【正文】 戶的電子郵件地址，域名和口令。 ?③ 類裝載器漏洞 ?該 Classloader Java漏洞允許惡意的 Web站點(diǎn)通過一個 Java Applet來讀取、修改或者刪除用戶本地計算機(jī)上的文件。 ? 4）長文件名電子郵件漏洞 ?當(dāng)用戶在閱讀一個帶有長文件名的電子郵件消息時，如果打開了“文件”菜單，就可能遭受這個漏洞的攻擊。 ?⑤ Singapore隱私漏洞 ?它允許一個網(wǎng)絡(luò)黑客監(jiān)視用戶在 Web上的活動。 ? 4．瀏覽器泄漏的敏感信息 ? Web服務(wù)器大多對每次接受的訪問都作相應(yīng)的記錄，并保存到日志文件中。通常包括來訪的IP地址、來訪的用戶名、請求的 URL、請求的狀態(tài)和傳輸?shù)臄?shù)據(jù)的大小。瀏覽器在向外傳送信息的時候，很可能已經(jīng)把自己的敏感信息送了出去。 ? 5． Web欺騙 ? 1）欺騙攻擊 ?欺騙攻擊主要是指攻擊者通過偽造一些容易引起錯覺的文字、音像或者其他場景來誘導(dǎo)受騙者做出錯誤的與安全有關(guān)的決策。 ? 2） Web欺騙攻擊的原理 ? Web欺騙攻擊成功的關(guān)鍵在于攻擊者的偽服務(wù)器必須位于受騙用戶到目標(biāo) Web服務(wù)的必經(jīng)的路徑上。 ?攻擊者首先在某些 Web網(wǎng)頁上改寫所有與目標(biāo) Web站點(diǎn)有關(guān)的聯(lián)接，使得不能指向真正的 Web服務(wù)器，而是指向攻擊者的偽服務(wù)器。當(dāng)用戶點(diǎn)擊這些聯(lián)接時，首先指向了偽服務(wù)器，攻擊者向真正的服務(wù)器索取用戶的所需界面。當(dāng)獲得目標(biāo) Web送來的頁面后，偽服務(wù)器改寫聯(lián)接并加入偽裝代碼，送給被欺騙的瀏覽器用戶。 Web瀏覽器的安全策略 ? 1） IP地址和緩沖（ cache）窺探 ? 用戶每次訪問 Web服務(wù)器時都會留下一定的痕跡。這個痕跡在不同的服務(wù)器上以不同的方法記錄下來，包括訪問者的 IP地址，用戶主機(jī)名，甚至用戶名。這樣網(wǎng)絡(luò)管理員就可以精確判斷出用戶的位置、網(wǎng)絡(luò)地址的名字、曾經(jīng)訪問的地方。 ? 2） Cookie ? Cookie是一個保存在客戶機(jī)中的簡單的文本文件，這個文件與特定的 Web文檔關(guān)聯(lián)在一起，用戶在瀏覽 Web頁時可以存儲有關(guān)用戶的信息。 Cookie可以讓 Web服務(wù)器記住用戶名、用戶口令、興趣等，從而保存該客戶機(jī)訪問這個 Web文檔時的信息。 ?針對 Web瀏覽器所面臨的種種威脅，應(yīng)該制定相應(yīng)的安全策略。 ? 1．瀏覽器的自動調(diào)用 ?瀏覽器比 FTP服務(wù)器更容易轉(zhuǎn)換和執(zhí)行，同樣，一個惡意的侵入也就更容易得到轉(zhuǎn)換和執(zhí)行。瀏覽器一般只能理解一些基本的數(shù)據(jù)格式，比如 HTML、 JPEG、 GIF等格式的圖形，對其他的數(shù)據(jù)格式，瀏覽器要通過外部程序來觀察。這樣，就引入了一些不安全的因素。因此，可以采取以下一些方法措施： ? 1）不要輕信陌生人的建議而隨便修改外部程序的配置； ? 2）不要允許危險的外部程序進(jìn)入站點(diǎn)； ? 3）不要隨便地增加外部程序； ? 4）不是默認(rèn)的外部程序要多加注意。 ? 2．惡意代碼 ?對于這些惡意修改，可以用網(wǎng)絡(luò)實(shí)名來將 IE修復(fù)到默認(rèn)狀態(tài)。修復(fù)工作主要包括以下內(nèi)容： ? 1）修復(fù) IE標(biāo)題。 ? 2）修復(fù) IE起始頁為空白頁。 ? 3）取消對 IE的非法限制 ? 4）解除對注冊表編輯器的非法限制 ? 3．瀏覽器本身的漏洞 ?瀏覽器軟件公司在發(fā)現(xiàn)安全漏洞的同時不斷地發(fā)布相應(yīng)的“補(bǔ)丁”程序，以彌補(bǔ)其對應(yīng)的不足之處，或者是開發(fā)瀏覽器新的增加相應(yīng)安全功能的升級版本。所以我們在使用瀏覽器過程中應(yīng)多注意軟件開發(fā)商所發(fā)布的“補(bǔ)丁”程序或升級版本，及時地給自己的瀏覽器“打補(bǔ)丁”或進(jìn)行升級，這是減小因?yàn)g覽器本身存在漏洞而造成的威脅的最有效的一種方法。 ? 4． Web欺騙 ? Web欺騙攻擊的危害大，上當(dāng)?shù)挠脩艨赡軙恢挥X泄漏機(jī)密信息，還可能受到經(jīng)濟(jì)損失。