Internet安全概述(ppt-151頁(yè))課件

1、（第14講）考場(chǎng)作文開(kāi)拓文路能力分解層次(網(wǎng)友來(lái)稿)江蘇省鎮(zhèn)江中學(xué) 陳乃香說(shuō)明：本系列稿共24講，20XX年1月6日開(kāi)始在資源上連載【要義解說(shuō)】文章主旨確立以后，就應(yīng)該恰當(dāng)?shù)胤纸鈱哟?，使幾個(gè)層次構(gòu)成一個(gè)有機(jī)的整體，形成一篇完整的文章。如何分解層次主要取決于表現(xiàn)主旨的需要?！静呗越庾x】一般說(shuō)來(lái)，記人敘事的文章常按時(shí)間順序分解層次，寫(xiě)景狀物的文章常按時(shí)間順序、空間順序分解層次；說(shuō)明文根據(jù)說(shuō)明對(duì)象的特點(diǎn)，可按時(shí)間順序、空間順序或邏輯順序分解層次；議論文主要根據(jù)“提出問(wèn)題分析問(wèn)題解決問(wèn)題”順序來(lái)分解層次。當(dāng)然，分解層次不是一層不變的固定模式，而應(yīng)該富于變化。文章的層次，也常常有些外在的形式：1小標(biāo)題式

2、。即圍繞話題把一篇文章劃分為幾個(gè)相對(duì)獨(dú)立的部分，再給它們加上一個(gè)簡(jiǎn)潔、恰當(dāng)?shù)男?biāo)題。如世界改變了模樣四個(gè)小標(biāo)題：壽命變“長(zhǎng)”了、世界變“小”了、勞動(dòng)變“輕”了、文明變“綠”了。 2序號(hào)式。序號(hào)式作文與小標(biāo)題作文有相同的特點(diǎn)。序號(hào)可以是“一、二、三”，可以是“A、B、C”，也可以是“甲、乙、丙”從全文看，序號(hào)式干凈、明快；但從題目上看，卻看不出文章內(nèi)容，只是標(biāo)明了層次與部分。有時(shí)序號(hào)式作文，也適用于敘述性文章，為故事情節(jié)的展開(kāi)，提供了明晰的層次。 3總分式。如高考佳作人生也是一張答卷。開(kāi)頭：“人生就是一張答卷。它上面有選擇題、填空題、判斷題和問(wèn)答題，但它又不同于一般的答卷。一般的答卷用手來(lái)書(shū)寫(xiě)，

3、人生的答卷卻要用行動(dòng)來(lái)書(shū)寫(xiě)。”主體部分每段首句分別為：選擇題是對(duì)人生進(jìn)行正確的取舍，填空題是充實(shí)自己的人生，判斷題是表明自己的人生態(tài)度，問(wèn)答題是考驗(yàn)自己解決問(wèn)題的能力。這份“試卷”設(shè)計(jì)得合理而且實(shí)在，每個(gè)人的人生都是不同的，這就意味著這份人生試卷的“答案是豐富多彩的”。分解層次，應(yīng)追求作文美學(xué)的三個(gè)價(jià)值取向：一要?jiǎng)蚍Q美。什么材料在前，什么材料在后，要合理安排；什么材料詳寫(xiě)，什么材料略寫(xiě)，要通盤(pán)考慮。自然段是構(gòu)成文章的基本單位，恰當(dāng)劃分自然段，自然就成為分解層次的基本要求。該分段處就分段，不要老是開(kāi)頭、正文、結(jié)尾“三段式”，這種老套的層次顯得呆板。二要波瀾美。文章內(nèi)容應(yīng)該有張有弛，有起有伏，如波

4、如瀾。只有這樣才能使文章起伏錯(cuò)落，一波三折，吸引讀者。三要圓合美。文章的開(kāi)頭與結(jié)尾要遙相照應(yīng)，把開(kāi)頭描寫(xiě)的事物或提出的問(wèn)題，在結(jié)尾處用各種方式加以深化或回答，給人首尾圓合的感覺(jué)?！纠慕馄省?話題：忙忙，不亦樂(lè)乎 忙，是人生中一個(gè)個(gè)步驟，每個(gè)人所忙的事務(wù)不同，但是不能是碌碌無(wú)為地白忙，要忙就忙得精彩，忙得不亦樂(lè)乎。 忙是問(wèn)號(hào)。忙看似簡(jiǎn)單，但其中卻大有學(xué)問(wèn)。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦樂(lè)乎，卻并不簡(jiǎn)單。人生如同一張地圖，我們一直在自己的地圖上行走，時(shí)不時(shí)我們眼前就出現(xiàn)一個(gè)十字路口，我們?cè)撓蚰膬?，面?duì)那縱軸橫軸相交的十字路口，我們?cè)撛鯓舆x擇?不急，靜下心來(lái)分析一下，選

5、擇適合自己的坐標(biāo)軸才是最重要的。忙就是如此，選擇自己該忙的才能忙得有意義。忙是問(wèn)號(hào)，這個(gè)問(wèn)號(hào)一直提醒我們要忙得有意義，忙得不亦樂(lè)乎。 忙是省略號(hào)。四季在有規(guī)律地進(jìn)行著冷暖交替，大自然就一直按照這樣的規(guī)律不停地忙，人們亦如此。為自己找一個(gè)目標(biāo)，為目標(biāo)而不停地忙，讓這種忙一直忙下去。當(dāng)目標(biāo)已達(dá)成，那么再找一個(gè)目標(biāo)，繼續(xù)這樣忙，就像省略號(hào)一樣，毫無(wú)休止地忙下去，翻開(kāi)歷史的長(zhǎng)卷，我們看到牛頓在忙著他的實(shí)驗(yàn)；愛(ài)迪生在忙著思考；徐霞客在忙著記載游玩；李時(shí)珍在忙著編寫(xiě)本草綱目。再看那位以筆為刀槍的充滿著朝氣與力量的文學(xué)泰斗魯迅，他正忙著用他獨(dú)有的刀和槍在不停地奮斗。忙是省略號(hào)，確定了一個(gè)目標(biāo)那么就一直忙下去

6、吧!這樣的忙一定會(huì)忙出生命靈動(dòng)的色彩。 忙是驚嘆號(hào)。世界上的人都在忙著自己的事，大自然亦如此，小蜜蜂在忙，以蜂蜜為回報(bào)。那么人呢?居里夫人的忙，以放射性元素的發(fā)現(xiàn)而得到了圓滿的休止符；愛(ài)因斯坦在忙，以相對(duì)論的問(wèn)世而畫(huà)上了驚嘆號(hào)；李白的忙，以那豪放的詩(shī)歌而有了很大的成功；張衡的忙，因?yàn)槟堑貏?dòng)儀的問(wèn)世而讓世人仰慕。每個(gè)人都應(yīng)該有效率的忙，而不是整天碌碌無(wú)為地白忙。人生是有限的、短暫的，因此，每個(gè)人都應(yīng)該在有限的生命里忙出屬于他的驚嘆號(hào)；都應(yīng)在有限的生命里忙出他的人生精彩篇章。 忙是萬(wàn)物、世界、人生中都不可缺少的一部分。作為這世上最高級(jí)動(dòng)物的我們，我們?cè)诿κ裁茨?我們要忙得有意義，有價(jià)值，我們要忙出

7、屬于我們的精彩。我們的忙不能永遠(yuǎn)是問(wèn)號(hào)，而應(yīng)是省略號(hào)和感嘆號(hào)。忙就要忙得精彩，忙得不亦樂(lè)乎。 解剖：本文將生活中的一句口頭禪“忙得不亦樂(lè)乎”機(jī)智翻新，擬作標(biāo)題，亮出一道美麗的風(fēng)景。并據(jù)此展開(kāi)述說(shuō)，讓人神清氣爽。文章開(kāi)篇扣題，亮出觀點(diǎn)：忙，是人生中一個(gè)個(gè)步驟，不能碌碌無(wú)為地白忙，要忙就忙得精彩，忙得不亦樂(lè)乎。然后，作者分別用問(wèn)號(hào)、省略號(hào)、驚嘆號(hào)巧妙設(shè)喻，抓住這三種標(biāo)點(diǎn)符號(hào)的特征，擺實(shí)事，講道理，入情入理，入理入心。深刻地闡明人生忙，忙要像問(wèn)號(hào)一樣，經(jīng)常問(wèn)問(wèn)自己，不能盲目，不能瞎忙，要忙得有意義；人生如四季一樣是有規(guī)律的，要選準(zhǔn)目標(biāo)，像省略號(hào)一樣，毫無(wú)休止地忙下去，忙出生命靈動(dòng)的色彩；而人生有限，

