沃通(WoSign)数字证书
EmailGoogleTwitterFacebook

80%HTTPS链接不显示在谷歌搜索 疑站长不会HTTPS

Search Engine Land消息,谷歌的网站趋势分析师Gary在Google +宣布因为网站的管理配置,超过80%的合格HTTPS URLs不被显示在Google的搜索结果中。 Gary表示,他在谷歌做了一个小型的分析,发现在谷歌搜索结果中,超过80%的HTTPS URLs未被显示。合格的HTTPS URLs包括无爬行问题URLs、能被索引的URLs和没有其他问题的URLs。但是因为站长对网站的配置,谷歌显示HTTP URL而不是HTTPS URL。   Gary表示,站长在站点地图中使用HTTP变量,在相对标准和相对交替元素中替换HTTPS变量。谷歌希望有人去做HTTPS,并在几个月前发放了排名收益,但很多站长都不会HTTPS。 网站如何实现HTTPS链接访问,实现HTTPS链接访问首先需要申请部署服务器SSL证书,当前沃通CA(WoSign)面向全球提供免费SSL证书申请,支持所有浏览器和主流移动设备,支持中文和英文,可绑定最多100个域名,永久免费!广大站长可以去免费申请! 申请中文免费ssl证书:https://buy.wosign.com/free/FreeSSL.html 申请英文免费ssl证书:https://buy.wosign.com/free/freessl.html?lan=en 点击查看 沃通免费SSL证书申请教程(方法) 点击查看 沃通免费SSL证书部署安装方法

中国反恐新法律出台 苹果称可接受某些检查措施

中国反恐新法律出台,要求外国科技公司向中国监管部门提供软件源代码,并在应用软件中留出后门。报道称对于中国市场拥有巨大企图心的美国苹果公司,已经答应了中国方面的要求,将会向中国某些部门提供软件源代码等内容,以便进行安全性审核。   但据美国新闻网站Quartz日前引述两位苹果公司匿名知情人士的话说,苹果迄今为止,并未向中国政府提供其软件产品的源代码。苹果到底是否向中国提供了软件源代码?上周五,苹果的一位新闻发言人对Quartz表示,不会对有关提供源代码的中国媒体报道进行评论。该发言人建议公众留意苹果公司首席执行官库克最近在白宫的一次网络安全会议上,所作出的有关保护用户隐私的表态和观点。   根据之前媒体报道,按照新反恐法律要求,中国将会要求所有的国外科技公司,提供其软硬件产品的部分信息,其中包括软件产品的源代码,包括用于内容调查的加密密钥,另外必须在应用软件中留出后门,以便获得必要信息。而在此之前,相关报道称中国已经开始对金融行业的国外软硬件供应商提出新的监管要求,未来在金融行业逐步放弃国外科技供应商,更多采用中国国内公司的软件和硬件产品势在必行。   相关安全专家表示,”棱镜门”事件警钟长鸣,互联网安全已经上升到国家安全,我国重要核心领域全部使用国外产品有重大的安全隐患和安全威胁,比如金融行业的SSL数字证书。使用国外CA签发的服务器SSL证书,用户每一次访问行为,都需对境外服务器发送验证请求,什么时候访问、从哪里访问、IP地址、使用什么浏览器、每日访问多少次等大数据都掌握在国外CA企业的手里,一旦出现 “棱镜门”事件,极易泄露商业机密甚至国家机密。而极端情况下,一旦证书被吊销,则导致整个网银系统瘫痪,直接影响国家经济命脉的安全,建议替换成国产品牌CA如沃通CA签发的服务器ssl证书www.wosign.com更安全!所以,中国政府有关部门非常警醒,重要核心敏感领域的产品国产化是必然。   根据这些新要求,到底有哪些公司已经答应遵守目前尚不详。不过Quartz网站此前报道称,美国最值钱的科技公司苹果,已经向中国方面表示,可以接受某些检查措施。据报道,早在今年一月份,苹果公司已经向中国的某些政府监管部门表示,可以对苹果的产品进行“安全审核”,从而确保苹果公司并未向美国政府分享有关苹果中国用户的个人隐私信息。   根据英国《每日电讯报》的报道,中国国内有观点认为,苹果公司的智能手机、平板电脑等产品在中国拥有海量的用户,苹果同时掌控了海量的用户数据,如果苹果将这些数据提供给美国政府等部门,则中国监管部门应该对苹果进行严厉的处罚。除了Quartz网站之外,中国国内的媒体,今年初也曾报道苹果已经答应其产品接受安全性的审核,不过具体细节不详。对于这些报道,苹果方面始终保持了沉默。   美国媒体评论指出,在科技行业,信息加密和密钥一直是一个热点话题,而苹果公司面向中国方面提供加密密钥的可能性甚小,换言之,中国方面很难直接获取到用户的通信等个人隐私信息。在苹果公司发布iOS8移动操作系统时,苹果首席执行官库克曾经高调表示,苹果从未和任何海外国家的政府机构合作,在苹果任何的产品和服务中,保留任何技术上的后门,苹果也从未允许海外国家监管部门访问苹果的服务器。   据Quartz网站分析指出,即使苹果向中国方面提交产品的源代码进行安全性审核,这一环节主要的目的是让中国相关监管部门确保苹果的设备和产品并未刺探用户的隐私数据,安全性审核并无法让监管部门获取到被加密的用户通信数据。   另外,如果苹果向中国监管机构提供产品源代码,也将给苹果产品在全世界的安全性带来风险,并让中国以外的产品安全变得更加脆弱。据媒体分析,如果苹果答应提供产品源代码进行安全性审核,这可能是苹果公司的无奈之举。众所周知的是,中国已经成为苹果公司在全世界最重要的市场。   苹果2015年第一财季的财报数据显示,其在大中华区获得的销售收入为161.44亿美元,同比增长了70%,在苹果全部销售收入中,已经占到了21.6%。依靠去年两款大屏幕手机在中国市场的热销,去年第四季度,苹果已经超越了叁星电子,成为全世界最大的智能手机制造商。