為確保安全，用戶可以采取的措施有： ?盡量避免非有不可的瀏覽器的 JavaScript，ActiveX和 Java選項。 ?充分利用瀏覽器的提示信息。 ?進(jìn)入 SSL安全聯(lián)接時，仔細(xì)查看站點(diǎn)的證書是否與其所聲稱的一致，不要被相似的字符欺騙。 ?當(dāng)然，針對不同的 Web欺騙形式，對應(yīng)的安全策略也各不相同： ? 1） Email欺騙 ?① Email宣稱來自于系統(tǒng)管理員，要求用戶將他們的口令改變?yōu)樘囟ǖ淖执?。那么用戶?yīng)該了解，任何 MIS人員都不會用 Email發(fā)出這樣的要求，而只是發(fā)出一份備忘錄，或者采用其他的驗(yàn)證手段。 ?② 如果站點(diǎn)允許與 STMP端口聯(lián)系，任何人都可以與該端口聯(lián)系，并以用戶或者一個虛構(gòu)人的名義發(fā)出 Email。所以應(yīng)該花一定的時間來查看 Email錯誤信息，其中會經(jīng)常有闖入者的線索。 ?③ 通過對包的監(jiān)控來檢查 IP欺騙。用 log或類似的包監(jiān)控工具來檢查外接口上包的情況，如發(fā)現(xiàn)包的源地址和目的地址都是本地域地址，就意味有人試圖攻擊系統(tǒng)。 ?④ 安裝一個過濾路由器來限制對外部接口的訪問，禁止帶有內(nèi)部資源地址包通過。還要禁止（過濾）帶有不同于內(nèi)部資源地址的內(nèi)部包通過路由器到別的網(wǎng)上去，這樣就可以防止內(nèi)部的用戶對別的站點(diǎn)進(jìn)行 IP欺騙。 Web瀏覽器的安全通信 ? 1． Web瀏覽器的安全使用 ?一般而言， IE 下幾條： ?① 屏蔽惡意網(wǎng)站，通過 IE Cookie策略，個性化地設(shè)定瀏覽網(wǎng)頁時的 Cookie規(guī)則，更好地保護(hù)自己的信息，增加使用 IE的安全性。 ?② 有效保護(hù) IE的首頁和工具欄，經(jīng)常清除已瀏覽網(wǎng)址（ URL），清除已訪問網(wǎng)頁。 ?③ 使用智能過濾控件，經(jīng)常清除已瀏覽網(wǎng)址（ URL）和已訪問過的網(wǎng)頁，禁用或限制使用 Java、 Java小程序腳本、 ActiveX控件和插件。 ?④ 調(diào)整自動完成功能的設(shè)置，做到只選擇針對 Web地址、表單和密碼使用“自動完成”功能，也可以只在某些地方使用此功能，還可以清除任何項目的歷史記錄。 ?⑤ 若需要隱藏控制面板、網(wǎng)上鄰居等選項，可以使用安全特別設(shè)置。 ?⑥ 使用在線殺毒功能，以便全面掌握計算機(jī)的安全狀態(tài)。 ? 2．傳輸和傳輸更新 ? Web由傳輸協(xié)議（ GTTP）、數(shù)據(jù)格式（ HTML）及瀏覽器（ Mosaic、 Netscape、Inter Explorer等）組成。使用協(xié)議、數(shù)據(jù)格式或?yàn)g覽器，無需任何特別要求。因此，使用 Web瀏覽器、 Web專用協(xié)議、 Web專用數(shù)據(jù)格式等工具，就可以建立 Web聯(lián)接。 ?不斷更新是 Web站點(diǎn)成長的關(guān)鍵。信息聯(lián)接不停地更新、重建與改變，將有助于安全的需求。 Web的整個概念以 HTML文檔為中心，必須保持其最新，否則，將嚴(yán)重限制服務(wù)質(zhì)量。 ? 3． Web傳輸?shù)陌踩枨? ? Web瀏覽器和 Web服務(wù)器之間的信息交換是通過數(shù)據(jù)包的網(wǎng)絡(luò)傳輸來實(shí)現(xiàn)，所以， Web數(shù)據(jù)傳輸過程的安全性直接影響著 Web的安全。在Web上進(jìn)行交易時可以通過數(shù)字簽名技術(shù)，使消息的發(fā)送者和接收者在交換信息時都承認(rèn)參加了信息的交換，當(dāng)接收者知道發(fā)送者簽署了交易合同時，應(yīng)當(dāng)確信該交易是可靠的。此外，對在因特網(wǎng)上傳送的信息必須加密，防止他人偷看，并確保信息不會被改變，直到信息到達(dá)目的地。必須保證用戶和 Web服務(wù)器傳送的信息沒有被泄漏或篡改。 ?不同的 Web應(yīng)用對于傳輸有著不同的要求，但一般都包括如下幾個方面： ?① 保證傳輸方所發(fā)信息的真實(shí)性 ?② 保證傳輸信息的完整性 ?③ 特殊的安全性較高的 Web，需要傳輸?shù)谋Ｃ苄? ?④ 認(rèn)證應(yīng)用的 Web，需要信息的不可否認(rèn)性 ?⑤ 對于防偽要求較高的 Web應(yīng)用，要保證信息的不可重用性