8、每個(gè)人都應(yīng)有限的生命里忙出屬于他的驚嘆號(hào)，忙出人生精彩的篇章。結(jié)尾，作者用一個(gè)段落總結(jié)全文，照應(yīng)開(kāi)頭，照應(yīng)題目，有力收束。【精題解析】閱讀下面的材料，根據(jù)要求作文。在一處地勢(shì)十分險(xiǎn)惡的峽谷，谷底奔騰著咆哮的急流，峽谷間有一座索橋，幾根光禿禿、晃悠悠的鐵索橫在峽谷間，它是通過(guò)這個(gè)地方的唯一路徑，這里經(jīng)常有人因?yàn)槭ё愣肷罟?。有一天，有三個(gè)人來(lái)到了這里。一個(gè)聾子，一個(gè)瞎子，還有一個(gè)健康的人。聾子看看這座橋，很害怕，但是他聽(tīng)不到急流的聲音，他用眼睛看著腳下步伐，很順利地過(guò)去了。瞎子不知峽谷的險(xiǎn)惡，他心平氣和，十分穩(wěn)妥地通過(guò)了。第三個(gè)人是健康人，一直猶豫不敢走這索橋，可是又沒(méi)有其他路可走。于是，他十

9、分緊張地硬著頭皮走上索橋，到了橋中央，他看到腳下萬(wàn)丈深淵，云霧升騰，聽(tīng)到谷底急流咆哮，早已兩腿顫顫，面如土色，一不小心跌下橋去。請(qǐng)就“不要把困難看得太明白”為話題寫(xiě)一篇文章。注意所寫(xiě)內(nèi)容必須在話題范圍之內(nèi)。試題引用的材料，考生在文章中可用也可不用。立意自定。文體自選。題目自擬。不少于800字。不得抄襲。解析：有時(shí)候，把困難看得太明白，分析得太透徹，反而會(huì)被困難嚇倒以至于阻攔我們前進(jìn)的腳步。倒是那些未把困難完全看清楚而勇往直前的人，更容易達(dá)到終點(diǎn)。 作者郵箱：謝觀賞第8章Internet的安全性8.1Internet/Intranet的安全概述8.2網(wǎng)頁(yè)中的新技術(shù)與IE

10、的安全性8.3電子郵件與Outlook Express的安全8.4IIS 服務(wù)器的安全8.5本章小結(jié)練習(xí)題Internet是全世界最大、覆蓋面最廣的計(jì)算機(jī)互聯(lián)網(wǎng)絡(luò)。它不僅僅把眾多計(jì)算機(jī)連接起來(lái)，而更重要的是Internet中含有極其豐富的信息資源。因此，人們常稱Internet是現(xiàn)代的信息超級(jí)市場(chǎng)，是信息的海洋，也是全球信息基礎(chǔ)設(shè)施即信息高速公路的雛形。然而Internet本身是沒(méi)有邊界的、全球的互聯(lián)網(wǎng)，不屬于任何一個(gè)組織和任何一個(gè)國(guó)家；在Internet上既沒(méi)有法令也沒(méi)有法規(guī)，人們的行為幾乎不受制約。如今在Internet上的安全問(wèn)題已成了計(jì)算機(jī)和通信界關(guān)注的焦點(diǎn)，從安全問(wèn)題角度考慮，給認(rèn)為

11、Internet已經(jīng)完全勝任商務(wù)活動(dòng)的人們潑了一盆冷水，也延緩或阻礙了Internet作為國(guó)家信息基礎(chǔ)設(shè)施或全球信息基礎(chǔ)設(shè)施成為大眾媒體的發(fā)展進(jìn)程。一些調(diào)查研究表明，許多個(gè)人和公司之所以對(duì)加入Internet持觀望態(tài)度，其主要原因就是出于對(duì)安全的考慮。與此同時(shí)，也有分析家警告商家不加入Internet會(huì)有什么危害。盡管眾說(shuō)紛紜，但大家一致認(rèn)為Internet需要更多更好的安全機(jī)制。在享受Internet帶來(lái)許多好處的同時(shí)，了解Internet的工作機(jī)制、安全漏洞、加強(qiáng)自身的安全意識(shí)和采取一定的防范措施是非常必要的。本章將學(xué)習(xí)有關(guān)Internet應(yīng)用中的安全性問(wèn)題，主要內(nèi)容有：Internet/

12、Intranet的安全概述；Internet Explorer的安全性；IIS 服務(wù)器的安全性；電子郵件的安全性；Outlook Express的安全性。8.1 Internet/Intranet的安全概述 8.1.1 Internet的脆弱性Internet是使用公共語(yǔ)言進(jìn)行通訊的全球計(jì)算機(jī)網(wǎng)絡(luò)。它類似于國(guó)際電話系統(tǒng)，即無(wú)人擁有或控制整個(gè)系統(tǒng)，但是以大型網(wǎng)絡(luò)的工作方式連接。Internet本身是沒(méi)有邊界的、全球的互聯(lián)網(wǎng)，不屬于任何一個(gè)組織和任何一個(gè)國(guó)家；在Internet上既沒(méi)有法令也沒(méi)有法規(guī)，人們的行為幾乎不受制約。由于沒(méi)有國(guó)際互聯(lián)網(wǎng)上通行的國(guó)際法規(guī)，所以對(duì)犯罪沒(méi)有處理的依據(jù)。Intern

13、et有很多安全隱患，主要表現(xiàn)在以下幾方面。(1) Internet是跨國(guó)界的，黑客樂(lè)于進(jìn)行跨國(guó)攻擊。(2) 通過(guò)IP地址識(shí)別網(wǎng)絡(luò)上的用戶是完全不可靠的。眾所周知，大多數(shù)國(guó)家都實(shí)行身份證或戶籍管理制度，這種制度就是把人和他的身份對(duì)應(yīng)起來(lái)，通過(guò)身份來(lái)控制和管理個(gè)人。但是在Internet上，IP地址只是一個(gè)數(shù)字的標(biāo)志，根本不能代表實(shí)際的身份。通過(guò)IP地址來(lái)識(shí)別和管理存在嚴(yán)重的安全漏洞。(3) Internet本身沒(méi)有中央管理機(jī)制，沒(méi)有法令和法規(guī)。(4) Internet從技術(shù)上來(lái)講是開(kāi)放的、標(biāo)準(zhǔn)的，是為君子設(shè)計(jì)而不防小人的。(5) Internet沒(méi)有審計(jì)和記錄的功能，也就是說(shuō)對(duì)發(fā)生的事情沒(méi)有記錄

14、，這也是一個(gè)安全隱患。8.1.2 Internet提供的服務(wù)中的安全問(wèn)題如前所述的核心協(xié)議是TCP/IP協(xié)議，通過(guò)TCP/IP協(xié)議提供的服務(wù)有很多脆弱性。基于TCP/IP協(xié)議的服務(wù)很多，人們比較熟悉的有WWW服務(wù)、FTP服務(wù)和電子郵件服務(wù)等；不太熟悉的有TFTP服務(wù)、NFS服務(wù)和Finger服務(wù)等。這些服務(wù)都存在不同程度上的安全缺陷。當(dāng)用戶用防火墻保護(hù)站點(diǎn)時(shí)，就需要考慮該提供哪些服務(wù)、要禁止哪些服務(wù)，在這里只對(duì)一些常用服務(wù)作簡(jiǎn)單介紹。 1. WWW服務(wù)的安全WWW服務(wù)又稱Web服務(wù)，它相對(duì)于其他服務(wù)出現(xiàn)比較晚，是建立在HTTP(超文本傳輸協(xié)議)協(xié)議上的全球信息庫(kù)，是Internet上HTTP服