2014网络诈骗数据显示:虚假购物网占"半壁江山"

前不久,360上线了中国首个用大数据追踪网络诈骗的“中国网络骗子地图”,对2014年的网络诈骗进行了已全方位的数据分析。2014年的网络诈骗数据显示,广东则成了钓鱼网站境内首选栖息地。江苏省一年新增了16.9%的钓鱼网站,增速排名全国第四。   数据1:虚假购物网站占断网了钓鱼“半壁江山” 数据显示:2014年360共拦截钓鱼网站攻击406.0亿次,较2012年和2013年分别增长了4倍、3.8倍,平均每天拦截钓鱼网站攻击1.11亿次。在钓鱼网站服务器分布上来看,约57.3%的钓鱼网站服务器分布在境内,42.7%在境外。这也是最近几年来,首次出现国内钓鱼网站服务器多于国外钓鱼网站服务器的情况。 从境内新增钓鱼网站服务器地域分布上看,28.9%分布在广东,居于首位;其次分别为浙江(19.6%)、北京(18.2%)、江苏(16.9%)。虚假购物是新增数量最多的钓鱼网站,占比高达50.6%。其次是银行证券和假医假药,占比分别为17.9%、9.3%。 而从新增钓鱼网站的拦截量来看,仍然是访问虚假购物网站的比例最高,占比为56.9%;其次为假医假药网站,占比高达17.0%;排在第三位的为虚假招聘网站,占比为9.2%。 虚假购物网站猖獗,公众网上购物支付如何辨别虚假购物网站?安全专家提醒: 网上购物、支付人准https安全链接,https安全链接是经过合法权威CA机构www.wosign.com签发SSL证书进行过数据加密和真实身份认证的。https安全链接表明你访问的网站身份真实、合法、可信,并且网站数据传输经过SSL加密,账号密码安全有保障。部署了如沃通CA签发的EV SSL证书的站点还会显示绿色地址栏和机构名称,高强度加密数据,网站真实、可信,安全有保障。同时也建议用户保管好自己的账号密码,不要轻易泄露给他人,不要随便点击不可信链接,不要多个网站使用同一账号密码,谨防钓鱼陷阱,避免财产损失。   数据2:中奖+淘宝成最高危的骗术 从网络骗子地图中点开江苏的数据,可以看到被拦截的假网游与中奖信息占到了被拦截信息的近半数,其次是假淘宝和京东购物网站,由此可见中奖+淘宝已经成为了最高危的骗术。沃通CA提醒,且莫轻信短信、电话、QQ弹窗等中奖信息;遇到中奖相关邮件和链接切莫打开,立即删除防病毒感染。     数据3:网络欺诈受害者 男性超60% 安全报告同时显示,2014年共接到各类网络欺诈报案22961起,用户损失总金额高达4767万元,人均损失2076元,比2013年的1449元增长43.3%。在男女比例上,男性受害比例竟然远高于女性,超过六成,人均损失1873元,占63.72%,而女性人均损失2431元,占36.28%。而在网络欺诈受害者年龄占比中,90后占比高达52.2%,80后是36.8%,成了“主力军”。      

