沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

315曝公共WiFi风险,使用SSL证书防泄密

  央视315晚会曝光了黑客利用虚假WiFi盗窃现场联网观众照片、邮箱账号密码等隐私信息的全过程,让许多已经习惯使用公共WiFi上网的用户切实了解到——WiFi钓鱼确有其事。如果连上黑客设置的WiFi,那你手机内照片、邮箱和密码等敏感信息都会被窃取!   去年12月初,扬州一市民就遭遇了这样一件怪事,不到两天,银行卡里的6万多元只剩下500元。扬州警方经调查后初步认定与他在公共场所使用免费WiFi有关。警方人士告诫市民,在公共场合,不熟悉的免费WiFi还是尽量不要“蹭”。 诈骗的成本并不高,一台笔记本电脑、一套无线网络及一个网络包分析软件,设置一个无线热点,就可以轻松地搭建一个不设密码的WiFi。如今公共场所免费WiFi铺天盖地,市民很难分辨哪个账号是不法分子搭建的。如果不慎使用了,不法分子只需15分钟就可窃取手机上的个人信息和密码,包括网银密码、炒股账户密码、信用卡账户密码等。 警方提醒市民,尽量不要使用公共wifi,平时最好关闭WiFi自动连接。如保持打开状态,手机在进入有WiFi的区域后会自动扫描,并连接没有密码的网络,大大增加误连钓鱼WiFi的几率。 但是有使用公共wifi需求的人,还是占多数。如果一定要使用公共Wifi,又担心被钓鱼,怎么办?沃通WoSign安全专家支招,公共wifi状态下,只访问使用SSL加密连接的网站,可以有效避免数据被泄露。 所谓SSL加密连接,其实是浏览器一种内置安全加密机制“ssl协议”,网站安装SSL证书 即可激活SSL协议,自动加密传输数据。如果在公共wifi下,登录购物、支付、网上银行等页面,一定要先确认是否安装了SSL证书加密,没有加密绝对不能进行任何账号密码输入及资金交易。安装了SSL证书的网站也很好识别,使用https访问,浏览器显示安全锁标识,就说明这个网站是用了SSL加密连接的。在国外,SSL加密已经广泛普及,国内使用https的网站也越来越多。 沃通CA是全球首家提供3年期多域名免费SSL证书的CA机构,支持所有浏览器和移动终端,通用性强,零成本启用网站SSL加密,让用户更安心地访问使用!登录buy.wosign.com/free,可免注册一键申请!

Find My iPhone锁定丢失手机 黑客可伪造icloud页面钓鱼解锁

苹果设备普及到千家万户,其精致、简约的设计和优秀的功能深受人们喜爱,其中Find My iPhone功能可以帮助用户定位和锁定丢失的设备,同时可以播放声音、显示信息或者删除设备中所有数据。但是,别以为丢失了iPhone、iPad或Mac后可以用Find My iPhone功能找到或锁定设备就掉以轻心,高枕无忧。黑客可伪造icloud钓鱼页面对你丢失的设备成功解锁。 据悉,近日出现了一种针对苹果设备的新型的钓鱼欺诈方法,虽然用户使用了Find My iPhone锁住了丢失的苹果手机,但偷窃者通过伪造icloud页面对受害者实施“钓鱼”,可成功对设备解锁。   欺诈过程 苹果手机Find My iPhone中的“丢失模式”(Lost Mode)是一个相当实用的功能,它允许失主在iCloud上直接发一段文字到手机——例如:“你好,我的iPhone丢了,请联系133xxxxxxxxx,感谢万分!”,这样捡到手机的好心人就知道如何联系失主了。但是,小偷也完全可以利用这个电话号码进行诈骗。在这个案例中,偷窃者就发送了如下的短信到失主的联系号码上: “苹果公司(Apple Inc .) iPad 3 G 64 GB灰色 +(电子邮件地址) 14:14 PDT。所在位置 :[链接]。”而短信中的这个链接是一个“钓鱼”链接,将引导失主进入一个伪造的icloud的钓鱼网站,它看起来与icloud的界面非常类似。 一旦心急如焚的失主在伪造钓鱼页面中输入自己的iCloud用户名和密码,偷窃者就获得了这些信息,并可以退出苹果设备的“丢失模式”,将设备完全据为己有。   正规苹果icloud官网 VS 假冒苹果icloud官网区别(有无https加密链接)   沃通CA安全小贴士提醒:防止网络钓鱼,认清https加密链接,苹果官方icloud网站经过https加密,遇到非https链接请谨慎访问。https证书申请请访问免费https证书 freessl.wosign.com。    

