻击手段,对社交网站等用户参与的网站尤为有效。我还记得前几年人人网就出过一次攻击,那时所有受影响的人都会自动转发一个帖子,而看到帖子的好友会继续转发,病毒式的扩散开来。