棱镜门事件再度发酵 数据加密成关注焦点

2015年春节期间,让人震惊的棱镜门事件再度发酵,数据加密成为公众热议话题。根据爱德华斯诺登透露,美英的安全部门窃取了荷兰SIM卡制造商Gemalto的信息,获得了密钥,威胁到全球移动通信用户的信息安全。在互联网应用普及的今天,数据加密、信息安全问题被推向公众视野,成为大家热议和关注的焦点问题! 2014年,记录棱镜门爆料者爱德华˙斯诺登的纪录片《第四公民》获得了奥斯卡最佳纪录片。棱镜门暴露了美国等国的情报机构通过各种手段来获取公民信息的事件,一时间舆论沸腾。因为斯诺登的爆料透露,情报机构获得信息的手段很多是非法的。在法制社会,必须依照法律办事,安全情报机构也不能例外。 信息泄露事件的频发生不禁让我们产生了忧虑:一直标榜法律健全的美国尚且如此,在国内,我们的个人隐私信息被泄漏再正常不过了。如携程网信息安全门事件、小米800万用户数据泄露、多家快递官网1400万用户信息泄露、130万考研用户信息泄露、12306用户数据泄露、多家知名连锁酒店、高端酒店海量开房信息泄露……… 面对危机四伏,满是陷阱的互联网,我们该如何保障信息安全?沃通CA表示保障信息安全要从自身做起,其中最为关键的就是进行高强度的数据加密。 提到加密不得不提到当今很多的加密技术,当今国内使用的很多加密技术如银行、支付宝等使用的SSL证书进行HTTPS加密传输都是美国产品,就相当于自家大门配的锁和钥匙掌握在美国人手中,等同于向美国敞开了大门,非常的不安全。SSL证书国产化是必然,在各种信息安全事件的催发下,中国政府也高度重视互联网安全领域,积极的推动安全产品如SSL证书的国产化。国产品牌数字证书颁发机构沃通CA为推动SSL证书国产化进程向用户推出免费SSL证书申请,加快站点部署ssl证书实现https加密进程。 关于网站使用http传输和https传输,很多人甚至很少注意自己连接到的网站网址到底是Http还是https,这其中的差别其实非常大,因为后者(https)传输的信息是加密的,即使截获了也没什么用,与明文传输的http不是一码事。为了保证数据安全,几乎所有的银行站点,金融站点,正规电商购物站点都会进行https加密,并且在免费SSL证书的大力推动下,https在将来的不久将全面覆盖中国站点,实现互联网全网https加密访问。 除了网站SSL证书加密外,我们再来看看大家经常用到的WIFI加密。在刚有WiFi的时代,当时采用的加密技术称之为WEP,也就是无线网加密协议(Wireless Encrypt Protocol,也叫无线等效加密,Wired Equivalent Privacy)。这种加密方式的弱点就是,如果对方有足够的耐心抓足够多的数据包,就可以把RC4加密的秘钥破解出来。所以WEP很快就被WPA说取代,今天的WiFi已经很少有用WEP加密的了。 建议公众不要共享WIFI操作敏感数据,比如最近几天炒作的比较凶的某应用,是通过把大量的WiFi密码保存、共享的方式实现所谓的免费WiFi,这是一种相当危险的方式,一旦你家里的WiFi密码被共享出去,就意味着其它有这个应用的人,可以随便进入你家的WiFi,更进一步,他对你家庭网络和PC做些手脚,你可能也不知道。 WIFI另外一个不太靠谱的加密方式是RSA加密,这种加密技术的原理浅显的说是两个大质数的乘积。其768位加密惨遭因式分解如下: 123018668453011775513049495838496272077285356959533479219732245215172640050726 365751874520219978646938995647494277406384592519255732630345373154826850791702 6122142913461670429214311602221240479274737794080665351419597459856902143413 = 3347807169895689878604416984821269081770479498371376856891 2431388982883793878002287614711652531743087737814467999489× 3674604366679959042824463379962795263227915816434308764267 6032283815739666511279233373417143396810270092798736308917 RSA算法的SecurID在银行等领域应用最多,现在一般都要求2048位的RSA加密,所以目前认为RSA1024位以下的加密都不太安全,高级些的一般都要求2048位加密,因为理论上要破解2048位加密,对于今天的技术和算法来说需要的计算量实在太大。RSA加密的产品应用广泛,就目前来看也足够安全,比如非常多银行的随机密码令牌环就是使用的RSA SecurID加密。 最近几年,信息泄漏事件频发,因为很多网站都没有采用https加密传输,用户名、密码也是明文保存,一旦被黑客拖库,将造成大量的用户名密码泄漏……而对于别有用心的人来说,还可以用撞库的方式,用泄漏的A网站的用户名密码数据库去尝试登陆网站BCDEDF……因为很多人都是习惯了一个用户名,相同的密码用来登陆很多网站,可能结果就是一个网站ID失窃,多个网站的登陆信息一起遭殃。和支付相关的网站设立独立密码,是起码的觉悟,尤其是支付宝、网上银行、电子邮件、腾讯QQ等应用,建议使用强口令的独立密码,对涉及交易支付站点还要验证其是否是https加密传输。