80%HTTPS链接不显示在谷歌搜索 疑站长不会HTTPS

Search Engine Land消息,谷歌的网站趋势分析师Gary在Google +宣布因为网站的管理配置,超过80%的合格HTTPS URLs不被显示在Google的搜索结果中。 Gary表示,他在谷歌做了一个小型的分析,发现在谷歌搜索结果中,超过80%的HTTPS URLs未被显示。合格的HTTPS URLs包括无爬行问题URLs、能被索引的URLs和没有其他问题的URLs。但是因为站长对网站的配置,谷歌显示HTTP URL而不是HTTPS URL。   Gary表示,站长在站点地图中使用HTTP变量,在相对标准和相对交替元素中替换HTTPS变量。谷歌希望有人去做HTTPS,并在几个月前发放了排名收益,但很多站长都不会HTTPS。 网站如何实现HTTPS链接访问,实现HTTPS链接访问首先需要申请部署服务器SSL证书,当前沃通CA(WoSign)面向全球提供免费SSL证书申请,支持所有浏览器和主流移动设备,支持中文和英文,可绑定最多100个域名,永久免费!广大站长可以去免费申请! 申请中文免费ssl证书:https://buy.wosign.com/free/FreeSSL.html 申请英文免费ssl证书:https://buy.wosign.com/free/freessl.html?lan=en 点击查看 沃通免费SSL证书申请教程(方法) 点击查看 沃通免费SSL证书部署安装方法

中国反恐新法律出台 苹果称可接受某些检查措施

中国反恐新法律出台,要求外国科技公司向中国监管部门提供软件源代码,并在应用软件中留出后门。报道称对于中国市场拥有巨大企图心的美国苹果公司,已经答应了中国方面的要求,将会向中国某些部门提供软件源代码等内容,以便进行安全性审核。   但据美国新闻网站Quartz日前引述两位苹果公司匿名知情人士的话说,苹果迄今为止,并未向中国政府提供其软件产品的源代码。苹果到底是否向中国提供了软件源代码?上周五,苹果的一位新闻发言人对Quartz表示,不会对有关提供源代码的中国媒体报道进行评论。该发言人建议公众留意苹果公司首席执行官库克最近在白宫的一次网络安全会议上,所作出的有关保护用户隐私的表态和观点。   根据之前媒体报道,按照新反恐法律要求,中国将会要求所有的国外科技公司,提供其软硬件产品的部分信息,其中包括软件产品的源代码,包括用于内容调查的加密密钥,另外必须在应用软件中留出后门,以便获得必要信息。而在此之前,相关报道称中国已经开始对金融行业的国外软硬件供应商提出新的监管要求,未来在金融行业逐步放弃国外科技供应商,更多采用中国国内公司的软件和硬件产品势在必行。   相关安全专家表示,”棱镜门”事件警钟长鸣,互联网安全已经上升到国家安全,我国重要核心领域全部使用国外产品有重大的安全隐患和安全威胁,比如金融行业的SSL数字证书。使用国外CA签发的服务器SSL证书,用户每一次访问行为,都需对境外服务器发送验证请求,什么时候访问、从哪里访问、IP地址、使用什么浏览器、每日访问多少次等大数据都掌握在国外CA企业的手里,一旦出现 “棱镜门”事件,极易泄露商业机密甚至国家机密。而极端情况下,一旦证书被吊销,则导致整个网银系统瘫痪,直接影响国家经济命脉的安全,建议替换成国产品牌CA如沃通CA签发的服务器ssl证书www.wosign.com更安全!所以,中国政府有关部门非常警醒,重要核心敏感领域的产品国产化是必然。   根据这些新要求,到底有哪些公司已经答应遵守目前尚不详。不过Quartz网站此前报道称,美国最值钱的科技公司苹果,已经向中国方面表示,可以接受某些检查措施。据报道,早在今年一月份,苹果公司已经向中国的某些政府监管部门表示,可以对苹果的产品进行“安全审核”,从而确保苹果公司并未向美国政府分享有关苹果中国用户的个人隐私信息。   根据英国《每日电讯报》的报道,中国国内有观点认为,苹果公司的智能手机、平板电脑等产品在中国拥有海量的用户,苹果同时掌控了海量的用户数据,如果苹果将这些数据提供给美国政府等部门,则中国监管部门应该对苹果进行严厉的处罚。除了Quartz网站之外,中国国内的媒体,今年初也曾报道苹果已经答应其产品接受安全性的审核,不过具体细节不详。对于这些报道,苹果方面始终保持了沉默。   美国媒体评论指出,在科技行业,信息加密和密钥一直是一个热点话题,而苹果公司面向中国方面提供加密密钥的可能性甚小,换言之,中国方面很难直接获取到用户的通信等个人隐私信息。在苹果公司发布iOS8移动操作系统时,苹果首席执行官库克曾经高调表示,苹果从未和任何海外国家的政府机构合作,在苹果任何的产品和服务中,保留任何技术上的后门,苹果也从未允许海外国家监管部门访问苹果的服务器。   据Quartz网站分析指出,即使苹果向中国方面提交产品的源代码进行安全性审核,这一环节主要的目的是让中国相关监管部门确保苹果的设备和产品并未刺探用户的隐私数据,安全性审核并无法让监管部门获取到被加密的用户通信数据。   另外,如果苹果向中国监管机构提供产品源代码,也将给苹果产品在全世界的安全性带来风险,并让中国以外的产品安全变得更加脆弱。据媒体分析,如果苹果答应提供产品源代码进行安全性审核,这可能是苹果公司的无奈之举。众所周知的是,中国已经成为苹果公司在全世界最重要的市场。   苹果2015年第一财季的财报数据显示,其在大中华区获得的销售收入为161.44亿美元,同比增长了70%,在苹果全部销售收入中,已经占到了21.6%。依靠去年两款大屏幕手机在中国市场的热销,去年第四季度,苹果已经超越了叁星电子,成为全世界最大的智能手机制造商。

2014网络诈骗数据显示:虚假购物网占"半壁江山"

前不久,360上线了中国首个用大数据追踪网络诈骗的“中国网络骗子地图”,对2014年的网络诈骗进行了已全方位的数据分析。2014年的网络诈骗数据显示,广东则成了钓鱼网站境内首选栖息地。江苏省一年新增了16.9%的钓鱼网站,增速排名全国第四。   数据1:虚假购物网站占断网了钓鱼“半壁江山” 数据显示:2014年360共拦截钓鱼网站攻击406.0亿次,较2012年和2013年分别增长了4倍、3.8倍,平均每天拦截钓鱼网站攻击1.11亿次。在钓鱼网站服务器分布上来看,约57.3%的钓鱼网站服务器分布在境内,42.7%在境外。这也是最近几年来,首次出现国内钓鱼网站服务器多于国外钓鱼网站服务器的情况。 从境内新增钓鱼网站服务器地域分布上看,28.9%分布在广东,居于首位;其次分别为浙江(19.6%)、北京(18.2%)、江苏(16.9%)。虚假购物是新增数量最多的钓鱼网站,占比高达50.6%。其次是银行证券和假医假药,占比分别为17.9%、9.3%。 而从新增钓鱼网站的拦截量来看,仍然是访问虚假购物网站的比例最高,占比为56.9%;其次为假医假药网站,占比高达17.0%;排在第三位的为虚假招聘网站,占比为9.2%。 虚假购物网站猖獗,公众网上购物支付如何辨别虚假购物网站?安全专家提醒: 网上购物、支付人准https安全链接,https安全链接是经过合法权威CA机构www.wosign.com签发SSL证书进行过数据加密和真实身份认证的。https安全链接表明你访问的网站身份真实、合法、可信,并且网站数据传输经过SSL加密,账号密码安全有保障。部署了如沃通CA签发的EV SSL证书的站点还会显示绿色地址栏和机构名称,高强度加密数据,网站真实、可信,安全有保障。同时也建议用户保管好自己的账号密码,不要轻易泄露给他人,不要随便点击不可信链接,不要多个网站使用同一账号密码,谨防钓鱼陷阱,避免财产损失。   数据2:中奖+淘宝成最高危的骗术 从网络骗子地图中点开江苏的数据,可以看到被拦截的假网游与中奖信息占到了被拦截信息的近半数,其次是假淘宝和京东购物网站,由此可见中奖+淘宝已经成为了最高危的骗术。沃通CA提醒,且莫轻信短信、电话、QQ弹窗等中奖信息;遇到中奖相关邮件和链接切莫打开,立即删除防病毒感染。     数据3:网络欺诈受害者 男性超60% 安全报告同时显示,2014年共接到各类网络欺诈报案22961起,用户损失总金额高达4767万元,人均损失2076元,比2013年的1449元增长43.3%。在男女比例上,男性受害比例竟然远高于女性,超过六成,人均损失1873元,占63.72%,而女性人均损失2431元,占36.28%。而在网络欺诈受害者年龄占比中,90后占比高达52.2%,80后是36.8%,成了“主力军”。      

