你身边的网络安全吗

你身边的网络安全吗？

防火墙

Great Wall of China 谈到网络安全，必须先从防火墙谈起。我们具有全球唯一、举世领先的防火墙。它有一个俗称：G%F$W，但是我们更应该记住它的正式名称：入侵空格检测空格系统。它的地位，就如同已经凌驾在中华土地上的万里长城，十几年来，默默保卫者我们的网络安全，把美帝国主义的各种形式的入侵牢牢地挡在了墙外，即使是这个世界上最牛逼的黑客也不可能把它击垮。大洋彼岸，流言蜚语，病毒横行，而我们却没有必要担心，因为我们有骄傲的墙。我们的人民感谢你。

浏览器

IE Security 使用浏览器，大家最关心的是网上银行等资金交易的安全。很不幸，防火墙只管墙外的事，墙内的可做不了主。我们很不高兴地看到，身边还是有那么多令人沮丧的木马，而这些木马的始作俑者，就是这个世界上最伟大的浏览器：IE。于是，各大银行的开发人员使出浑身解数，开发了各种安全控件，于是世界似乎安静了。仔细想一想，我们为什么使用安全控件？因为IE不够安全。我们为什么还要使用IE？因为这些控件需要IE。结果还是那么沮丧，我们还是把自己框在一个不安全的环境中。这里我并不想再次挑起浏览器之间的争端，我只想说一点：为了你的网络安全，请远离IE。

HTTPS

这个词至于我们每天都要接触的HTTP只差一个字母：S。但是这个S却不简单，代表了SSL(Secure Socket Layer，安全套接字)。如果屏幕前的你学过计算机网络，一定知道HTTP是一个非常简单的协议，所有的数据都是明文传播。这意味着什么？你访问的网站数据任何人都可以看到，包括你的密码！以下我做一个实验，看看广大人民每天登录校内的那一刻都发生了什么？(我并不是拿校内开涮，但是它是桂果网络的一个典型代表) 打开校内，输入你的用户名和密码。等等，在点击登录之前，让我们看看发生了什么？我是这样输的： Xiaonei 点击登录的目标是这样的： Xiaonei Login Form 先科普一下。平时我们在网上填写的这表那表什么的，在HTML的世界里就统一描述成表单(Form)，最终在用户点击确定后浏览器通过HTTP的POST方法将数据传输到服务器，而上面那个form的action指向的就是投递的目标地址。也就是说，上面的数据最终将投递到http://login.xiaonei.com/Login.do这个地址。接下来，点击登录，看能看到什么？ Xiaonei HTTP Post 很不幸，alice的密码：bob被我轻松地看到了。当然，这是我自编自演的，没有足够的说服力。但是，如果你在一个局域网中，只需要一个WireShark之类的抓包工具，就可以把这些数据全部抓到，你的密码被看得一清二楚。接下来，你可以想象你的隐私，你的人身安全吗？ HTTPS，就是针对这种潜在的危险而发明的，通过SSL将数据进行加密然后再传输，其传输端口默认为443（相对于HTTP，默认端口为80）。这种加密是相对安全的（这个世界上目前没有绝对安全的加密，相对安全只是说破解的代价太高，时间太长）。那SSL需要什么呢？对于服务提供商，需要在服务器上安装合法的证书。这样，当浏览器进行HTTPS访问时，服务器返回证书，浏览器接收并安装好证书，就可以进行HTTPS通信了。当然，这其中还有一件事情，就是浏览器在安装证书之前会检查证书是否合法、有效，通常是将证书的签名POST到证书的签发方进行检查，而目前全球能够进行合法证书签发的公司并不多。如果证书合法且有效，开能进行安装。检查HTTPS认证的典型方式如下： Gmail HTTPS 从上图中可以看到，Gmail使用的证书是Thawte签发的。这些证书并不是免费的，服务提供商每年都需要向这些公司续费。我查了一下，在GoDaddy买一个个人用的SSL证书需要30刀，而最贵的也不过300刀每年。但即使如此，每天赚得盆满钵满的校内还是不愿意买这么一个证书来确保用户的账户安全。桂果还有很多这样的公司在偷偷摸摸地欺骗着客户，但是桂果人民的智商是这样轻易被愚弄的么？相比之下，如果你上过国外的一些网站(Google就是一个很好的例子)，你会发现在牵涉到使用帐号、密码进行登录时使用的都是HTTPS，有些甚至是全程使用(比如Gmail)。举例来说，平时使用的Twitter使用的几乎都是HTTP，但是在牵涉到密码时，一定能够保证是HTTPS： Twitter Login Form 关于HTTPS的更多信息，请参加Wikipedia。