【正文】 戶的電子郵件地址，域名和口令。 ?③ 類裝載器漏洞 ?該 Classloader Java漏洞允許惡意的 Web站點(diǎn)通過一個(gè) Java Applet來讀取、修改或者刪除用戶本地計(jì)算機(jī)上的文件。 ? 4）長文件名電子郵件漏洞 ?當(dāng)用戶在閱讀一個(gè)帶有長文件名的電子郵件消息時(shí)，如果打開了“文件”菜單，就可能遭受這個(gè)漏洞的攻擊。 ?⑤ Singapore隱私漏洞 ?它允許一個(gè)網(wǎng)絡(luò)黑客監(jiān)視用戶在 Web上的活動(dòng)。 ? 4．瀏覽器泄漏的敏感信息 ? Web服務(wù)器大多對(duì)每次接受的訪問都作相應(yīng)的記錄，并保存到日志文件中。通常包括來訪的IP地址、來訪的用戶名、請(qǐng)求的 URL、請(qǐng)求的狀態(tài)和傳輸?shù)臄?shù)據(jù)的大小。瀏覽器在向外傳送信息的時(shí)候，很可能已經(jīng)把自己的敏感信息送了出去。 ? 5． Web欺騙 ? 1）欺騙攻擊 ?欺騙攻擊主要是指攻擊者通過偽造一些容易引起錯(cuò)覺的文字、音像或者其他場(chǎng)景來誘導(dǎo)受騙者做出錯(cuò)誤的與安全有關(guān)的決策。 ? 2） Web欺騙攻擊的原理 ? Web欺騙攻擊成功的關(guān)鍵在于攻擊者的偽服務(wù)器必須位于受騙用戶到目標(biāo) Web服務(wù)的必經(jīng)的路徑上。 ?攻擊者首先在某些 Web網(wǎng)頁上改寫所有與目標(biāo) Web站點(diǎn)有關(guān)的聯(lián)接，使得不能指向真正的 Web服務(wù)器，而是指向攻擊者的偽服務(wù)器。當(dāng)用戶點(diǎn)擊這些聯(lián)接時(shí)，首先指向了偽服務(wù)器，攻擊者向真正的服務(wù)器索取用戶的所需界面。當(dāng)獲得目標(biāo) Web送來的頁面后，偽服務(wù)器改寫聯(lián)接并加入偽裝代碼，送給被欺騙的瀏覽器用戶。 Web瀏覽器的安全策略 ? 1） IP地址和緩沖（ cache）窺探 ? 用戶每次訪問 Web服務(wù)器時(shí)都會(huì)留下一定的痕跡。這個(gè)痕跡在不同的服務(wù)器上以不同的方法記錄下來，包括訪問者的 IP地址，用戶主機(jī)名，甚至用戶名。這樣網(wǎng)絡(luò)管理員就可以精確判斷出用戶的位置、網(wǎng)絡(luò)地址的名字、曾經(jīng)訪問的地方。 ? 2） Cookie ? Cookie是一個(gè)保存在客戶機(jī)中的簡單的文本文件，這個(gè)文件與特定的 Web文檔關(guān)聯(lián)在一起，用戶在瀏覽 Web頁時(shí)可以存儲(chǔ)有關(guān)用戶的信息。 Cookie可以讓 Web服務(wù)器記住用戶名、用戶口令、興趣等，從而保存該客戶機(jī)訪問這個(gè) Web文檔時(shí)的信息。 ?針對(duì) Web瀏覽器所面臨的種種威脅，應(yīng)該制定相應(yīng)的安全策略。 ? 1．瀏覽器的自動(dòng)調(diào)用 ?瀏覽器比 FTP服務(wù)器更容易轉(zhuǎn)換和執(zhí)行，同樣，一個(gè)惡意的侵入也就更容易得到轉(zhuǎn)換和執(zhí)行。瀏覽器一般只能理解一些基本的數(shù)據(jù)格式，比如 HTML、 JPEG、 GIF等格式的圖形，對(duì)其他的數(shù)據(jù)格式，瀏覽器要通過外部程序來觀察。這樣，就引入了一些不安全的因素。因此，可以采取以下一些方法措施： ? 1）不要輕信陌生人的建議而隨便修改外部程序的配置； ? 2）不要允許危險(xiǎn)的外部程序進(jìn)入站點(diǎn)； ? 3）不要隨便地增加外部程序； ? 4）不是默認(rèn)的外部程序要多加注意。 ? 2．惡意代碼 ?對(duì)于這些惡意修改，可以用網(wǎng)絡(luò)實(shí)名來將 IE修復(fù)到默認(rèn)狀態(tài)。修復(fù)工作主要包括以下內(nèi)容： ? 1）修復(fù) IE標(biāo)題。 ? 2）修復(fù) IE起始頁為空白頁。 ? 3）取消對(duì) IE的非法限制 ? 4）解除對(duì)注冊(cè)表編輯器的非法限制 ? 3．瀏覽器本身的漏洞 ?瀏覽器軟件公司在發(fā)現(xiàn)安全漏洞的同時(shí)不斷地發(fā)布相應(yīng)的“補(bǔ)丁”程序，以彌補(bǔ)其對(duì)應(yīng)的不足之處，或者是開發(fā)瀏覽器新的增加相應(yīng)安全功能的升級(jí)版本。所以我們?cè)谑褂脼g覽器過程中應(yīng)多注意軟件開發(fā)商所發(fā)布的“補(bǔ)丁”程序或升級(jí)版本，及時(shí)地給自己的瀏覽器“打補(bǔ)丁”或進(jìn)行升級(jí)，這是減小因?yàn)g覽器本身存在漏洞而造成的威脅的最有效的一種方法。 ? 4． Web欺騙 ? Web欺騙攻擊的危害大，上當(dāng)?shù)挠脩艨赡軙?huì)不知不覺泄漏機(jī)密信息，還可能受到經(jīng)濟(jì)損失。