15、務(wù)器的集合，它是瑞士日內(nèi)瓦歐洲粒子物理實(shí)驗(yàn)室發(fā)明的，并在短時(shí)間內(nèi)得到迅猛發(fā)展，是人們最常用的Internet服務(wù)。目前Web站點(diǎn)遍及世界各地。萬(wàn)維網(wǎng)用超文本技術(shù)把Web站點(diǎn)上的文件鏈在一起，文件可以包括文本、圖形、聲音、視頻以及其他形式。用戶可以自由地通過(guò)超文本導(dǎo)航從一個(gè)文件進(jìn)入另一個(gè)文件，方便地搜索信息。不管文件在哪里，只要在HTTP協(xié)議連接的字或圖上用鼠標(biāo)點(diǎn)一下就行了。搜索Web文件的工具是瀏覽器，常用的瀏覽器是Netscape Navigator和Microsoft Interne Explorer。HTTP只是瀏覽器中使用的一種協(xié)議，瀏覽器還會(huì)使用FTP、GOPHER、WAIS等協(xié)議，

16、也會(huì)包括NNTP和SMTP等協(xié)議。因此，當(dāng)用戶在使用瀏覽器時(shí)，實(shí)際上他是通過(guò)HTTP申請(qǐng)服務(wù)，也會(huì)去申請(qǐng)F(tuán)TP、GOPHER、WAIS、NNTP和SMTP等服務(wù)器。這些服務(wù)器都存在漏洞，是不安全的。隨著Netscape公司推出安全套接子層SSL，WWW服務(wù)器和瀏覽器的安全型得到了大大的提高，現(xiàn)在人們已經(jīng)把這種技術(shù)應(yīng)用于電子商務(wù)Ebusiness。例如，在美國(guó)人們可以在Internet上買(mǎi)賣(mài)股票和使用信用卡購(gòu)物。WWW服務(wù)存在什么安全問(wèn)題呢？安全套接子層SSL使WWW服務(wù)的安全型提高了很多，但它主要解決的是數(shù)據(jù)包被竊聽(tīng)和劫持的問(wèn)題，除此之外WWW服務(wù)還有其他問(wèn)題。如WWW服務(wù)使用的CGI程序、服

17、務(wù)器端附件(Server Side Include, SSI)和Java Applet小程序等。瀏覽器由于靈活而備受用戶的歡迎，而靈活性也會(huì)導(dǎo)致控制困難。瀏覽器比FTP服務(wù)器更容易轉(zhuǎn)換和執(zhí)行，但是一個(gè)惡意的侵入也就更容易得到轉(zhuǎn)換和執(zhí)行。瀏覽器一般只能理解基于如HTML格式、JPEG和GIF圖形格式等數(shù)據(jù)格式。對(duì)其他的數(shù)據(jù)格式，瀏覽器是通過(guò)外部程序來(lái)觀察的。一定要注意哪些外部程序是默認(rèn)的。不能允許那些危險(xiǎn)的外部程序進(jìn)入站點(diǎn)。用戶不要隨便地增加外部程序，不要輕信陌生人的建議而去隨便修改外部程序的配置。大部分Web站點(diǎn)注意的只是站點(diǎn)內(nèi)部的安全。但是通過(guò)WWW會(huì)引入外部文件和程序，通過(guò)超文本會(huì)進(jìn)入其他

18、站點(diǎn)的文本。它們對(duì)這些文本和程序的安全性一般考慮的就很少，因此會(huì)帶來(lái)很多的安全問(wèn)題。最初WWW服務(wù)只提供靜態(tài)的HTML頁(yè)面，這種頁(yè)面顯得很呆板，于是人們引入了CGI程序，CGI程序讓人們的主頁(yè)活起來(lái)。通用網(wǎng)關(guān)接口(common gateway interface, CGI)誕生于NCSA，Mosaic WWW瀏覽器和NCSA http WWW服務(wù)器也來(lái)源于此。其目標(biāo)是提供一種靈活方便的機(jī)制來(lái)擴(kuò)展服務(wù)器的功能，從而超出建立在http服務(wù)器之上的“get file and display(得到文件并顯示)”的模型，它已經(jīng)很好地達(dá)到了這個(gè)目標(biāo)。盡管從技術(shù)上說(shuō)CGI指的是接口，在一般術(shù)語(yǔ)中CGI經(jīng)常用

19、于指CGI程序設(shè)計(jì)本身。CGI的思想是WWW資源不一定只為靜態(tài)的文本頁(yè)面或者任何其他類型的不可改變的文件。它可以是在服務(wù)器及其上完成任務(wù)和計(jì)算的一個(gè)程序，并且輸出一個(gè)動(dòng)態(tài)文檔，這個(gè)動(dòng)態(tài)文檔可能基于通過(guò)HTML表單的請(qǐng)求而提供的數(shù)據(jù)。在編寫(xiě)程序之前要仔細(xì)研究完整的CGI規(guī)范。其地址是：/cgi/。要想有效地使用CGI，必須要理解HTML表單，它通常意味著向CGI傳遞數(shù)據(jù)。這些都記錄于HTML2.0規(guī)范RFC 1866：/rfc/ rfc1886.txt。當(dāng)用戶進(jìn)入hotmail時(shí)，會(huì)發(fā)現(xiàn)下面的用戶的輸入信息，一般用戶是通過(guò)表格把輸入信息傳給CGI程序的，然后CGI程序可以根據(jù)用戶的要求進(jìn)行一些處

20、理；在一般情況下會(huì)生成一個(gè)HTML文件，并傳回給用戶。很多CGI程序都存在安全漏洞，很容易被黑客利用做一些非法的事情，如把/etc/passwd文件傳送給黑客、刪除服務(wù)器上的文件等。還有，很多人在編寫(xiě)CGI程序時(shí)，可能對(duì)CGI程序包中的安全漏洞并不了解，而且在大多數(shù)情況下不會(huì)重新編寫(xiě)程序的所有部分，只是對(duì)其加以適當(dāng)?shù)男薷?，這樣很多CGI程序就不可避免的具有相同的安全漏洞，所以用戶若要編寫(xiě)一個(gè)安全的CGI程序，就應(yīng)先去了解這些軟件包中的安全漏洞。這些可以從網(wǎng)上得到。CGI是一種獨(dú)立于語(yǔ)言的接口，使得WWW可以使用幾乎任何語(yǔ)言產(chǎn)生動(dòng)態(tài)文檔。CGI可以用任何訪問(wèn)環(huán)境變量和產(chǎn)生輸出的語(yǔ)言編寫(xiě)，而且已經(jīng)

21、用了很多語(yǔ)言編寫(xiě)它，然而最流行的可能要算PERL了。這主要是因?yàn)樗哂休^強(qiáng)的字符串處理能力，但它也很不安全，其中有很多UNIX的特殊字符可用來(lái)執(zhí)行UNIX的系統(tǒng)命令，一般入侵者就是利用這些特殊字符實(shí)施攻擊的。強(qiáng)大而靈活的接口通常的代價(jià)就是系統(tǒng)安全，CGI也不例外。程序員經(jīng)常會(huì)匆忙地編寫(xiě)出CGI程序，就像其他簡(jiǎn)單程序一樣，而沒(méi)有考慮到每個(gè)CGI程序都是一個(gè)Internet服務(wù)器，都會(huì)帶來(lái)同樣的危險(xiǎn)。CGI經(jīng)常被編寫(xiě)成等待一定格式的數(shù)據(jù)，但是實(shí)質(zhì)上不限制長(zhǎng)度的任意數(shù)據(jù)都可以發(fā)送給程序。這意味著CGI必須被編寫(xiě)得健壯一些，當(dāng)受到一些惡意的或者不是想要的數(shù)據(jù)時(shí)，它要能夠適當(dāng)?shù)闹兄?。通常使用的Inter

22、net服務(wù)器，如sendmail和finger在被編寫(xiě)時(shí)都充分意識(shí)到了這些危險(xiǎn)性。這些程序的源代碼已經(jīng)被各種各樣的人研究多年，以便找出問(wèn)題。即使這樣，安全性問(wèn)題仍然存在。鑒于此，如果允許用戶創(chuàng)建CGI程序卻不仔細(xì)去評(píng)估其中的危險(xiǎn)性并采取行動(dòng)減小這種危險(xiǎn)性，那簡(jiǎn)直是太愚蠢了。2. 電子郵件服務(wù)的安全電子郵件服務(wù)給人們提供了一種便宜、方便和快捷的服務(wù)，如今的大學(xué)生們幾乎人人都有一個(gè)E-mail地址，E-mail地址也開(kāi)始出現(xiàn)在人們的名片上了?，F(xiàn)在，UNIX環(huán)境下的電子郵件服務(wù)器一般是Sendmail，它是一個(gè)復(fù)雜且功能強(qiáng)大的應(yīng)用軟件，正因?yàn)槿绱怂陌踩┒淳透?。程序越龐大、越?fù)雜則安全漏洞出現(xiàn)的