流行运动相机GoPro官网可遍历明文存储的用户账号和密码

GoPro是目前全球最流行的运动相机品牌,现今已成为极限运动专用相机的代名词。近日安全研究员在GoPro官网上发现了一个安全漏洞,可导致大量用户的用户名和密码泄露。 GoPro简介 GoPro因其小型便携的相机而闻名。用户经常会在山地自行车、滑雪、冲浪等极限运动中,所以它才成为了极限运动专用相机的代名词。GoPro还开发了一个移动应用程序,用户可以通过app远程控制GoPro相机,甚至还可以自动上传照片至社交媒体上。 GoPro是目前全球最流行的运动相机品牌,始创于2002年,在冲浪、滑雪、跳伞等户外运动市场有着非常良好的表现以及口碑。据悉仅在2014年第一季度,YouTube上面和GoPro有关的短片浏览量就超过10亿次。 漏洞详情 Ilya Chernyakov是来自以色列的安全研究员,他借朋友的GoPro相机偶然间发现了这一漏洞。他的朋友忘记了GoPro密码,Chernyakov试图通过官网手动更新固件(网站上会有指导)重新获取密码。但当下载必要的压缩文件时,他发现了一个名为“settings.in”的文件,里面以明文的方式给出了他的无线名和密码。 GoPro网站并未使用任何形式的认证机制,事实上,只要改变网站上文件的URL字符就可获得其他用户的信息。Chernyakov写了一个Python脚本,该脚本可以自动下载所有可能的字符组合文件,搜集成千上万的无线用户名和密码。 他已经把这一漏洞的详情报告给了GoPro公司,但是GoPro官方并未给出回应。 [参考来源www.miltonstart.com,转载请注明来自FreeBuf黑客与极客(FreeBuf.COM)]

SSL/TSL漏洞Freak,可致数百万苹果、安卓用户隐私泄露

近日,法国安全公司Inria以及微软发现了一存在十多年的SSL/TSL 漏洞Freak,它可让数以百万的Apple、Android 用户在造访诸如白宫、FBI、NSA 等所谓安全网站时被动暴露在对加密流量的中间人攻击攻击中。 Freak 漏洞主要是让黑客或情报机构能够执行加密降级攻击,送出弱密码金钥,以便破解加密防护。用这种方法破解加密流量遭后,黑客得以窃听到用户塬本以为十分安全的通讯内容。 【Freak来历】 1990 年,美国政府尝试规范使用强加密的出口产品以及装置,他们希望这些货品在运送出美国前能够安装弱的加密装置。当时,美政府允许最大512 bits 的金钥;接着在2000 年随着美国出口法的修正,该法允许卖主在他们的产品中使用128-bit 的密码,并卖到世界各地。唯一的问题是这个汇出等级密码从未被撤掉,而现在三十年过去,Freak 漏洞让黑客可以超方便地藉由HTTPS 连结来解密一个网站的私人金钥,以及破解密码、login cookies 以及其他敏感的资讯。 【Freak 漏洞运作】 约翰·霍普金斯大学资安学院的研究助理教授 Matthew Green 在自己的 blog 上总结了 Freak 漏洞,并详细解说黑客可以怎么以此进行中间人攻击:    使用者造访网站上时收到的欢迎讯息中,网站询问要求使用一个标准的RSA 密码套件    然后中间人攻击者将这个讯息篡改为:要求匯出 RSA    伺服器回应了512-bit 的匯出 RSA 金钥    使用者因为OpenSSL/ 安全传输的 bug 接受了这个弱密码金钥    攻击者迫使 RSA 系数回復相应的 RSA 解密金钥    当使用者像伺服器加密 Premaster Secret(一个用在对称加密密钥产生中的 46 位元组的随机数字),攻击者就可以立马解密    到了这里,攻击者就可以看到网站完整的内容,并且随他高兴的篡改、窃取资讯 36% 的使用512位RSA密钥SSL 网站面对黑客攻击几乎无力可挡,专家建议使用如沃通wosign的2048位加密强度的SSL证书,不必担心脆弱的1024位加密强度SSL证书被破解的问题,沃通CA顶级根证书是4096位加密强度、中级根证书和用户证书都是2048位加密强度,沃通CA SSL证书能确保您的网站在未来20年的安全。 当使用者在使用一个【脆弱的装置】(包含了 Android 手机、iPhone、运行苹果 OS X 操作系统的 MAC 等)连结【脆弱的HTTPS 】保护网站时,是很可能直接遭受Freak 漏洞攻击。目前为止,用 Windows 以及 Linux 系统的终端装置被认为不受此漏洞影响。 苹果和 Google 计划修补Freak 漏洞 目前 Google 表示一个 Android 补丁已经分送给了众合作伙伴;同时,Google 也唿求各网站一起来抵制。苹果也回应了这个 Freak 漏洞,并且发表了一份声明对 iOS 以及 OS X 的修正将在下周的软件升级中出现 。  

