标签: 安全
-
网络安全 WEB安全第二十课 浏览器其他的一些进展
本章之前讨论的安全特性都是在改变Web应用之间的边界以及网站之间交互的方式。还有另外一些提议的机制无法这么简单归类,但它们本身也是重要以及成熟到值得一提 ...缘 发布于 2017-1-3 4 8.8K 最后回复 2018-5-13 18:10 -
黑客基础 为什么会存在安全缺陷
系统漏洞是指某个程序(包括操作系统)在设计时未考虑周全,当程序遇到一个看似合理,但实际无法处理的问题时,引发的不可预见的错误。系统漏洞在某些情况 ...小执念 发布于 2015-11-18 4 1.3万 最后回复 2018-5-4 16:02 -
网络安全 安全的本质
安全是什么?什么样的情况下会产生安全问题?我们要如何看待安全问题?只有搞明白了这些最基本的问题,才能明白一切防御技术的出发点,才能明白为什么我 ...小执念 发布于 2015-12-1 3 1.3万 最后回复 2018-5-5 15:27 -
网络安全 大数据安全分析的六个要点
现在, 很多行业都已经开始利用大数据来提高销售, 降低成本, 精准营销等等。 然而, 其实大数据在网络安全与信息安全方面也有很长足的应用。 特别是利用大 ...小执念 发布于 2015-12-1 2 9.3K 最后回复 2018-5-3 22:57 -
网络安全 我的世界安全观
起初,那些研究计算机系统和网络的人,被称为“Hacker”,他们对计算机系统有着深入的理解,因此往往能够发现其中的问题,我的说的“黑客”就是这个单词 ...小执念 发布于 2015-12-1 3 1.1万 最后回复 2018-5-8 13:51 -
黑客基础 你的WiFi安全吗
随着智能手机和平板电脑,智能电视及电视盒子的普及,无线设备逐渐步入人们的生活。现在的家里要是没有一个无线路由器的话,出门都不好意思和人家打招呼... ...小执念 发布于 2015-12-2 6 1万 最后回复 2018-5-4 12:44 -
网络安全 WEB安全 第二课 Web的简明历史
Web曾遭受过很多次重创,层出不穷的安全问题更是令人瞩目。诚然其中一些问题可以归咎为某个版本的客户端或服务器端的具体实现出了问题,但其中很多是由 ...小执念 发布于 2016-5-22 4 1.3万 最后回复 2018-8-18 12:49 -
网络安全 WEB安全 第四课 对web的分析 之 一切从URL开始
最易辨识的Web标志就是URL(Uniform Resource Locator,统一资源定位器)了,它由一串很简单的文本字符组成。一条格式正确且符合规范的URL必然对应着远程 ...小执念 发布于 2016-5-22 10 1.7万 最后回复 2019-3-13 09:52 -
网络安全 WEB安全 第五课 HTTP协议 之一 HTTP基本语法
我们要讨论的下一个基本概念是超文本传输协议(Hypertext Transfer Protocol,HTTP):它是Web的核心传输机制,也是服务器与客户端之间交换URL引用文档的 ...小执念 发布于 2016-5-26 5 1.4万 最后回复 2018-5-7 20:32 -
网络安全 WEB安全 第五课 HTTP协议 之二 HTTP的请求类型
初始的HTTP/0.9草案里对请求的文档只提供了唯一的方法(或叫“动作verb”):GET。在它之后曾冒出来一批荒谬怪诞的方法提议,像什么SHOWMETHOD、CHECKOU ...小执念 发布于 2016-5-29 2 1.1万 最后回复 2018-5-3 21:27 -
网络安全 WEB安全 第五课 HTTP协议 之三 服务器响应状态码
RFC2616的第10部分列出了将近50种状态码,服务器在返回响应时可以选择其中一种。其中15种属于常用的响应代码,其他的都是用来标识一些特别离奇或完全不 ...小执念 发布于 2016-5-29 2 1.2万 最后回复 2018-5-3 21:10 -
网络安全 WEB安全第五课 HTTP协议 之四 持续会话
最开始的时候,HTTP会话都是单次完结的:每个TCP连接发一次请求,断开,再重复。这需要不断重复进行TCP三步握手的消耗(而且在传统Unix服务器设计模式中 ...小执念 发布于 2016-5-29 3 1.2万 最后回复 2018-5-8 16:03 -
网络安全 WEB安全第五课 HTTP协议 之五 缓存机制
出于性能和带宽的考虑,HTTP客户端和一些中转性质的系统,都会对HTTP响应进行缓存以便重用。在早期互联网时代,这件事看起来还算简单,但随着Web承载的 ...小执念 发布于 2016-5-29 2 8.5K 最后回复 2018-5-5 22:09 -
网络安全 WEB安全第五课 HTTP协议 之六 Cookie语义
HTTP Cookie不属于RFC2616的内容,但它们是Web最重要的协议扩展之一。Cookie机制的使用过程首先是由服务器端返回一个Set-Cookie响应头,把一组组短小而 ...小执念 发布于 2016-5-29 2 1.1万 最后回复 2018-5-7 09:32 -
网络安全 WEB安全第五课 HTTP协议 之七 HTTP认证
