基于POST GET 的http通讯虽然非常成熟,但是很容易被人监听。 并且如果使用跨域jsonp的通讯很容易在历史记录中发现通讯网址以及参数。为了克服这些问题, 并且降低服务器成本,我们没有使用SSL而使用 RSA加密。文章中的php加密解密 JS的加密解密 互相加密解密 都能验证通过。
2014-10-11 11:59 PHILO
Propublica的高级记者Julia Angwin、普林斯顿的Joseph Bonneau和电子前哨基金会的 Peter Eckersley 根据7个标准评估了流行即时通讯软件的安全性,结果显示腾讯的QQ是最不安全的即时通讯软件。 他们依据的7个技术标准是: 传输过程是否加密 供应商是否能读取加密信息 用户是否能验证联系人身份 如果密钥被盗,之前传输的信息是否安全 代码是否开放供独立审查 安全设计是否正确文档化 代码是否审计 QQ的得分是0,而最安全的即时通讯软件是Cryptocat(曾被记者Glenn Greenwald 使用)、Silent Text和Silent Phone(月费9.95美元),TextSe
2014-11-05 14:03
在Linux和Unix系统中广泛使用的开源应用wget发现了一个严重安全漏洞,允许攻击者通过FTP创建任意文件和目录,甚至复写整个文件系统。 该漏洞是Rapid 7的首席研究官HD Moore最早报告给 GNU Wget项目的。不同于此前广泛宣传的Heartbleed,ShellShock,POODLE 和Sandworm漏洞,wget这个的严重漏洞没有起什么特别的绰号。 利用wget漏洞的测试程序已经发布,确认wget 1.14存在漏洞。
2014-10-30 21:14
卡内基梅隆大学、西班牙电信和都灵理工大学的研究人员在ACM CoNEXT上发表了一篇论文(PDF),量化了网站从HTTP切换到HTTPS所付出的代价。 今天越来越多的网站和服务开始启动加密,HTTPS加密Web流量占到总流量的一半,其中YouTube这样的流媒体网站首次有50%的流量是经过HTTPS,这一切证明了Web的完整加密是可行的。 但启用HTTPS是有代价的。研究人员分析了启用加密对延迟、消耗数据和客户端电池寿命的影响。他们发现,HTTPS的S会使得页面加载时间增加了50%,增加10%到20%的耗电。此外,HTTPS还会影响缓存增加数据开销和功耗,以及父母控制
2014-12-05 17:33
安全研究人员Hector Marco发布公布了针对64位Linux内核的ASLR防护的绕过(slide和论文),这种攻击被称为offset2lib。 ASLR的实现是在Linux内核里,而在GNU/Linux发行版上加载一个应用程序到内存中会先找一个随机的地址加载第一个共享库,之后加载的共享库紧跟之前加载对象的地址,一个内存地址的泄漏就足够让地址随机化变得无用,甚至GOT(Global Offset Table)的地址泄漏都不是必须的。由于大部分的GNU/Linux发行版(除了像Gentoo这种每个源码包都需要自己编译)的包都是预编译的二进制文件,所以这些发行版的offset都是一样的。 作者的P
2014-12-06 17:08
微软披露了一个影响所有Windows版本的高危漏洞,Windows用户尤其是运行网站的用户需要立即安装微软周二释出的补丁。漏洞存在于微软的TLS库中,允许攻击者向Windows服务器发送恶意流量远程执行代码。 微软TLS漏洞的公开意味着所有主要TLS堆栈包括苹果的SecureTransport、GNUTLS、OpenSSL、NSS和微软Secure Channel(Schannel)都在今年发现了高危漏洞。 安全研究人员称,如果用户安装和运行监视端口接受加密连接的软件,那么机器就可能存在弱点。举例来说,Windows 7用户安装了接受外部连接的FTP服务器就可能面临风险。
2014-11-12 20:38
日前,腾讯安全应急响应中心(TSRC)发布公告,称其将对一些通用框架、组件、应用程序或者系统中发现的漏洞镜像奖励,其中包括Linux、Android、PHP、Apache、OpenSSL、nginx、Tomcat等基础架构的自由软件。针对提交的漏洞的危害程度,会有1-50万的现金奖励。 公告全文如下: 通用软件安全漏洞奖励计划 公告编号:TPSA14-22 公告来源:TSRC 发布日期:2014-10-28 公告内容: 2014年4月,OpenSSL被爆出存在心脏流血漏洞,黑客可以远程获取服务器及用户敏感信息甚至控制服务器。OpenSSL作为一个被广泛使用的软件,这个漏洞影响了整个互
2014-11-09 22:51
安全是编程非常重要的一个方面。在任何一种编程语言中,都提供了许多的函数或者模块来确保程序的安全性。在现代网站应用中,经常要获取来自世界各地用户的输入,但是,我们都知道永远不能相信那些用户输入的数据。所以在各种的Web开发语言中,都会提供保证用户输入数据安全的函数。今天,我们就来看看,在著名的开源语言PHP中有哪些有用的安全函数。 在PHP中,有些很有用的函数开源非常方便的防止你的网站遭受各种攻击,例如SQL注入攻击,XSS(Cross Site Scripting:跨站脚本)攻击等。一起看看PHP中常用的、可以确保项目安全的函数。注
2014-11-08 20:49 Pi Ke, dwqs
开源CMS项目Drupal对最近修复的SQL注入漏洞发布了安全警告,如果没有在安全修正发布7小时内打上补丁,那么使用Drupal 7的网站可以假定他们已经遭到了攻击者入侵。自动攻击工具已能利用漏洞去控制网站。 这里的及时是指在发布补丁7小时内,Drupal是在10月15日发布了修复补丁 Drupal 7.32 ,7小时后是UTC时间晚上11点,在此之后打上补丁可能就没有效果了,因为网站如果遭到入侵,升级到 Drupal 7.32并不能移除攻击者留下的后门。如果网站遭到入侵,攻击者能复制所有数据。 安全公司Sophos的分析师Mark Stockley说,这一警告令人震惊。他估
2014-11-02 07:35
和现实生活一样,网络世界中让你防不胜防的问题才是最可怕的,正如本古里安大学研究人员在波多黎各一场大型科技安全展会上展示的新型网络安全问题。根据过去一年进行的黑客实验,网络安全研究人员莫迪凯古里(Mordechai Guri)和尤瓦尔伊洛维奇(Yuval Elovici)向大家展示了其研究成果:AirHopper,一款安卓手机应用。该应用可利用电脑或服务器硬件发出的电磁波窃取信息,这就意味着即使电脑完全不联网也会遭到黑客的袭击。 该应用是高级持续性威胁(APT)的一个案例。从广义角度讲,APT的意思是难以察觉的持续性黑客袭击,遭受攻击的用
2014-11-25 10:55 DAVID SHAMAH
分享到微信
打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。
标签: