【正文】 2023年 2月 1日星期三 9時(shí) 34分 9秒 09:34:091 February 2023 1一個(gè)人即使已登上頂峰，也仍要自強(qiáng)不息。 2023年 2月 1日星期三 上午 9時(shí) 34分 9秒 09:34: 1最具挑戰(zhàn)性的挑戰(zhàn)莫過于提升自我。勝人者有力，自勝者強(qiáng)。 :34:0909:34Feb231Feb23 1越是無能的人，越喜歡挑剔別人的錯(cuò)兒。 , February 1, 2023 閱讀一切好書如同和過去最杰出的人談話。 2023年 2月 1日星期三 9時(shí) 34分 9秒 09:34:091 February 2023 1空山新雨后，天氣晚來秋。 。 :34:0909:34:09February 1, 2023 1意志堅(jiān)強(qiáng)的人能把世界放在手中像泥塊一樣任意揉捏。 :34:0909:34Feb231Feb23 1世間成事，不求其絕對圓滿，留一份不足，可得無限完美。 , February 1, 2023 很多事情努力了未必有結(jié)果，但是不努力卻什么改變也沒有。 2023年 2月 1日星期三 9時(shí) 34分 9秒 09:34:091 February 2023 1做前，能夠環(huán)視四周；做時(shí)，你只能或者最好沿著以腳為起點(diǎn)的射線向前。 。 :34:0909:34:09February 1, 2023 1他鄉(xiāng)生白發(fā)，舊國見青山。 :34:0909:34Feb231Feb23 1故人江海別，幾度隔山川。 , February 1, 2023 雨中黃葉樹，燈下白頭人。 Java的安全性 Applet受到以下一些限制： ? applet不能讀、寫、重命名或者刪除文件 ? 除了下載 applet的那臺計(jì)算機(jī)之外， applet本身不能連接到或者接受來自于其他任何一臺計(jì)算機(jī)的連接請求 ? applet不能執(zhí)行系統(tǒng)級的函數(shù) ? applet不能訪問一些圖形和 GUI相關(guān)的程序 ? applet不能讀取某些系統(tǒng)屬性 ? applet不能注冊一個(gè)新的 SecurityManager對象避免這些安全上的限制 Java也不是完全安全的，用戶需要及時(shí)打上補(bǔ)丁和更新 Javascript的安全性 ? JavaScript是 Netscape公司設(shè)計(jì)的一系列 HTML語言擴(kuò)展，它增強(qiáng)了 HTML語言的動態(tài)交互能力，并且可以把部分處理移到客戶機(jī)，減輕服務(wù)器的負(fù)載。 ? 可移植性 – Java可以運(yùn)行于安裝了解釋器的任何機(jī)器上 ? 高性能 ? 多線程 ? 動態(tài)性 Java的安全性 ? Java的安全模型不同于傳統(tǒng)的安全方法，主要通過訪問控制來實(shí)現(xiàn)。 ? ActiveX的安全模型 ? 用戶可以禁用 ActiveX cookie的安全性 ?cookie是對 HTTP協(xié)議的一種補(bǔ)充，用來改善 HTTP協(xié)議的無狀態(tài)性 ?用戶要注意防止 cookie文件被盜 ?用戶可以完全刪除 cookie文件 Java的特點(diǎn) Java是一種簡單的、面向?qū)ο蟮摹⒎植际降?、解釋型的、健壯的、安全的、體系中立的、可移植的、高性能的、多線程的、動態(tài)的語言。 Web面 臨的主要安全威脅如下： ? Web服務(wù)器上的 Web網(wǎng)頁很容易收到攻擊 ? Web 的下層軟件結(jié)構(gòu)復(fù)雜，存在大量的安 全漏洞 ? 當(dāng) Web服務(wù)器遭到破壞時(shí)，本地站點(diǎn)上的數(shù)據(jù)和系統(tǒng)也將面臨威脅。對 SSL的過高評價(jià)有可能帶來高的安全風(fēng)險(xiǎn)，它僅僅是網(wǎng)絡(luò)安全工具的一種，必須和其它網(wǎng)絡(luò)安全工具緊密結(jié)合，方能構(gòu)造出全面、完善、安全可靠的網(wǎng)絡(luò)。 ? SSL仍然不失為一套全面完善的安全策略中有效的組成元素。加密技術(shù)使得通過網(wǎng)絡(luò)傳輸?shù)男畔o法讓 IDS辨認(rèn) . ? 使得最重要的服務(wù)器反而成為受到最少防護(hù)的服務(wù)器。 ? 因?yàn)閷τ谟脩舻淖C書，公共 CA機(jī)構(gòu)可能不像對網(wǎng)站數(shù)字證書那樣重視和關(guān)心其準(zhǔn)確性。 ? 對于使用虛擬內(nèi)存的操作系統(tǒng)，不可避免地有些敏感數(shù)據(jù)甚至主密鑰都交換到存盤上，可采取內(nèi)存加鎖和及時(shí)刪除磁盤臨時(shí)文件等措施來降低風(fēng)險(xiǎn)。 ? 由于 SSL只對應(yīng)用數(shù)據(jù)進(jìn)行保護(hù)，數(shù)據(jù)包的 IP頭和 TCP頭仍然暴露在外，通過檢查沒有加密的 IP源和目的地址以及 TCP端口號或者檢查通信數(shù)據(jù)量，一個(gè)通信分析者依然可以揭示哪一方在使用什么服務(wù)，有時(shí)甚至揭露商業(yè)或私人關(guān)系的秘密。 UDP應(yīng)用的安全保護(hù) ? SSL協(xié)議需要在握手之前建立 TCP連接，因此不能對 UDP應(yīng)用進(jìn)行保護(hù)。 脆弱性分析 ? 因?yàn)?SSL協(xié)議設(shè)計(jì)初衷是對 Web站點(diǎn)及網(wǎng)上交易進(jìn)行安全性保護(hù)，使消費(fèi)者明白正在和誰進(jìn)行交易要比使商家知道誰正在付費(fèi)更為重要，為了不致于由于安全協(xié)議的使用而導(dǎo)致網(wǎng)絡(luò)性能大幅下降， SSL協(xié)議并不是默認(rèn)地要求進(jìn)行客戶鑒別， 這樣做雖然有悖于安全策略，但卻促進(jìn)了 SSL的廣泛應(yīng)用。這個(gè)序列號被加密后作為數(shù)據(jù)包的負(fù)載。 ? ⑷ 抗重放攻擊。數(shù)據(jù)進(jìn)行分片壓縮后，使用單向散列函數(shù)產(chǎn)生一個(gè) MAC，加密后置于數(shù)據(jù)包的后部，并且再一次和數(shù)據(jù)一起被加密 ,然后加上 SSL首部進(jìn)行網(wǎng)絡(luò)傳輸。 ⑶ 完整性機(jī)制。 混合密碼體制的使用提供了會話和數(shù)據(jù)傳輸?shù)募用苄员Ｗo(hù)。 ClientHello和ServerHello發(fā)過去自己的證書 (里面包含了身份和自己的公鑰 )。 SSL協(xié)議安全性分析 ? 安全機(jī)制分析 ? ⑴ 鑒別機(jī)制。 ? ⑶ ISAKMP(Inter安全協(xié)會的密鑰管理協(xié)議 )。 SKEIP有其不利的一面，若某人能得到長期SKEIP密鑰，他就可以解出所有以前用此密鑰加密的信息，而Photuris只用長期密鑰認(rèn)證會話密鑰，則無此問題。由公鑰證書來實(shí)現(xiàn)兩個(gè)通信實(shí)體間的長期單鑰的交換。 ? ⑴ 服務(wù)器的認(rèn)證：服務(wù)器方的寫密鑰和客戶方的讀密鑰、客戶方的寫密鑰和服務(wù)器方的讀密鑰分別是一對私有、公有密鑰。為了達(dá)到這個(gè)目的，必須使用一把雙方共有的密鑰。經(jīng)過壓縮后的內(nèi)容長度不能超過原有長度 1024字節(jié)以上 ,在 SSLv3（以及 TLS的現(xiàn)有版本），并沒有指定壓縮算法，所以預(yù)設(shè)的算法是 null。記錄中包含類型、版本號、長度和數(shù)據(jù)字段 . 2. 選擇是否執(zhí)行壓縮的步驟 (pression)。 SSL數(shù)據(jù)單元的形成過程 用戶數(shù)據(jù)單元 分段 壓縮 附加 MAC 加密 附加 SSL報(bào)頭 SSL記錄協(xié)議操作流程 1. 第一個(gè)步驟是分片 (fragmentation)。 SSL握手協(xié)議的流程 ? 交