按RFC2617原本的设想,HTTP认证方式是专为Web程序量身打造的身份验证机制,但现在却几近绝迹。其中的原因可能是HTTP认证的界面与浏览器程序自身的UI相关 ...小执念 发布于 2016-5-30 4 1.1万 最后回复 2018-5-11 15:53 -
网络安全 WEB安全第五课 HTTP协议 之八 协议级别的加密和客户端证书
写到这里已经很明显了,HTTP会话在网络上进行的所有信息交换,都是明文方式的。在上世纪90年代,这不算啥大问题:没错,明文信息会把你的浏览习惯暴露给 ...小执念 发布于 2016-6-1 4 9.2K 最后回复 2018-5-8 22:52 -
网络安全 WEB安全第六课 HTML语言 之一 HTML文档背后的基本概念
超文本标记语言(Hypertext Markup Language,HTML)是创建在线文档的主要方式。关于HTML语言最早的书面描述出自1991年Tim Berners-Lee在互联网上发表的一 ...小执念 发布于 2016-6-3 4 1.8万 最后回复 2018-5-17 09:04 -
网络安全 WEB安全第六课 HTML语言 之二 理解HTML解析器的行为
上一节里勾画的HTML语法基础,对于理解格式正确的HTML和XHTML文档已经足够了。如果用的是XHTML格式,也没什么值得说道的:因为解析器对错误容忍度极低, ...小执念 发布于 2016-6-4 3 9.8K 最后回复 2018-5-8 12:37 -
网络安全 WEB安全第六课 HTML语言 之三 HTML实体编码
让我们再回到字符编码的话题上来吧。就像开头提过的那样,某些保留字符出现在文本节点和标签值里是不安全的,在XHTML里这些字符会立刻导致语法出错。要 ...小执念 发布于 2016-6-5 3 1.1万 最后回复 2018-5-14 13:36 -
网络安全 WEB安全第六课 HTML语言 之四 HTTP/HTML交互语义
从前面章节里的内容我们可以知道,HTTP头域可以对整个响应赋予新的含义(Location、Transfer-Encoding等),还可以改变返回内容的呈现(Content-Type、C ...小执念 发布于 2016-6-6 6 1.2万 最后回复 2018-5-13 20:25 -
网络安全 WEB安全第六节 HTML语言 之五 超链接和内容包含
HTML中最重要也是和安全最相关的特性之一就是可以链接和内嵌外部内容。除HTTP层面的Location和Refresh两种方式以外,对外部内容的引用有以下几种方式。 ...小执念 发布于 2016-6-14 4 8.3K 最后回复 2018-5-10 11:12 -
网络安全 WEB安全第六课 HTML语言 之六 框架
框架(frame)能使HTML文档被内嵌和显示在另一个页面中的一块长方形区域里。现在我们用的浏览器都支持好几种框架标签,但要达到这个效果,最常见的方式就 ...小执念 发布于 2016-6-19 4 8K 最后回复 2018-5-12 18:20 -
网络安全 WEB安全第六课 HTML语言 之七 特定类型的内容包含
除了文档内容无关的链接跳转和页面框架,HTML还能以较轻量的方式包含其他几种预定义的外部内容。1.图片图片文件可以通过标签进行 ...小执念 发布于 2016-6-19 3 1万 最后回复 2018-5-3 12:26 -
网络安全 WEB安全第七课 层叠样式表 之一 CSS基本语法
随着Web技术在20世纪90年代日渐成熟,网站开发者们日益需要找到一种统一又灵活的方法来设计HTML文档的外观;而当时用的一堆随机无序、与浏览器紧密相关 ...小执念 发布于 2016-6-26 2 9.3K 最后回复 2018-5-5 16:58 -
网络安全 WEB安全第七课 层叠样式表 之二 重新同步的风险
CSS语言无疑深受HTML的影响,所以它和大多数其他语言不同的地方在于,符合规范的CSS解析器在碰到语法错误时,仍会继续工作,直到碰到下一对匹配的尖括号 ...小执念 发布于 2016-6-26 4 1万 最后回复 2018-5-3 22:38 -
网络安全 WEB安全第七课 层叠样式表 之三 字符编码
为了在CSS字符串里使用一些保留字符或有问题的字符,CSS提供了一套不太正统的转义处理策略:用一个反斜杠(\)后面跟1〜6位的十六进制数字。例 ...小执念 发布于 2016-6-26 3 1.2万 最后回复 2018-5-3 23:36 -
网络安全 WEB安全第八课 浏览器端脚本 之三 标准对象层级
JavaScript的运行环境都是围绕一个隐含的根对象构建出来的,这个根对象也是JavaScript程序里所有全局变量和函数的默认命名空间。 除了若干JavaScript语言的内 ...小执念 发布于 2016-7-17 3 9.7K 最后回复 2018-5-5 10:28 -
网络安全 WEB安全第八课 浏览器端脚本 之四 脚本字符编码
JavaScript引擎支持好几种常见的反斜杠方式的字符串编码处理,用于转义引号、HTML标记和内嵌在文本里有问题的字符。这些方法包括:a. ...小执念 发布于 2016-8-7 3 9K 最后回复 2018-5-11 14:06 -
网络安全 WEB安全第八课 浏览器端脚本 之五 代码包含模式和嵌入风险
经过前面的讨论,在当前页面的运行环境里执行脚本显然有多种方式。有必要再集中罗列一下几种最常见的方式:1.直接嵌人代码块。...小执念 发布于 2016-8-7 3 1.1万 最后回复 2018-5-12 14:23 -
网络安全 WEB安全第九课 非HTML类型文件 之一 纯文本文件
除了HTML文档,常用的Web浏览器还可以识别和显示其他若干格式的文件;而浏览器支持的文档类型也只会越来越多。 因为某些文档格式具有强大的脚本能力,以及浏 ...小执念 发布于 2016-8-26 3 1万 最后回复 2018-5-4 13:03 -
网络安全 WEB安全第九课 非HTML类型文件 之三 音频与视频
长期以来,IE浏览器器都无法直接播放音频和视频内容,仅有个含糊又无稽的标签,这个标签直到今时今日也只能播放一些简单的MID或WAV文件。由于缺少 ...缘 发布于 2016-8-29 3 1.1万 最后回复 2018-5-7 20:51 -
网络安全 WEB安全第十课 浏览器插件产生的内容
浏览器插件(plug-in)可谓林林总总,形态各异,最常见的就是用插件在浏览器里显示各种新奇的文件格式,效果类似于显示常规的HTML文件。 浏览器做的只是把收到 ...小执念 发布于 2016-9-8 3 1万 最后回复 2018-5-7 10:24 -
网络安全 WEB安全第十一课 内容隔离逻辑
浏览器通过隔离来自不同源的文件之间的访问来提供各种安全保障。这个预设前提很简单:来自不同源的两个页面之间不应该彼此交互。当然,实际应用上会更复杂,毕竟 ...小执念 发布于 2016-9-17 3 1.2万 最后回复 2018-5-3 22:37 -
网络安全 WEB安全第十二课 源的继承
某些Web应用依赖于像about:、javascript:和data:这样的伪URL来创建无须包含服务器端内容的HTML页面,这些页面的数据完全来自客户端。由于这么做不涉及常规的HTT ...小执念 发布于 2016-9-26 3 1.1万 最后回复 2018-5-7 09:22 -
网络安全 WEB安全第十三课 同源策略之外的世界
同源策略是限制恶意Web应用肆虐的最重要机制,但它也远未达到完美。尽管同源策略的本意是为两个清晰可辨来源的独立内容提供可靠的隔离,但这个任务也往 ...小执念 发布于 2016-10-2 3 1.1万 最后回复 2018-5-8 16:48 -
网络安全 WEB安全第十五课 内容识别机制
到目前为止,我们已经研究了不少浏览器特性,很多特性的本意是好的,但随着技术的成熟,人们日益认识到它们也是短视和非常危险的。现在就让我们再来看点特别的 ...小执念 发布于 2016-10-22 4 1.1万 最后回复 2018-5-17 12:07 -
网络安全 WEB安全第十六课 应对恶意脚本
在前面的内容里,我们讨论了许多浏览器安全机制——现在再回过头来看,可以说这些安全机制几乎都有一个共同的目标:阻止同一个浏览器里恶意内容与其他合法网页 ...小执念 发布于 2016-12-11 3 1.2万 最后回复 2018-5-24 09:57 -
网络安全 WEB安全第十九课 浏览器的安全模型限制框架
尽管对同源策略的各种扩展设计很容易理解,但也往往功亏一篑。因为如果建议的修改不能应用到每个代码路径里,或者有某个特定的浏览器不支持,那就会回退 ...小执念 发布于 2017-1-2 2 1.1万 最后回复 2018-5-3 17:13 -
网络安全 浏览器们的安全反击战
上次我说过,我们浏览器的主要工作就是把HTML,JavaScript,CSS等文件从服务器端取下来,然后解析、渲染,展示成美奂美伦的页面呈现给人类。我们还替 ...缘 发布于 2018-1-9 3 1.8万 最后回复 2018-1-23 07:45 -
网络安全 信息安全常识科普
我不是信息安全技术高手,很多很实际的技术细节可能不够了解,所以如果有一些概念错误或其他误导,也请技术高手指正。先说一些错误的概念:1、对于企业而言 ...手摘星辰 发布于 2019-2-26 2 6.3K 最后回复 2019-3-3 20:18 -
网络安全 网站安全配置优化 之 nginx
nginx 本身不能处理 php,它只是个web服务器,当接收到请求后,如果是 php 请求,则发给php解释器处理,并把结果返回给客户端。nginx 一般是把请求发 fastcgi 管 ...小执念 发布于 2019-4-23 4 1.4万 最后回复 2019-11-30 14:13 -
网络安全 国内安全公司没有标记间谍软件
被称为 BXAQ (https://github.com/motherboardgithub/bxaq) 或 Fengcai 的间谍软件最近引发了广泛关注,它能下载短信、日历、呼叫历史和联络人,还能扫描照片。 ...空谷幽兰 发布于 2019-7-15 2 6.5K 最后回复 2019-7-18 17:25 -
网络安全 互联网安全有多重要?
