信任与信任关系 |
其实安全的攻防都是围绕“信任”进行的。前面提到的同源策略也是信任的一种表现,默认情况下,不同源则不信任,即不存在什么信任关系,这都是出于安全的考虑。
下面介绍两个“信任”的场景。 1.场景一 💅🚐🥛❓🐋 一个 Web 服务器上有两个网站A 与B,黑客的入侵目标是A,但是直接入侵A 遇到了巨大阻碍,而入侵B 却成功了。由于网站A 与B 在同一个Web 服务器上,且在同一个文件系统里,如果没进行有效的文件权限配置,黑客就可以轻而易举地攻克网站A。 这里暴露的缺陷是:A 与B 之间过于信任,未做很好的分离。 👨⚕️👙🪜😘🤛 安全类似木桶原理,短的那块板决定了木桶实际能装多少水。一个Web 服务器,如果其上的网站没做好权限分离,没控制好信任关系,则整体安全性就由安全性最差的那个网站决定。 2.场景二 很多网站都嵌入了第三方的访问统计脚本,嵌入的方式是使用<script>标签引用,这时就等于建立了信任关系,如果第三方的统计脚本被黑客挂马,那么这些网站也都会被危及。 👩✈️🩳🧻🤮👊 这个现象非常普遍,且这种形式的挂马攻击也发生过好几起。你的网站本身是很安全的,由于嵌入了第三方内容,从而导致网站不安全,虽然这样不会导致你的网站直接被入侵,但却危害到了访问你网站的广大用户。 这种信任关系很普遍,服务器与服务器、网站与网站、Web 服务的不同子域、Web 层面与浏览器第三方插件、Web 层面与浏览器特殊API、浏览器特殊API 与本地文件系统、嵌入的Flash 与当前DOM 树、不同协议之间,等等。一个安全性非常好的网站有可能会因为建立了不可靠的信任关系,导致网站被黑。
帖子热度 7196 ℃
小执念在论坛瞎逛,捡到 2 个 金币.
|
|