23、可能性就越大，這是一個(gè)公認(rèn)的原理。Sendmail在UNIX環(huán)境下以root賬戶運(yùn)行，所以如果該程序被黑客利用，用戶主機(jī)的損失將會(huì)是十分巨大的。因特網(wǎng)蠕蟲(chóng)病毒曾經(jīng)震驚世界，它使大批的服務(wù)器陷于癱瘓之中，這種病毒就是利用了Sendmail的安全缺陷。如果要使這些功能以更安全的方式實(shí)現(xiàn)，需要對(duì)Sendmail進(jìn)行重新設(shè)計(jì)和重新實(shí)現(xiàn)，但人們又會(huì)擔(dān)心新的版本會(huì)出現(xiàn)更多的人們不知道的安全漏洞。Sendmail的問(wèn)題被人們修修補(bǔ)補(bǔ)，但總是有新的問(wèn)題出現(xiàn)，“最新Sendmail修訂版”在網(wǎng)絡(luò)安全中已經(jīng)成了一種笑料。除此之外，電子郵件附著的Word文件和其他文件有可能會(huì)帶有病毒。電子郵件炸彈也是一個(gè)令人頭疼的

24、問(wèn)題，試想，用戶一下子收到了一大堆垃圾郵件，直到郵件箱被塞滿，用戶會(huì)有什么感受？3. FTP服務(wù)和TFTP服務(wù)的安全這兩個(gè)服務(wù)都是適用于傳輸文件的，但用的場(chǎng)合不同，安全程度也不同。TFTP服務(wù)用于局域網(wǎng)，在無(wú)盤(pán)工作站啟動(dòng)時(shí)用于傳輸系統(tǒng)文件，因?yàn)樗粠в腥魏伟踩J(rèn)證所以安全性極差，因此常被人用來(lái)竊取密碼文件/etc/passwd。FTP服務(wù)對(duì)于局域網(wǎng)和廣域網(wǎng)都可以用來(lái)下載任何類型的文件。FTP服務(wù)由TCP/IP的文件傳輸協(xié)議支持。只要連入Internet的兩臺(tái)計(jì)算機(jī)都支持TCP/IP協(xié)議，運(yùn)行FTP軟件，用戶就像使用自己計(jì)算機(jī)上的資源管理器一樣，將遠(yuǎn)程計(jì)算機(jī)上的文件復(fù)制到自己的硬盤(pán)。大多數(shù)提供F

25、TP服務(wù)的站點(diǎn)允許用戶以anonymous作為用戶名，不需要密碼或告訴你密碼，如guest、自己的E-mail地址。有的站點(diǎn)不需要輸入賬號(hào)名和口令，一旦登錄成功，用戶可以下載文件。如果服務(wù)器安全系統(tǒng)允許，用戶也可以上載文件，這種FTP服務(wù)稱為匿名服務(wù)。網(wǎng)上有許多匿名FTP服務(wù)站點(diǎn)，其上有許多免費(fèi)軟件、圖片和游戲，匿名FTP是人們常使用的一種服務(wù)方式。FTP服務(wù)的安全性要好一些，起碼它需要用戶輸入用戶名和口令。當(dāng)然，匿名FTP服務(wù)就像匿名WWW服務(wù)是不需要口令的，但用戶權(quán)力會(huì)受到嚴(yán)格的限制。匿名FTP(Anonymous FTP)是ISP的一項(xiàng)重要服務(wù)，它允許用戶通過(guò)FTP訪問(wèn)FTP服務(wù)器上的文

26、件，這時(shí)不正確的配置將嚴(yán)重威脅系統(tǒng)安全。因此，需要保證使用它的人不去申請(qǐng)系統(tǒng)上其他的區(qū)域或文件，也不能對(duì)系統(tǒng)作任意的修改。在匿名FTP區(qū)域中一個(gè)可寫(xiě)的目錄常常是應(yīng)該擔(dān)心的。文件傳輸和電子郵件一樣會(huì)給網(wǎng)上的站點(diǎn)帶來(lái)不受歡迎的數(shù)據(jù)和程序。首先文件傳輸可能會(huì)帶來(lái)“特洛伊木馬”，這會(huì)給站點(diǎn)以毀滅性的打擊。其次是會(huì)給站點(diǎn)帶入無(wú)聊的游戲、盜版軟件以及色情圖畫(huà)等，也會(huì)帶來(lái)時(shí)間和磁盤(pán)空間的煩惱，還可能嵩斐傘熬芫瘛憊鰲涿FTP服務(wù)的安全在很大程度上決定于一個(gè)系統(tǒng)管理員的水平。一個(gè)低水平的系統(tǒng)管理員很可能會(huì)錯(cuò)誤配置權(quán)限，從而被黑客利用破壞整個(gè)系統(tǒng)。4. 遠(yuǎn)程登錄(Telnet)的安全遠(yuǎn)程登錄是提供遠(yuǎn)程終端申請(qǐng)的程

27、序。這是一種十分有用又十分節(jié)約的遠(yuǎn)程申請(qǐng)機(jī)制。Telnet是因特網(wǎng)上常用的登錄程序。它真實(shí)地模仿一個(gè)終端，但不能是圖形工作站。不用做特殊的安排就可以為因特網(wǎng)上任何站點(diǎn)上的用戶提供遠(yuǎn)程申請(qǐng)。但它只能提供基于字符(文本)的應(yīng)用。Telnet不僅允許用戶登錄到遠(yuǎn)程終端主機(jī)上，還允許用戶執(zhí)行那臺(tái)主機(jī)的命令。這樣北京的用戶可以對(duì)上海的機(jī)器進(jìn)行終端仿真，并運(yùn)行上海及其上的程序，就像用戶身在上海一樣。Telnet看來(lái)像是十分安全的服務(wù)，但它要用戶認(rèn)證。Telnet送出的所有信息是不加密的，很容易被黑客攻擊?，F(xiàn)在Telnet被認(rèn)為是從遠(yuǎn)程系統(tǒng)申請(qǐng)你的站點(diǎn)時(shí)是最危險(xiǎn)的服務(wù)之一。要使Telnet安全，必須選擇安全

28、的認(rèn)證方案，防止站點(diǎn)被竊聽(tīng)或侵襲。5. 用戶新聞(usenet news)用戶新聞或新聞組是因特網(wǎng)上的公告牌，它提供了多對(duì)多的通信。最大眾化的新聞組會(huì)有幾十萬(wàn)人參加。像電子郵件一樣，用戶新聞具有危險(xiǎn)性。并且大多數(shù)站點(diǎn)的新聞信息量大約6個(gè)月翻一番，很容易造成溢出。為了安全起見(jiàn)，一定要配置好新聞服務(wù)。網(wǎng)絡(luò)新聞傳輸協(xié)議(netware news transfer protocol，NNTP)是因特網(wǎng)上轉(zhuǎn)換新聞的協(xié)議。很多站點(diǎn)建立了預(yù)定的本地新聞組，以便于本地用戶間進(jìn)行討論。這些新聞組往往包含秘密的、有價(jià)值的或者是敏感的信息。有些人可以通過(guò)NNTP服務(wù)器私下申請(qǐng)這些預(yù)定新聞組，結(jié)果造成泄密。如果要建立

29、預(yù)定新聞組，一定要小心的配置NNTP服務(wù)器，控制對(duì)這些新聞組的申請(qǐng)。6. 其他的網(wǎng)絡(luò)信息服務(wù)(1) Finger和Whois是可以提供有關(guān)人的信息的兩種查詢服務(wù)。Finger可以查找在網(wǎng)絡(luò)上擁有賬戶的用戶信息，而不管用戶目前是否登錄在網(wǎng)上。這些信息包括人的真實(shí)姓名、賬號(hào)、電話號(hào)碼、公司地址、最近何時(shí)何地登錄注冊(cè)的信息以及用戶的其他材料。在TCP/IP協(xié)議中只需一個(gè)IP地址便可以提供許多關(guān)于主機(jī)的信息，例如誰(shuí)在登錄、登錄的時(shí)間、地點(diǎn)等。對(duì)一個(gè)訓(xùn)練有素的黑客來(lái)說(shuō)，F(xiàn)inger無(wú)疑是其進(jìn)入目標(biāo)主機(jī)的一把利器。因?yàn)橹懒擞脩裘偷扔诔晒α艘话?。鑒于此，如果你的系統(tǒng)不需要這種服務(wù)，就請(qǐng)?jiān)谀愕某?jí)守護(hù)進(jìn)程