朋友经历一次个人计算机安全事故,受到惊吓,精神健康也出了些问题,找治疗师看了很久。起因是去年某个时候他发现自己的电脑表现有点奇怪,就准备格掉硬盘重装系 ...空谷幽兰 发布于 2019-8-29 2 4K 最后回复 2019-8-29 16:21 -
网络安全 AI 语音识别智能音箱是否安全?
搭配语音使用界面的产品陆续推出,应用地点从过去以客厅、卧室,逐渐涵盖到厨房、门厅与浴室等家庭中各个角落,未来与日常生活的各种服务场域进一步结合,也是可 ...空谷幽兰 发布于 2019-10-30 1 4.1K 最后回复 2019-10-30 13:14 -
硬件相关 英特尔芯片安全问题将会存在很长时间
稳定版内核维护者 Greg Kroah-Hartman 在欧洲开源峰会上发表主题演讲时指出,英特尔芯片的安全问题将会存在很长时间 (https://www.zdnet.com/article/top-linux- ...空谷幽兰 发布于 2019-11-6 1 4.5K 最后回复 2019-11-6 12:05 -
网络安全 10 亿用户信息泄露
安全研究人员报告 (https://www.dataviper.io/blog/2019/pdl-data-exposure-billion-people/),他们在 10 月 16 日发现了一个托管在 Google Cloud 上的无密码保 ...空谷幽兰 发布于 2019-11-26 1 4.3K 最后回复 2019-11-26 18:18 -
硬件相关 FBI 对智能电视的安全性发出警告
智能电视正逐渐进入到千家万户,和许多能联网设备一样,厂商并没有将安全放在最重要的位置,它的安全漏洞为黑客打开了一扇窥视之窗,而很多智能电视还配备了摄 ...空谷幽兰 发布于 2019-12-5 3 5.9K 最后回复 2020-10-1 19:06 -
硬件相关 英特尔 CPU SGX 曝出新安全漏洞 Plundervault
科学家披露了名为 Plundervault (https://plundervolt.com/) 的攻击能让英特尔 CPU 的 Software Guard Extensions(SGX)泄露密钥和导致其它错误。英特尔已经 ...空谷幽兰 发布于 2019-12-13 1 3.4K 最后回复 2019-12-13 12:11 -
黑客基础 cookie及其安全注意事项
一、什么是cookie?cookie,它是您所访问的网站特意留存在您浏览器端的一些小信息段,它可以在内存或硬盘上存储用户数据。我们访问某网站时,该网站通常会 ...空谷幽兰 发布于 2020-6-14 1 4.4K 最后回复 2020-6-14 13:04 -
网络安全 怎么保护帐号安全,预防被黑
上周有一起安全事件。两家著名的美国互联网公司,Twillo 和 Cloudflare被攻击了,前者还被攻破了。这两家都不是普通公司,技术很强,都采用了"双因素认证", ...缘 发布于 2022-8-29 1 2.4K 最后回复 2022-8-29 13:04 -
硬件相关 U盘到底能不能热插拔?安全弹出的意义?
我们写入文件时,为了提高写入性能,会在内存中存在一个缓冲区。有的系统,在提示文件拷贝结束后,缓冲区并没有清理,此时文件并没有落盘(没有真正写入设备), ...空谷幽兰 发布于 2022-12-28 1 2.3K 最后回复 2022-12-28 22:31