棱镜门事件再度发酵 数据加密成关注焦点

2015年春节期间,让人震惊的棱镜门事件再度发酵,数据加密成为公众热议话题。根据爱德华斯诺登透露,美英的安全部门窃取了荷兰SIM卡制造商Gemalto的信息,获得了密钥,威胁到全球移动通信用户的信息安全。在互联网应用普及的今天,数据加密、信息安全问题被推向公众视野,成为大家热议和关注的焦点问题! 2014年,记录棱镜门爆料者爱德华˙斯诺登的纪录片《第四公民》获得了奥斯卡最佳纪录片。棱镜门暴露了美国等国的情报机构通过各种手段来获取公民信息的事件,一时间舆论沸腾。因为斯诺登的爆料透露,情报机构获得信息的手段很多是非法的。在法制社会,必须依照法律办事,安全情报机构也不能例外。 信息泄露事件的频发生不禁让我们产生了忧虑:一直标榜法律健全的美国尚且如此,在国内,我们的个人隐私信息被泄漏再正常不过了。如携程网信息安全门事件、小米800万用户数据泄露、多家快递官网1400万用户信息泄露、130万考研用户信息泄露、12306用户数据泄露、多家知名连锁酒店、高端酒店海量开房信息泄露……… 面对危机四伏,满是陷阱的互联网,我们该如何保障信息安全?沃通CA表示保障信息安全要从自身做起,其中最为关键的就是进行高强度的数据加密。 提到加密不得不提到当今很多的加密技术,当今国内使用的很多加密技术如银行、支付宝等使用的SSL证书进行HTTPS加密传输都是美国产品,就相当于自家大门配的锁和钥匙掌握在美国人手中,等同于向美国敞开了大门,非常的不安全。SSL证书国产化是必然,在各种信息安全事件的催发下,中国政府也高度重视互联网安全领域,积极的推动安全产品如SSL证书的国产化。国产品牌数字证书颁发机构沃通CA为推动SSL证书国产化进程向用户推出免费SSL证书申请,加快站点部署ssl证书实现https加密进程。 关于网站使用http传输和https传输,很多人甚至很少注意自己连接到的网站网址到底是Http还是https,这其中的差别其实非常大,因为后者(https)传输的信息是加密的,即使截获了也没什么用,与明文传输的http不是一码事。为了保证数据安全,几乎所有的银行站点,金融站点,正规电商购物站点都会进行https加密,并且在免费SSL证书的大力推动下,https在将来的不久将全面覆盖中国站点,实现互联网全网https加密访问。 除了网站SSL证书加密外,我们再来看看大家经常用到的WIFI加密。在刚有WiFi的时代,当时采用的加密技术称之为WEP,也就是无线网加密协议(Wireless Encrypt Protocol,也叫无线等效加密,Wired Equivalent Privacy)。这种加密方式的弱点就是,如果对方有足够的耐心抓足够多的数据包,就可以把RC4加密的秘钥破解出来。所以WEP很快就被WPA说取代,今天的WiFi已经很少有用WEP加密的了。 建议公众不要共享WIFI操作敏感数据,比如最近几天炒作的比较凶的某应用,是通过把大量的WiFi密码保存、共享的方式实现所谓的免费WiFi,这是一种相当危险的方式,一旦你家里的WiFi密码被共享出去,就意味着其它有这个应用的人,可以随便进入你家的WiFi,更进一步,他对你家庭网络和PC做些手脚,你可能也不知道。 WIFI另外一个不太靠谱的加密方式是RSA加密,这种加密技术的原理浅显的说是两个大质数的乘积。其768位加密惨遭因式分解如下: 123018668453011775513049495838496272077285356959533479219732245215172640050726 365751874520219978646938995647494277406384592519255732630345373154826850791702 6122142913461670429214311602221240479274737794080665351419597459856902143413 = 3347807169895689878604416984821269081770479498371376856891 2431388982883793878002287614711652531743087737814467999489× 3674604366679959042824463379962795263227915816434308764267 6032283815739666511279233373417143396810270092798736308917 RSA算法的SecurID在银行等领域应用最多,现在一般都要求2048位的RSA加密,所以目前认为RSA1024位以下的加密都不太安全,高级些的一般都要求2048位加密,因为理论上要破解2048位加密,对于今天的技术和算法来说需要的计算量实在太大。RSA加密的产品应用广泛,就目前来看也足够安全,比如非常多银行的随机密码令牌环就是使用的RSA SecurID加密。 最近几年,信息泄漏事件频发,因为很多网站都没有采用https加密传输,用户名、密码也是明文保存,一旦被黑客拖库,将造成大量的用户名密码泄漏……而对于别有用心的人来说,还可以用撞库的方式,用泄漏的A网站的用户名密码数据库去尝试登陆网站BCDEDF……因为很多人都是习惯了一个用户名,相同的密码用来登陆很多网站,可能结果就是一个网站ID失窃,多个网站的登陆信息一起遭殃。和支付相关的网站设立独立密码,是起码的觉悟,尤其是支付宝、网上银行、电子邮件、腾讯QQ等应用,建议使用强口令的独立密码,对涉及交易支付站点还要验证其是否是https加密传输。

流行运动相机GoPro官网可遍历明文存储的用户账号和密码

GoPro是目前全球最流行的运动相机品牌,现今已成为极限运动专用相机的代名词。近日安全研究员在GoPro官网上发现了一个安全漏洞,可导致大量用户的用户名和密码泄露。 GoPro简介 GoPro因其小型便携的相机而闻名。用户经常会在山地自行车、滑雪、冲浪等极限运动中,所以它才成为了极限运动专用相机的代名词。GoPro还开发了一个移动应用程序,用户可以通过app远程控制GoPro相机,甚至还可以自动上传照片至社交媒体上。 GoPro是目前全球最流行的运动相机品牌,始创于2002年,在冲浪、滑雪、跳伞等户外运动市场有着非常良好的表现以及口碑。据悉仅在2014年第一季度,YouTube上面和GoPro有关的短片浏览量就超过10亿次。 漏洞详情 Ilya Chernyakov是来自以色列的安全研究员,他借朋友的GoPro相机偶然间发现了这一漏洞。他的朋友忘记了GoPro密码,Chernyakov试图通过官网手动更新固件(网站上会有指导)重新获取密码。但当下载必要的压缩文件时,他发现了一个名为“settings.in”的文件,里面以明文的方式给出了他的无线名和密码。 GoPro网站并未使用任何形式的认证机制,事实上,只要改变网站上文件的URL字符就可获得其他用户的信息。Chernyakov写了一个Python脚本,该脚本可以自动下载所有可能的字符组合文件,搜集成千上万的无线用户名和密码。 他已经把这一漏洞的详情报告给了GoPro公司,但是GoPro官方并未给出回应。 [参考来源www.miltonstart.com,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

SSL/TSL漏洞Freak,可致数百万苹果、安卓用户隐私泄露

近日,法国安全公司Inria以及微软发现了一存在十多年的SSL/TSL 漏洞Freak,它可让数以百万的Apple、Android 用户在造访诸如白宫、FBI、NSA 等所谓安全网站时被动暴露在对加密流量的中间人攻击攻击中。 Freak 漏洞主要是让黑客或情报机构能够执行加密降级攻击,送出弱密码金钥,以便破解加密防护。用这种方法破解加密流量遭后,黑客得以窃听到用户塬本以为十分安全的通讯内容。 【Freak来历】 1990 年,美国政府尝试规范使用强加密的出口产品以及装置,他们希望这些货品在运送出美国前能够安装弱的加密装置。当时,美政府允许最大512 bits 的金钥;接着在2000 年随着美国出口法的修正,该法允许卖主在他们的产品中使用128-bit 的密码,并卖到世界各地。唯一的问题是这个汇出等级密码从未被撤掉,而现在三十年过去,Freak 漏洞让黑客可以超方便地藉由HTTPS 连结来解密一个网站的私人金钥,以及破解密码、login cookies 以及其他敏感的资讯。 【Freak 漏洞运作】 约翰·霍普金斯大学资安学院的研究助理教授 Matthew Green 在自己的 blog 上总结了 Freak 漏洞,并详细解说黑客可以怎么以此进行中间人攻击:    使用者造访网站上时收到的欢迎讯息中,网站询问要求使用一个标准的RSA 密码套件    然后中间人攻击者将这个讯息篡改为:要求匯出 RSA    伺服器回应了512-bit 的匯出 RSA 金钥    使用者因为OpenSSL/ 安全传输的 bug 接受了这个弱密码金钥    攻击者迫使 RSA 系数回復相应的 RSA 解密金钥    当使用者像伺服器加密 Premaster Secret(一个用在对称加密密钥产生中的 46 位元组的随机数字),攻击者就可以立马解密    到了这里,攻击者就可以看到网站完整的内容,并且随他高兴的篡改、窃取资讯 36% 的使用512位RSA密钥SSL 网站面对黑客攻击几乎无力可挡,专家建议使用如沃通wosign的2048位加密强度的SSL证书,不必担心脆弱的1024位加密强度SSL证书被破解的问题,沃通CA顶级根证书是4096位加密强度、中级根证书和用户证书都是2048位加密强度,沃通CA SSL证书能确保您的网站在未来20年的安全。 当使用者在使用一个【脆弱的装置】(包含了 Android 手机、iPhone、运行苹果 OS X 操作系统的 MAC 等)连结【脆弱的HTTPS 】保护网站时,是很可能直接遭受Freak 漏洞攻击。目前为止,用 Windows 以及 Linux 系统的终端装置被认为不受此漏洞影响。 苹果和 Google 计划修补Freak 漏洞 目前 Google 表示一个 Android 补丁已经分送给了众合作伙伴;同时,Google 也唿求各网站一起来抵制。苹果也回应了这个 Freak 漏洞,并且发表了一份声明对 iOS 以及 OS X 的修正将在下周的软件升级中出现 。  

两会聚焦网络安全 国产化再成提案重点

信息安全国产化再上提案        去年两会期间,信息安全首次在两会报告中出现,很多代表们纷纷就安全话题进行了提案。今年,信息安全依旧受两会热议。经过一年的时间,国内的信息安全国产化已经初步取得了进展。过去一年我们能看到国家和重点行业的政策与行动,对信息安全及国产化推进尤为重视。早日实现核心信息技术和产品的自主可控,摆脱受制于人的局面,是我们国家信息化建设的关键环节,也是保护信息安全的重要目标。   国产化成大势所趋,自主可控势在必行        在两年的时间内,中央政府采购中心名单上的产品数量增加了2000多个,目前总数量将近5000个,增加的这些产品几乎全部为本土品牌,而被批准的国外科技产品的数量下滑了1/3,不到1/2的国外安全产品上榜。自从斯诺登事件爆发以来,各国对美国的技术设备都有所防备。中央政府采购倾向国产产品已经显明了态度,信息安全的自主可控势在必行。 国产SSL证书将替代国外产品 此前,我国在网络安全方面缺乏相应的制度,导致我国网络基础设施和核心技术设备大量采用国外软硬件,SSL证书作为网络安全的重要一环,几乎被国外厂商垄断。以金融行业为例,我国十大银行都是部署了国外CA签发的服务器SSL证书,用户行为大数据都掌握在国外CA企业的手里,一旦出现 “棱镜门”事件,极易泄露商业机密甚至国家机密。 我国有权颁发数字证书的合法CA机构有34家,政府机关单位已逐步要求部署国产SSL证书,但是SSL证书比较特殊,并不是每家机构所发放的SSL证书都能受浏览器信任(这就是为什么有的网站会出现该证书不受信任的浏览器报错),只有通过国际WebTrust认证的CA机构,其根证书预置到微软的操作系统和浏览器中,颁发的SSL证书才能受信任。但WebTrust认证的门槛比较高,中国目前只有3家CA机构通过了WebTrust认证,但只有沃通CA颁发的SSL证书,能完美兼容1999年以后的所有浏览器、服务器以及主流移动设备,性能上可完全替代国外SSL证书产品。 沃通CA将以打破中国市场被国外产品垄断的局面为己任,目前已推出【国外SSL证书替换成国产沃通SSL买一年送一年的优惠】,响应国家安全战略,以高质量的产品和服务全力推动SSL证书国产化进程,守护用户数据安全。    