30、的配置文件(inetd.conf)中將它注釋掉。Whois和Finger相似， 它提供的是公開(kāi)有效的信息。這些信息是主機(jī)、網(wǎng)絡(luò)、域和它們的管理者的材料。Whois客戶默認(rèn)的詢問(wèn)主機(jī)是，在Internets Network Information Center(InterNIC)那里得到關(guān)于Internet上關(guān)于主機(jī)、網(wǎng)絡(luò)、域和管理者的信息。(2) Gopher、廣域信息服務(wù)WAISWide Area Information Service和文檔查詢服務(wù)Archie都是Internet上的查詢服務(wù)工具。Gopher是一個(gè)面向菜單基于文本的查詢工具。在Gopher服務(wù)器上信息是以一系列分級(jí)菜單組成

31、的，從菜單里，用戶可以選擇條目，每一個(gè)條目可以是一個(gè)文件、一種格式或一個(gè)分條目。Gopher服務(wù)器和客戶都使用鏈接的數(shù)據(jù)方案，這和WWW、Web服務(wù)一樣會(huì)帶來(lái)安全問(wèn)題。Archie是基于文件名的自動(dòng)搜索服務(wù)，WAIS是基于文件內(nèi)容(關(guān)鍵字)的自動(dòng)搜索服務(wù)。WAIS和Archie比Web和Gopher漏洞要小一點(diǎn)，因?yàn)樗鼈儾环祷厝我庑问降臄?shù)據(jù)。但當(dāng)提供這些服務(wù)時(shí)可能會(huì)引起其他的漏洞。例如，允許用戶直接申請(qǐng)Archie，就會(huì)允許闖入者申請(qǐng)NFS和NIS/YP服務(wù)器。(3) 除了上面提到的Finger和TFTP服務(wù)，還有X Windows服務(wù)和基于RPC的NFS服務(wù)和BSD UNIX的以“r”開(kāi)頭的

32、服務(wù)，如Rlogin、rsh和rexec。這些服務(wù)在設(shè)計(jì)上安全性很差，一般只在內(nèi)部網(wǎng)使用。如果有防火墻，應(yīng)把這些服務(wù)限制在內(nèi)網(wǎng)中。8.1.3 Intranet的安全性Intranet又稱企業(yè)內(nèi)部網(wǎng)，由于它在局域網(wǎng)內(nèi)部采用了Internet技術(shù)而得名“Intranet”。因此，Intranet指的是私人、公司和企業(yè)內(nèi)部網(wǎng)絡(luò)上為用戶提供信息的任何使用TCP/IP協(xié)議的網(wǎng)絡(luò)。這些網(wǎng)絡(luò)中的一部分，雖然沒(méi)有連接到Internet，但是使用了Internet通訊標(biāo)準(zhǔn)和工具。例如，公司中安裝的Web服務(wù)器，可在內(nèi)部員工之間發(fā)布公司業(yè)務(wù)通訊、銷售圖表及其他的公共文檔。換句話說(shuō)，Intranet就是采用了Int

33、ernet技術(shù)和標(biāo)準(zhǔn)的私有網(wǎng)絡(luò)。Intranet和Internet相比較，存在的主要問(wèn)題同樣是安全方面的問(wèn)題。Intranet本身是一個(gè)相對(duì)獨(dú)立的網(wǎng)絡(luò)空間，相對(duì)獨(dú)立是指它有自己的邊界。另一個(gè)方面，Intranet具有中央管理，這一點(diǎn)很好理解。一個(gè)Intranet有它自己的主人，屬于某一個(gè)機(jī)構(gòu)或某一個(gè)單位，那么這個(gè)機(jī)構(gòu)和這個(gè)單位要對(duì)這個(gè)網(wǎng)絡(luò)實(shí)施管理，而且管理的核心內(nèi)容就是安全。Intranet本身只采用IP識(shí)別是不夠的，因?yàn)镮P地址易被竊用。Internet和Intranet相比，最主要的一點(diǎn)差別在于：Internet沒(méi)有管理，而Intranet有管理。從技術(shù)角度來(lái)看，Intranet需要一套身

34、份認(rèn)證和授權(quán)管理系統(tǒng)。Intranet的安全需求包括：(1) 解決網(wǎng)絡(luò)的邊界安全，由于它本身是和國(guó)際互聯(lián)網(wǎng)相連的；(2) 要保證網(wǎng)絡(luò)內(nèi)部的安全；(3) 不僅要實(shí)現(xiàn)系統(tǒng)安全，還要實(shí)現(xiàn)數(shù)據(jù)安全；(4) 建立全網(wǎng)通行的身份識(shí)別系統(tǒng)，實(shí)現(xiàn)用戶的統(tǒng)一管理；(5) 在身份識(shí)別和資源統(tǒng)一管理的基礎(chǔ)之上，實(shí)現(xiàn)統(tǒng)一的授權(quán)管理。所謂的統(tǒng)一授權(quán)管理就是在用戶和資源之間進(jìn)行嚴(yán)格的訪問(wèn)控制；(6) 信息傳輸時(shí)實(shí)現(xiàn)數(shù)據(jù)的完整性和保密性；(7) 建立一整套審計(jì)、記錄的機(jī)制，也就是說(shuō)網(wǎng)上發(fā)生的事情要記錄下來(lái)，再根據(jù)記錄進(jìn)行事后的處理；(8) 把技術(shù)手段和行政手段融為一體，形成全局的安全管理。8.2 網(wǎng)頁(yè)中的新技術(shù)與IE的安全

35、性Microsoft Internet Explorer是一種WWW瀏覽器。就像Microsoft Word那樣是創(chuàng)建和格式化文檔的工具或者像Microsoft Excel那樣是創(chuàng)建電子表格和執(zhí)行計(jì)算的工具，也是Internet Explorer是導(dǎo)航和訪問(wèn)或?yàn)g覽Web中信息的工具。它的功能比較強(qiáng)大，其安全性隨著IE版本的提高，也逐步完善。當(dāng)前在通過(guò)瀏覽器讀取信息的網(wǎng)頁(yè)中使用許多如Cookies，Java，Active X等網(wǎng)絡(luò)新技術(shù)，給用戶帶了五彩繽紛的和便利的界面，同時(shí)也給黑客提供了攻擊的新手段。在Internet中, 計(jì)算機(jī)網(wǎng)絡(luò)安全級(jí)別高低的區(qū)分是以用戶通過(guò)瀏覽器發(fā)送數(shù)據(jù)和瀏覽器訪問(wèn)本地

36、客戶資源的能力高低來(lái)區(qū)分的。安全和靈活是一對(duì)矛盾的東西。高的安全級(jí)別必然帶來(lái)靈活性的下降和功能的限制。Web技術(shù)的發(fā)展也是安全和功能強(qiáng)大的平衡。純粹文字的HTML或許是安全的(如果我們把內(nèi)容給予用戶身心帶來(lái)的沖擊。比如暴力、色情等不看做安全問(wèn)題)，但顯然其功能會(huì)受到很大限制。允許在網(wǎng)頁(yè)上下載和使用Active X顯然是不安全的，但功能會(huì)很強(qiáng)大也是毋庸質(zhì)疑的。安全是和對(duì)象相關(guān)的。一般可以認(rèn)為，小組里十分可信的站點(diǎn)，例如，辦公室的軟件服務(wù)器的數(shù)據(jù)和程序是比較安全的，同時(shí)公司的站點(diǎn)是中等水平安全，當(dāng)然Internet上的大多數(shù)訪問(wèn)被認(rèn)為是相當(dāng)不安全的，其中黑客們的訪問(wèn)自然是極不安全的?；趯?duì)訪問(wèn)對(duì)象