為確保安全，用戶可以采取的措施有： ?盡量避免非有不可的瀏覽器的 JavaScript，ActiveX和 Java選項(xiàng)。 ?充分利用瀏覽器的提示信息。 ?進(jìn)入 SSL安全聯(lián)接時(shí)，仔細(xì)查看站點(diǎn)的證書是否與其所聲稱的一致，不要被相似的字符欺騙。 ?當(dāng)然，針對(duì)不同的 Web欺騙形式，對(duì)應(yīng)的安全策略也各不相同： ? 1） Email欺騙 ?① Email宣稱來自于系統(tǒng)管理員，要求用戶將他們的口令改變?yōu)樘囟ǖ淖执Ｄ敲从脩魬?yīng)該了解，任何 MIS人員都不會(huì)用 Email發(fā)出這樣的要求，而只是發(fā)出一份備忘錄，或者采用其他的驗(yàn)證手段。 ?② 如果站點(diǎn)允許與 STMP端口聯(lián)系，任何人都可以與該端口聯(lián)系，并以用戶或者一個(gè)虛構(gòu)人的名義發(fā)出 Email。所以應(yīng)該花一定的時(shí)間來查看 Email錯(cuò)誤信息，其中會(huì)經(jīng)常有闖入者的線索。 ?③ 通過對(duì)包的監(jiān)控來檢查 IP欺騙。用 log或類似的包監(jiān)控工具來檢查外接口上包的情況，如發(fā)現(xiàn)包的源地址和目的地址都是本地域地址，就意味有人試圖攻擊系統(tǒng)。 ?④ 安裝一個(gè)過濾路由器來限制對(duì)外部接口的訪問，禁止帶有內(nèi)部資源地址包通過。還要禁止（過濾）帶有不同于內(nèi)部資源地址的內(nèi)部包通過路由器到別的網(wǎng)上去，這樣就可以防止內(nèi)部的用戶對(duì)別的站點(diǎn)進(jìn)行 IP欺騙。 Web瀏覽器的安全通信 ? 1． Web瀏覽器的安全使用 ?一般而言， IE 下幾條： ?① 屏蔽惡意網(wǎng)站，通過 IE Cookie策略，個(gè)性化地設(shè)定瀏覽網(wǎng)頁時(shí)的 Cookie規(guī)則，更好地保護(hù)自己的信息，增加使用 IE的安全性。 ?② 有效保護(hù) IE的首頁和工具欄，經(jīng)常清除已瀏覽網(wǎng)址（ URL），清除已訪問網(wǎng)頁。 ?③ 使用智能過濾控件，經(jīng)常清除已瀏覽網(wǎng)址（ URL）和已訪問過的網(wǎng)頁，禁用或限制使用 Java、 Java小程序腳本、 ActiveX控件和插件。 ?④ 調(diào)整自動(dòng)完成功能的設(shè)置，做到只選擇針對(duì) Web地址、表單和密碼使用“自動(dòng)完成”功能，也可以只在某些地方使用此功能，還可以清除任何項(xiàng)目的歷史記錄。 ?⑤ 若需要隱藏控制面板、網(wǎng)上鄰居等選項(xiàng)，可以使用安全特別設(shè)置。 ?⑥ 使用在線殺毒功能，以便全面掌握計(jì)算機(jī)的安全狀態(tài)。 ? 2．傳輸和傳輸更新 ? Web由傳輸協(xié)議（ GTTP）、數(shù)據(jù)格式（ HTML）及瀏覽器（ Mosaic、 Netscape、Inter Explorer等）組成。使用協(xié)議、數(shù)據(jù)格式或?yàn)g覽器，無需任何特別要求。因此，使用 Web瀏覽器、 Web專用協(xié)議、 Web專用數(shù)據(jù)格式等工具，就可以建立 Web聯(lián)接。 ?不斷更新是 Web站點(diǎn)成長的關(guān)鍵。信息聯(lián)接不停地更新、重建與改變，將有助于安全的需求。 Web的整個(gè)概念以 HTML文檔為中心，必須保持其最新，否則，將嚴(yán)重限制服務(wù)質(zhì)量。 ? 3． Web傳輸?shù)陌踩枨? ? Web瀏覽器和 Web服務(wù)器之間的信息交換是通過數(shù)據(jù)包的網(wǎng)絡(luò)傳輸來實(shí)現(xiàn)，所以， Web數(shù)據(jù)傳輸過程的安全性直接影響著 Web的安全。在Web上進(jìn)行交易時(shí)可以通過數(shù)字簽名技術(shù)，使消息的發(fā)送者和接收者在交換信息時(shí)都承認(rèn)參加了信息的交換，當(dāng)接收者知道發(fā)送者簽署了交易合同時(shí)，應(yīng)當(dāng)確信該交易是可靠的。此外，對(duì)在因特網(wǎng)上傳送的信息必須加密，防止他人偷看，并確保信息不會(huì)被改變，直到信息到達(dá)目的地。必須保證用戶和 Web服務(wù)器傳送的信息沒有被泄漏或篡改。 ?不同的 Web應(yīng)用對(duì)于傳輸有著不同的要求，但一般都包括如下幾個(gè)方面： ?① 保證傳輸方所發(fā)信息的真實(shí)性 ?② 保證傳輸信息的完整性 ?③ 特殊的安全性較高的 Web，需要傳輸?shù)谋Ｃ苄? ?④ 認(rèn)證應(yīng)用的 Web，需要信息的不可否認(rèn)性 ?⑤ 對(duì)于防偽要求較高的 Web應(yīng)用，要保證信息的不可重用性