Web Security

Project HoneyPot

| Security | #Project HoneyPot | #honeypot | #spam | #security | #web security

很久以前 Cisco 的 刘老师 就做过蜜罐系统,所谓蜜罐其实是一些"看起来"像是正常,但并不对正常人提供服务的网络资源,例如邮箱、网页,甚至网络服务等等。它们存在唯一的作用是吸引攻击者的机器人来攻击,从而得到关于攻击本身的更多信息,或在攻击开始之前采取防御。这种做法有点像有些国家在火箭基地附近建设几个一模一样的、假的火箭基地,防止敌军轰炸等等。

阅读全文…( 本文约 361 字,阅读大致需要 1 分钟 )

为什么输入敏感数据(如登录信息)的页面也要做成 https?

| Security | #HTTPS | #security | #web security | #privacy | #SSL

有一种错误的观念是,对于不太敏感的内容(例如论坛之类),只要用 https 保护登录过程中提交密码的部分就足够了。例如国内非常流行的网易邮箱,很早以前便提供了"SSL安全登录"的选项,这样做显然是比完全不提供SSL登录选项的新浪邮箱要强多了[注1],但是仍然是不够的。

阅读全文…( 本文约 467 字,阅读大致需要 1 分钟 )

出现钓支付宝鱼的网站了

| Security | #Alipay | #phishing | #security | #web security | #plugin

今天看到一则消息说,百度搜索支付宝会找到一个钓鱼网站(现在应该已经撤掉了)。去那个钓鱼网站看了一眼,发现居然是装的正版支付宝插件。

相信插件能保护客户的安全的人可以洗洗睡了,你们根本不配说「安全」两个字,除了供一两个三流技术人员拿大量客户计算机的安全开玩乐和练手之外,这些控件没有价值。

参与评论