37、和訪問(wèn)方法的劃分，高版本的IE(如IE5.0)定義了4個(gè)通過(guò)瀏覽器訪問(wèn)Internet的安全級(jí)別：高、中、中低、低和4類訪問(wèn)對(duì)象：Internet、本地Internet(即Intranet)、可信站點(diǎn)和受限站點(diǎn)等。也就是說(shuō)IE支持Cookies，Java，Active X等網(wǎng)絡(luò)新技術(shù)，同時(shí)也可以通過(guò)安全配置來(lái)限制用戶使用Active X控件、如何使用Cookies、如何使用腳本(Script)、如何下載數(shù)據(jù)和程序、如何驗(yàn)證用戶登陸、以及對(duì)于標(biāo)準(zhǔn)HTML一些可能帶來(lái)問(wèn)題的特性的限制；如Frame(框架網(wǎng)頁(yè))的使用、提交表單的方式等等。由于IE瀏覽器是隨著Windows系統(tǒng)免費(fèi)發(fā)送的，它已成為世界

38、上使用人數(shù)最多的瀏覽器。同時(shí)Microsoft公司的產(chǎn)品一般安全性較差，IE瀏覽器也不例外。下面來(lái)談?wù)動(dòng)嘘P(guān)Cookie，Java，Active X等技術(shù)的安全問(wèn)題和IE瀏覽器的漏洞帶來(lái)的安全問(wèn)題，以及針對(duì)這些問(wèn)題應(yīng)采取的防范措施。8.2.1 瀏覽器中Cookie的安全 1. Cookie簡(jiǎn)介Cookie是由Netscape開(kāi)發(fā)并將其作為持續(xù)保存狀態(tài)信息和其他信息的一種方式，目前絕大多數(shù)的瀏覽器都支持Cookie協(xié)議。如果能夠鏈入Web網(wǎng)頁(yè)或其他網(wǎng)絡(luò)的話，就可以使用Cookie來(lái)傳遞某些具有特定功能的小信息塊。Cookie是一個(gè)儲(chǔ)存于瀏覽器目錄中的文本文件，約由255個(gè)字符組成，僅占4KB硬盤(pán)空

39、間。當(dāng)用戶正在瀏覽某站點(diǎn)時(shí)，它儲(chǔ)存于用戶機(jī)的RAM中；退出瀏覽器后，它儲(chǔ)存于用戶的硬盤(pán)中。儲(chǔ)存在Cookie中的大部分信息是普通的信息。例如，當(dāng)瀏覽一個(gè)站點(diǎn)時(shí)，此文件記錄了每一次的擊鍵信息和被訪站點(diǎn)的URL等。但是許多Web站點(diǎn)使用Cookies來(lái)儲(chǔ)存針對(duì)私人的數(shù)據(jù)，例如，注冊(cè)口令、用戶名、信用卡編號(hào)等。MSN(微軟提供的網(wǎng)絡(luò)在線服務(wù))、Netscape都完全采用了使用Cookies儲(chǔ)存信息的個(gè)性化處理。假如想查看儲(chǔ)存在Cookie文件中的信息，可以從瀏覽器目錄中查找名為Cookie.txt或MagicCookie(Mac機(jī))的文件，然后利用文本編輯器和字處理軟件打開(kāi)查看即可。2. Cooki

40、e的安全性HTTP Cookie不會(huì)給機(jī)器帶來(lái)任何傷害，比如從硬盤(pán)中獲取數(shù)據(jù)、取得E-mail地址或竊取某些私人的敏感信息等。實(shí)際上，Java與JavaScript早期的運(yùn)行版本存在這方面的缺陷，但這些安全方面漏洞的絕大部分已經(jīng)被堵塞了?？蓤?zhí)行屬性是儲(chǔ)存于一個(gè)文件中的程序代碼執(zhí)行其功能的必要條件，而Cookies是以標(biāo)準(zhǔn)文本文件形式儲(chǔ)存的，因此不會(huì)傳遞任何病毒，所以從普通用戶意義上講，Cookie本身是安全可靠的。但是，隨著互聯(lián)網(wǎng)的迅速發(fā)展，網(wǎng)上服務(wù)功能的進(jìn)一步開(kāi)發(fā)和完善，利用網(wǎng)絡(luò)傳遞的資料信息愈來(lái)愈重要，有時(shí)涉及到個(gè)人的隱私。因此，關(guān)于Cookies的一個(gè)值得關(guān)心的問(wèn)題并不是Cookies對(duì)

41、你的機(jī)器能做些什么，而是它能存儲(chǔ)些什么信息或傳遞什么信息到鏈接的服務(wù)器中。HTTP Cookies 可以被用來(lái)跟蹤網(wǎng)上沖浪者訪問(wèn)過(guò)的特定站點(diǎn)，盡管站點(diǎn)的跟蹤不用Cookies也容易實(shí)現(xiàn)，不過(guò)利用Cookies使跟蹤到的數(shù)據(jù)更加堅(jiān)固可靠些。由于一個(gè)Cookie是Web服務(wù)器放置在機(jī)器上的、并可以重新獲取檔案的惟一的標(biāo)識(shí)符，因此Web站點(diǎn)管理員可以利用Cookies建立關(guān)于用戶及其瀏覽特征的詳細(xì)檔案資料。當(dāng)用戶登錄到一個(gè)Web站點(diǎn)后，在任一設(shè)置了Cookies的網(wǎng)頁(yè)上的單擊操作信息都會(huì)被加到該檔案中。檔案中的這些信息暫時(shí)主要用于站點(diǎn)的設(shè)計(jì)維護(hù)，但除站點(diǎn)管理員外并不否認(rèn)被別人竊取的可能，假如這些Co

42、okies持有者們把一個(gè)用戶身份鏈接到他們的Cookie ID，利用這些檔案資料就可以確認(rèn)用戶的名字及地址。此外，某些高級(jí)的Web站點(diǎn)(如許多的網(wǎng)上商業(yè)部門(mén))實(shí)際上采用了HTTP Cookies的注冊(cè)鑒定方式。當(dāng)用戶在站點(diǎn)注冊(cè)或請(qǐng)求信息時(shí)，經(jīng)常輸入確認(rèn)他們身份的登記口令、E-mail地址或郵政地址到Web頁(yè)面的窗體中，窗體從Web頁(yè)面收集用戶信息并提交給站點(diǎn)服務(wù)器，服務(wù)器利用Cookies持久地保存信息，并將其放置在用戶機(jī)上，等待以后的訪問(wèn)。這些Cookies內(nèi)嵌于HTML信息中，并在用戶機(jī)與站點(diǎn)服務(wù)器間來(lái)回傳遞，如果用戶的注冊(cè)信息未曾加密，將是很危險(xiǎn)的。因此，許多人認(rèn)為Cookie的存在對(duì)個(gè)

43、人隱私是一種潛在的威脅。3. 拒絕Cookie的方法如果感到不安全的話，可以拒絕Web服務(wù)器設(shè)置的Cookie信息或當(dāng)服務(wù)器在瀏覽器上設(shè)置Cookie時(shí)顯示警告窗口，它將告知設(shè)置的Cookies的值及其刪除所花費(fèi)的時(shí)間。在Windows下拒絕接受Cookie，可以刪除Cookie文件內(nèi)容或把文件屬性設(shè)置為只讀和隱含。在瀏覽器下拒絕的具體方法如下。(1) 在IE中禁止。IE3.0及以上版本不是把所有的Cookies存儲(chǔ)在單個(gè)文件中，而是把每個(gè)Cookie作為獨(dú)立的文件儲(chǔ)存在“Windowscookies”目錄下，因此禁止Cookies較困難。 如果想禁止個(gè)別的Cookies，例如，記錄雙擊鍵操作

44、的Cookies，可以通過(guò)刪除相應(yīng)文件內(nèi)容來(lái)破壞這些Cookies，然后把文件屬性改為只讀、隱藏、系統(tǒng)屬性，并且存儲(chǔ)文件。當(dāng)?shù)卿浀揭粋€(gè)設(shè)置了這種Cookies的站點(diǎn)時(shí)，它既不能從Cookies讀取任何信息，也不會(huì)傳遞新的信息給你。 通過(guò)IE瀏覽器總體提供的Cookies的安全設(shè)置選項(xiàng)，具體步驟為：打開(kāi)瀏覽器“工具” “Internet選項(xiàng)” 選擇“安全”選項(xiàng)卡單擊窗口列表中白色編輯框中Internet圖標(biāo)(地球標(biāo)志)，單擊窗口列表中下方的“自定義級(jí)別”(如圖8.1所示) 彈出“安全設(shè)置”對(duì)話框，移動(dòng)對(duì)話框中的垂直滾動(dòng)滑塊，直到出現(xiàn)“Cookies”設(shè)置選項(xiàng)，如圖8.2所示有兩個(gè)Cookies選

45、項(xiàng)。圖8.1圖8.2允許使用存儲(chǔ)在你計(jì)算機(jī)上的Cookies指定IE如何處理來(lái)自 Web 站點(diǎn)的永久 Cookie。Cookie 是由 Internet 站點(diǎn)創(chuàng)建的文件，用于在計(jì)算機(jī)上存儲(chǔ)有關(guān)用戶的信息(例如身份和訪問(wèn)該站點(diǎn)時(shí)的首選項(xiàng))。永久 Cookie 以文件的形式存儲(chǔ)在計(jì)算機(jī)上，當(dāng) IE關(guān)閉時(shí)，它仍然保留在計(jì)算機(jī)上。要指定IE接受Cookie而不必先行提示，請(qǐng)單擊“啟用”。要指定 Internet Explorer 在即將接收來(lái)自 Web 站點(diǎn)的 Cookie 時(shí)發(fā)出警告，請(qǐng)單擊“提示”。要指定不允許 Web 站點(diǎn)將 Cookie 存儲(chǔ)到計(jì)算機(jī)上，而且 Web 站點(diǎn)不能讀取本機(jī)上已有的

46、Cookie，請(qǐng)單擊“禁用”。一般來(lái)說(shuō)，為提高安全性應(yīng)選擇“禁止”。允許使用每個(gè)對(duì)話Cookies(未存儲(chǔ))指定 Internet Explorer 如何處理來(lái)自 Web 站點(diǎn)的臨時(shí) Cookie。如果希望 Internet Explorer 直接接收Cookie而不是事前提醒你，請(qǐng)單擊“啟用”。如果希望 Internet Explorer 在即將接收來(lái)自 Web 的 Cookie 時(shí)向用戶作出警告，請(qǐng)單擊“提示”。如果不允許來(lái)自 Web 站點(diǎn)的 Cookie 進(jìn)入用戶的計(jì)算機(jī)，并且不允許用戶計(jì)算機(jī)上已有的 Cookie 被 Web 站點(diǎn)讀取，請(qǐng)單擊“禁用”。 通過(guò)注冊(cè)表禁止Cookies，可

47、刪除注冊(cè)表中的如下條目：HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionInternetSettingsCacheSpecial PathsCookies，然后重新啟動(dòng)機(jī)器，并刪除“Windowscookies”目錄。(2) 在NETSCAPE中禁止。在Netscape的目錄下有一個(gè)cookies.txt文件(在Mac機(jī)上稱為Magic cookie)，可以利用文本編輯器大膽地刪除文件的內(nèi)容，并把文件重新存為具有只讀、隱藏、系統(tǒng)屬性的文件，然后運(yùn)行Windows的注冊(cè)表編輯器，打開(kāi)HKEY_CURRENT_USERSoftware

48、NetscapeNetscape NavigatorCookies主鍵，將鍵值名Cookie File設(shè)置為Cookie File=NUL，此時(shí)硬盤(pán)上就不會(huì)再有持續(xù)保存的信息了。上述方法僅是禁止了長(zhǎng)期設(shè)在硬盤(pán)上的Cookies，當(dāng)瀏覽器正在運(yùn)行時(shí)，設(shè)在內(nèi)存中的Cookies仍然未被禁止，但關(guān)閉瀏覽器后因其無(wú)法將Cookies寫(xiě)入硬盤(pán)會(huì)清除掉這些Cookies。它的優(yōu)點(diǎn)是在瀏覽器運(yùn)行過(guò)程中，仍可以交換某些信息。同樣也可以設(shè)置Cookies時(shí)顯示警告窗口。 (3) 如果使用了其他支持Cookies的瀏覽器，那么一種較好的方法是使用某些可以拒絕Cookies的工具軟件。例如：Internet Jun

49、kbrster 2.0(可免費(fèi)下載)是一個(gè)非常好的選擇，它幾乎能用于所有的瀏覽器，作為一個(gè)代理存在于瀏覽器和Internet網(wǎng)之間,可以拒絕大約99%的Cookies。除了訪問(wèn)允許設(shè)置Cookies的站點(diǎn)外，在使用瀏覽器時(shí)它可以禁止所有Cookies寫(xiě)入硬盤(pán)中。8.2.2 Active X的安全問(wèn)題 1. 什么是Active XActive X是Microsoft公司提供的一款高級(jí)技術(shù)，它可以像一個(gè)應(yīng)用程序一樣在瀏覽器中顯示各種復(fù)雜的應(yīng)用。Active X是一種技術(shù)集合，它使得在環(huán)球網(wǎng)上交互內(nèi)容得以實(shí)現(xiàn)。利用Active X技術(shù)，網(wǎng)上應(yīng)用變得生動(dòng)活撥，伴隨著多媒體效果、交互式對(duì)象和復(fù)雜的應(yīng)用程

50、序，使用戶猶如感受CD質(zhì)量的音樂(lè)一般。Active X技術(shù)是一種集合所有其他使網(wǎng)絡(luò)生動(dòng)起來(lái)的技術(shù)粘合劑。它的主要好處是：動(dòng)態(tài)內(nèi)容可以吸引用戶，開(kāi)放的、跨平臺(tái)支持可以運(yùn)行在Macintosh、 Windows和UNIX操作系統(tǒng)上。Active X是一種開(kāi)放平臺(tái)，利用它可以使開(kāi)發(fā)人員為Internet和企業(yè)網(wǎng)開(kāi)發(fā)出激動(dòng)人心并包含動(dòng)態(tài)內(nèi)容的程序。微軟為Internet設(shè)計(jì)的主要新技術(shù)之一，具體功能闡述如下。(1) Active X控件Active X控件(以前稱為OLE控件)指的是能夠被插入網(wǎng)頁(yè)或任何稱作控件容器庫(kù)的應(yīng)用程序之中的對(duì)象。例如，按鈕、股票計(jì)數(shù)器和直方圖。(2) Active X文檔Ac

51、tive X文檔能夠被網(wǎng)絡(luò)瀏覽器或文檔瀏覽器顯示。傳統(tǒng)的嵌入式對(duì)象受限于頁(yè)面而嵌入在文檔之中，利用Active X文檔可以在整個(gè)客戶區(qū)域中以框架形式顯示。(3) Active X服務(wù)器框架用戶能夠擴(kuò)展網(wǎng)絡(luò)服務(wù)提供的定制網(wǎng)頁(yè)，這些定制網(wǎng)頁(yè)的內(nèi)容可以來(lái)源于數(shù)據(jù)庫(kù)或是一 個(gè)在服務(wù)器上運(yùn)行的程序。(4) Active X腳本JavaScript、VBScript和其他腳本語(yǔ)言可以連接控件，在網(wǎng)頁(yè)中加入交互式功能。腳本功能可以將處理過(guò)程從服務(wù)器方移至客戶方。例如，表單內(nèi)容的合法性檢查可以在客戶方完成。(5) HTML擴(kuò)展HTML擴(kuò)展，例如，對(duì)象標(biāo)簽已經(jīng)被加入用于支持控件和腳本。2. Active X的安

52、全問(wèn)題要想安全地使用IE瀏覽器訪問(wèn)Internet并杜絕Active X惡意地攻擊，就必須首先了解使 用Active X的攻擊方式，然后才能掌握防范Active X攻擊的方法。因?yàn)锳ctive X的強(qiáng)大功能，它可以做很多的事情，它的危害性也就進(jìn)一步加大了。在Active X推出不久人們相繼發(fā)現(xiàn)了Active X的許多副作用，其中最大一個(gè)漏洞是用戶通過(guò)瀏覽器瀏覽一些帶有惡意的Active X控件，這些控件可以在用戶毫不知情的情況下執(zhí)行Windows系統(tǒng)中任何程序。這將會(huì)給用戶帶來(lái)很大的安全風(fēng)險(xiǎn)，如黑客可以執(zhí)行format c:命令來(lái)格式化硬盤(pán)。試想一下，如果用戶正在上網(wǎng)，突然屏幕變黑，指示燈狂閃

