8月 242011
 


误解七:HTTPS无法缓存

许多人以为,出于安全考虑,浏览器不会在本地保存HTTPS缓存。实际上,只要在HTTP头中使用特定命令,HTTPS是可以缓存的。

微软的IE项目经理Eric Lawrence写道:

“说来也许令人震惊,只要HTTP头允许这样做,所有版本的IE都缓存HTTPS内容。比如,如果头命令是Cache-Control: max-age=600,那么这个网页就将被IE缓存10分钟。IE的缓存策略,与是否使用HTTPS协议无关。(其他浏览器在这方面的行为不一致,取决 于你使用的版本,所以这里不加以讨论。)”

Firefox默认只在内存中缓存HTTPS。但是,只要头命令中有Cache-Control: Public,缓存就会被写到硬盘上。下面的图片显示,Firefox的硬盘缓存中有HTTPS内容,头命令正是Cache-Control:Public。 Continue reading »

8月 232011
 

SSL协议由美国 NetScape公司开发的,V1.0版本从没有公开发表过;V2.0版本于1995年2月发布。但是,由于V2.0版本有许多安全漏洞,所以,1996年紧接着就发布了V3.0版本。

SSL协议 V2.0 主要安全漏洞:
(1) 同一加密密钥用于消息身份验证和加密。
(2) 弱消息认证代码结构和只支持不安全的MD5哈希函数。
(3) SSL握手过程没有采取任何防护,这意味着非常容易遭遇中间人攻击。
(4) 使用TCP连接关闭,以指示数据的末尾(没有明确的会话关闭通知)。这意味着截断攻击是可能的:攻击者只需伪造一个TCP FIN,使得接受方无法识别数据结束消息的合法性。
(5) 仅能提供单一服务和绑定一个固定域名,这与Web服务器中的虚拟主机标准功能有冲突,这意味着,许多网站都无法使用SSL。
因为SSL v2.0协议存在许多安全漏洞问题,容易遭遇中间人攻击和容易被破解。但是,由于许多系统和Web服务器都还支持SSL v2.0协议,所以为了增强用户浏览网页的安全,目前所有主流新版浏览器都已经不支持不安全的SSL v2.0协议。 Continue reading »

8月 232011
 

  你的SSL 服务器是否存在着错误的配置和已知的漏洞?这些不安全的因素会给企业网络带来极大的安全风险。遵循下面这些技巧可以使你避免一些常见的SSL安全错误,让你远离风险。

  1、禁用对SSLv2的支持。该版本的SSL协议在15多年前就被证明是不安全的,但如今有许多Web服务器仍在使用它。

  禁用此协议用了不多少时间。例如,在Apache v2中,你需要对默认为配置进行改变:

  将:SSLProtocol all

  变为:SSLProtocol all -SSLv2

  2、禁用对弱加密的支持。几乎所有的Web服务器都支持强加密算法(128位)或极强的加密算法(256位),但许多服务器还在支持弱加密,黑客们会利用这个漏洞来损害企业网络安全。我们没有理由支持弱加密,只需用很短的时间来配置服务器就可以禁用弱加密: Continue reading »

8月 192011
 

  印度政府日前证实,安全部门仍无法解密RIM公司使用黑莓电子邮件等平台收发的加密通讯。

  印度政府一直在寻求入侵黑莓信息系统的方法,并曾威胁如果RIM不提供访问将禁止黑莓在印度销售。

  而RIM公司先前已表示,没有一个单一的主密钥可以访问所有账号,因此监控信息是不可能的。这可以理解为经要求可能做到解密个别的账号,但系统范围的解密是不可能的。

  “通过电信运营商的合法拦截和监控设施,安全机构能够访问多国电信供应商包括黑莓的加密数据和虚拟专网数据传输。但是安全机构暗示他们无法解密截获的加密通讯为可读的格式。”印度电信部部长卡皮尔·西巴尔(Kapil Sibal)在一份提交印度下议院的书面回复中写道。

  印度政府已成立了一个技术委员会,试图找到一个折中的方法,但始终未能达成一致决定。

7月 312011
 

巴基斯坦开始执行新的电信法(PDF),要求ISP监视用户的网络使用。毫无疑问,加密将让监视变得困难重重。因此巴基斯坦正试图禁止用户使用加密,其中包括VPN。这条消息是隐私保护组织隐私国际(Privacy International)通过其Twitter帐号报导的。

6月 032011
 

TrueCrypt is already running

If a messagebox TrueCrypt is already running appears when starting TrueCrypt, check for a hidden file in the home directory of the concerned user called .TrueCrypt-lock-username. Substitute username with the individual username. Delete the file and start TrueCrypt again. Continue reading »

5月 252010
 

2010年5月22日,Google宣布发布https(ssl)加密搜索,发现除了核心搜索业务使用了ssl之外Google快照也开始支持这种加密方式。Google快照的地址是http://webcache.googleusercontent.com/xxx这种格式,既然可以使用加密连接,那么只要将地址中的”http://”修改为”https://”就可以正常浏览Google快照了。

手动修改地址毕竟不是很方便,幸亏Firefox拥有丰富多样的扩展可以加以利用。Redirector是一个可以自动按照用户定义转向的Firefox扩展,支持通配符和正则两种自定义方式。结合Redirector,在访问Google快照时,浏览器会自动转向https的页面,顺利避开第三方拦截。

使用方法:
到Redirector扩展页面下载安装,重启Firefox浏览器;

在Firefox底部状态栏上的Redirector图标上点击鼠标右键,弹出设置窗口,点击下方的”Add”,添加规则; Continue reading »

3月 302007
 

数据公钥加密和认证中的私钥公钥
来源: 月光博客

  先前我曾经写了一篇“网站的安全登录认证设计”,可能是讲述的不够清楚,有一位读者就留言质疑到,“公钥顾名思义就是公开的啦,只要你愿意,谁都会有你的公钥,何来安全?应该是用网站的公钥加密,传到网站后,网站用自己的私钥解密吧”。

  这些密码学的概念容易被搞混淆,的确也情有可原。因为公钥、私钥、加密、认证这些都是较为复杂的问题,其概念不太容易理解,理解不透就容易产生各种似是而非的概念,为了让大家对于密码学有进一步的了解,这里我就详细解说一下公钥和私钥的具体作用和使用方法。

  加密和认证

  首先我们需要区分加密和认证这两个基本概念。

  加密是将数据资料加密,使得非法用户即使取得加密过的资料,也无法获取正确的资料内容,所以数据加密可以保护数据,防止监听攻击。其重点在于数据的安全性。身份认证是用来判断某个身份的真实性,确认身份后,系统才可以依不同的身份给予不同的权限。其重点在于用户的真实性。两者的侧重点是不同的。

  公钥和私钥 Continue reading »