触目惊心!近年来已有11亿用户隐私被泄漏

手机淘宝,发红包,订机票……当我们享受着网络给予的便利时,却浑然不知自己的隐私信息正在被非法分子利用。《经济参考报》记者日前采访获悉,目前信息安全“黑洞门”已经到触目惊心的地步,网站攻击与漏洞利用正在向批量化、规模化方向发展,用户隐私和权益遭到侵害,特别是一些重要数据甚至流向他国,不仅是个人和企业,信息安全威胁已经上升至国家安全层面。 记者日前从补天漏洞响应平台上收录的数据显示,目前该平台已知漏洞就可导致23.6亿条隐私信息泄漏,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是:互联网网站、游戏以及录入了大量身份信息的政府系统。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄漏。 “这个数据意味着,我们几乎每一个上网的人,自己的信息都可能已经在不知不觉中被窃取甚至利用。”一位网络安全方面权威人士对《经济参考报》记者坦言,这仅仅是冰山一角,更令人担忧的是,实际情况比这一统计数据还要严重。目前越来越多的信息安全泄露都是冲着“钱”去的,下一步金融、网上支付等将成为重灾区,从目前暴露的信号来看,以芯片、电脑、设备等为载体,甚至一些涉及国家安全的能源、资源、航空等领域都将可能爆发信息安全问题。 据了解,自2011年国内最大的IT技术社区CSDN曝出泄密事件以后,网站被拖库和撞库事件不断发生。2014年,撞库攻击达到前所未有的高峰期。从补天漏洞响应平台等渠道披露的信息来看,2014年,包括无秘(原秘密)、大众点评网、搜狐、安智网、汽车之家、搜狗、印象笔记等多家国内知名网站都遭到了撞库攻击,导致大量用户的个人信息泄漏。 从12306信息泄露、携程信息泄露,到近期江苏省公安厅曝出海康威视监控设备安全隐患事件……种种迹象表明,对于正在大力发展信息经济与互联网经济的中国,网络信息安全保护问题已经迫在眉睫。 “在数据泄露的背后更多暴露的是网站的安全。”补天漏洞响应平台负责人赵武对《经济参考报》记者说,网站安全直接关系到大量的隐私信息、商业机密、财产安全等数据,目前用户数据的收集、存储、管理与使用等均缺乏规范,更缺乏监管,主要依靠企业自律。但是对门户网站电商等而言,一方面网络信息安全保护意识缺乏,另一方面也缺少网络信息安全的技能,即使出现了信息泄露问题,往往采取“捂盖子”的方法,只要不曝光就行。 一组数据更加值得警惕。据测算,目前超过37%的国内网站存在漏洞,利用网站漏洞的攻击以近5倍速增长,网站信息泄漏的风险越来越大。2014年前11个月,360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个增加了80.0%。其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%。其中,存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,较2013年1.21亿次,增长了约4.8倍。 赵武告诉记者,如果真正重视保护用户的信息安全并进行相当的技术投入等,80%以上的信息安全事故是可以避免或及时弥补的。但实际上,很多企业明明知道有拖库,信息被泄露,但只要没有被曝光,仍然是睁一只眼闭一只眼。因此,信息安全立法中,国家除了要加大对网络安全方面的人才培养,更要明确网站安全的责任和相应的处罚机制,只有这样才能真正约束企业行为,使其能够保护用户隐私乃至产业安全和国家安全。 公安部第三研究所所长严明在接受《经济参考报》记者采访时表示,我国建立了对信息和信息载体按照重要登记分级保护的信息安全等级保护制度,但因为缺少法律依据,这个机制并未及时启动并发挥作用。而关于追责措施,有关规定也有,但是并没有量化,存在管理的灰色地带,可以说,这个机制是否有效对于国家安全关系很大,因此需要加快信息安全立法。 互联网实验室董事长方兴东对《经济参考报》记者表示,目前我国网站在用户的信息存放方式和制度方面并不完善,网站之间并没有建立安全共享联系。 360公司董事长兼CEO周鸿祎则建议,重塑信息安全要遵循三个基本原则,即以保护用户隐私和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,是互联时代保护信息安全的基础。   文章来源经济参考报