53、，硬盤(pán)亂叫，瞬間用戶的數(shù)據(jù)就消失了，這可不是開(kāi)玩笑，它真的存在。這是利用了Windows的一個(gè)默認(rèn)的Active X控件來(lái)完成的，下面的一個(gè)例子是利用該控件刪除硬盤(pán)C:test.txt文件，代碼如下： scr.Reset();scr.Path=C:WindowsStart MenuProgramstest.hta;scr.Doc=wash.Run(start /m deltree c:/test.txt /Y);alert(IMPORTANT:Windows is removing unused temporary files。);scr.write();下面做一個(gè)試驗(yàn)，把這段代碼放入一個(gè)HT

54、ML文件中在IE中打開(kāi)，沒(méi)有任何動(dòng)靜，這就是它的高明所在。這時(shí)，它已經(jīng)悄悄的藏在Windows的啟動(dòng)設(shè)置中了，即是在Windows的啟動(dòng)設(shè)置“C:WindowsStart MenuPrograms啟動(dòng)”中做了手腳。當(dāng)用戶重新啟動(dòng)計(jì)算機(jī)時(shí)，它會(huì)彈出一個(gè)警告窗口：“IMPORTANT：Windows is removing unused temporary fi1es?！?Windows正在移走沒(méi)有的臨時(shí)文件)這是一個(gè)騙局，它真正做的是“刪除C:test.txt文件”(這是中文版Windows的代碼，如果是英文版，classid后面的參數(shù)就要作調(diào)整)，如果用戶將代碼中deltree c:/test

55、.txt /Y改成format c:/autotest，就變成了格式化C盤(pán)(非常危險(xiǎn)，不要試圖這樣做)。漏洞影響的系統(tǒng)包括： Microsoft Windows 9x、Microsoft Windows NT/2000等系統(tǒng)。3. 開(kāi)發(fā)、發(fā)行Active X 控件的安全與管理Active X安全設(shè)置用于確保 Active X 控件安全地與用戶的計(jì)算機(jī)和計(jì)算機(jī)數(shù)據(jù)進(jìn)行交互。當(dāng)為Internet 部件下載發(fā)布Active X控件時(shí)，必須為控件設(shè)置安全級(jí)別。否則，如果簽名的控件發(fā)行后損壞了用戶的計(jì)算機(jī)或破壞了用戶的數(shù)據(jù)，開(kāi)發(fā)者將對(duì)此負(fù)法律責(zé)任。這些問(wèn)題可以通過(guò)驗(yàn)證代碼的安全性并作出相應(yīng)的標(biāo)記來(lái)解決。

56、Internet 部件下載有兩級(jí)安全：設(shè)置初始化安全性和設(shè)置腳本安全性(注意：安全設(shè)置只適用于用 Internet Explorer 進(jìn)行下載的部件)。(1) 設(shè)置初始化安全性當(dāng)將控件標(biāo)記為設(shè)置初始化安全性后，就確保了無(wú)論在初始化時(shí)使用什么數(shù)據(jù)和腳本，都不會(huì)執(zhí)行有損于最終用戶計(jì)算機(jī)的操作。一個(gè)設(shè)置了初始化安全性的控件不會(huì)寫(xiě)入或修改任何Windows注冊(cè)條目、.ini文件或作為初始化參數(shù)結(jié)果的數(shù)據(jù)文件。設(shè)置初始化安全性對(duì)控件的方法、運(yùn)行時(shí)的屬性或提供給腳本書(shū)寫(xiě)器的信息的安全性沒(méi)有要求。在默認(rèn)情況下，Internet Explorer 將顯示一條警告信息，并且不下載沒(méi)有標(biāo)記為設(shè)置腳本安全性和設(shè)置初

57、始化安全性的控件。在使用Visual Basic打包和展開(kāi)向?qū)镮nternet 發(fā)行的軟件打包時(shí)，可以將軟件指定為設(shè)置初始化安全性和設(shè)置腳本安全性。(2) 設(shè)置腳本安全性當(dāng)將控件標(biāo)記為設(shè)置腳本安全性時(shí)，就確保了沒(méi)有任何腳本可以使控件對(duì)用戶的計(jì)算機(jī)或數(shù)據(jù)造成破壞。標(biāo)記為設(shè)置腳本安全性的控件將不能從用戶的計(jì)算機(jī)中獲取未授權(quán)的信息，也不能對(duì)系統(tǒng)造成破壞。在將控件標(biāo)記為設(shè)置腳本安全性之前，必須驗(yàn)證該控件不執(zhí)行任何非法行為或不允許可能造成破壞的打開(kāi)文件的行為。一般來(lái)說(shuō)，能夠自動(dòng)獲得用戶計(jì)算機(jī)中有關(guān)用戶的任何信息并將其展示給腳本書(shū)寫(xiě)器的控件是沒(méi)有設(shè)置腳本安全性的。這種看似無(wú)害的行為在某些國(guó)家和地區(qū)會(huì)被視

58、為犯罪特別地，控件的腳本不應(yīng)執(zhí)行以下操作：插入或檢索自定義、腳本的注冊(cè)表和.ini文件信息。換句話說(shuō)就是用戶不能通過(guò)腳本來(lái)指定插入哪個(gè)注冊(cè)表或 .ini 文件信息。插入或檢索不屬于控件的注冊(cè)表和.ini 文件信息。注意： 控件在發(fā)行時(shí),可以插入和檢索預(yù)先定義只屬于控件的、用于幫助控件管理其內(nèi)部功能的注冊(cè)表和 .ini 文件信息。用腳本指定的名稱從硬盤(pán)驅(qū)動(dòng)器上讀取文件。 安全與不安全操作之間的區(qū)別是非常細(xì)微的。例如，總是將信息寫(xiě)入自己的注冊(cè)表?xiàng)l目的Active X 控件可能是安全的，而允許用戶命名條目的控件是不安全的。創(chuàng)建臨時(shí)文件時(shí)不使用任何初始化或腳本值的控件可能是安全的，但允許初始化時(shí)或通過(guò)

59、腳本對(duì)臨時(shí)文件命名的控件是不安全的。在將控件標(biāo)記為設(shè)置腳本安全性之前，建議最好創(chuàng)建文檔來(lái)記錄其理由，對(duì)此應(yīng)給予同簽訂法律合同一樣的關(guān)注?？梢詫⒃撐臋n包含在控件的.inf文件中。文檔可能包括以下內(nèi)容： 熟悉源代碼和 VBScript 的專家、外部開(kāi)發(fā)者對(duì)控件的評(píng)論; 一張列出控件所有顯露的方法、事件和屬性的列表; 一張列出所有打開(kāi)的文件、使用的 API 調(diào)用、檢索或?qū)懭氲男畔⒌牧斜怼?如果在以上兩種列表的元素之間有任何依賴關(guān)系或數(shù)據(jù)傳送，則控件可能沒(méi)有設(shè)置腳本安全性。(3) 安全標(biāo)志的局限性一個(gè)標(biāo)記為設(shè)置初始化安全性和設(shè)置腳本安全性的控件在使用時(shí)并不一定總是安全的。以上兩節(jié)列出了控件作為初始化或

60、腳本的結(jié)果不能執(zhí)行的操作，但控件在其他時(shí)間仍可能執(zhí)行這些不安全操作。例如，假設(shè)創(chuàng)建了一個(gè)Active X 控件，該控件在使用了10次以后就對(duì)硬盤(pán)進(jìn)行重新格式化。該操作并不作為初始化或腳本結(jié)果發(fā)生，因此可以將該控件標(biāo)記為安全。當(dāng)然，寫(xiě)這樣一個(gè)控件的人應(yīng)受到與寫(xiě)病毒的人同樣的懲罰。開(kāi)發(fā)者，而不是最終用戶或 HTML 作者，應(yīng)當(dāng)負(fù)有提供足夠安全保證的責(zé)任。如果作為開(kāi)發(fā)者沒(méi)有提供足夠的安全保證，那么他就應(yīng)承擔(dān)法律責(zé)任。軟件安全的最終審核一般是由對(duì)該安全問(wèn)題非常熟悉且經(jīng)驗(yàn)豐富的開(kāi)發(fā)人員對(duì)軟件獨(dú)立評(píng)審后完成的。開(kāi)發(fā)者可能希望將有關(guān)評(píng)審的信息包含在下載文件包的.inf文件中。(4) 實(shí)現(xiàn)數(shù)字簽名Intern