两会聚焦网络安全 国产化再成提案重点

信息安全国产化再上提案        去年两会期间,信息安全首次在两会报告中出现,很多代表们纷纷就安全话题进行了提案。今年,信息安全依旧受两会热议。经过一年的时间,国内的信息安全国产化已经初步取得了进展。过去一年我们能看到国家和重点行业的政策与行动,对信息安全及国产化推进尤为重视。早日实现核心信息技术和产品的自主可控,摆脱受制于人的局面,是我们国家信息化建设的关键环节,也是保护信息安全的重要目标。   国产化成大势所趋,自主可控势在必行        在两年的时间内,中央政府采购中心名单上的产品数量增加了2000多个,目前总数量将近5000个,增加的这些产品几乎全部为本土品牌,而被批准的国外科技产品的数量下滑了1/3,不到1/2的国外安全产品上榜。自从斯诺登事件爆发以来,各国对美国的技术设备都有所防备。中央政府采购倾向国产产品已经显明了态度,信息安全的自主可控势在必行。 国产SSL证书将替代国外产品 此前,我国在网络安全方面缺乏相应的制度,导致我国网络基础设施和核心技术设备大量采用国外软硬件,SSL证书作为网络安全的重要一环,几乎被国外厂商垄断。以金融行业为例,我国十大银行都是部署了国外CA签发的服务器SSL证书,用户行为大数据都掌握在国外CA企业的手里,一旦出现 “棱镜门”事件,极易泄露商业机密甚至国家机密。 我国有权颁发数字证书的合法CA机构有34家,政府机关单位已逐步要求部署国产SSL证书,但是SSL证书比较特殊,并不是每家机构所发放的SSL证书都能受浏览器信任(这就是为什么有的网站会出现该证书不受信任的浏览器报错),只有通过国际WebTrust认证的CA机构,其根证书预置到微软的操作系统和浏览器中,颁发的SSL证书才能受信任。但WebTrust认证的门槛比较高,中国目前只有3家CA机构通过了WebTrust认证,但只有沃通CA颁发的SSL证书,能完美兼容1999年以后的所有浏览器、服务器以及主流移动设备,性能上可完全替代国外SSL证书产品。 沃通CA将以打破中国市场被国外产品垄断的局面为己任,目前已推出【国外SSL证书替换成国产沃通SSL买一年送一年的优惠】,响应国家安全战略,以高质量的产品和服务全力推动SSL证书国产化进程,守护用户数据安全。    

触目惊心!近年来已有11亿用户隐私被泄漏

手机淘宝,发红包,订机票……当我们享受着网络给予的便利时,却浑然不知自己的隐私信息正在被非法分子利用。《经济参考报》记者日前采访获悉,目前信息安全“黑洞门”已经到触目惊心的地步,网站攻击与漏洞利用正在向批量化、规模化方向发展,用户隐私和权益遭到侵害,特别是一些重要数据甚至流向他国,不仅是个人和企业,信息安全威胁已经上升至国家安全层面。 记者日前从补天漏洞响应平台上收录的数据显示,目前该平台已知漏洞就可导致23.6亿条隐私信息泄漏,包括个人隐私信息、账号密码、银行卡信息、商业机密信息等。导致大量数据泄露的最主要来源是:互联网网站、游戏以及录入了大量身份信息的政府系统。根据公开信息,2011年至今,已有11.27亿用户隐私信息被泄漏。 “这个数据意味着,我们几乎每一个上网的人,自己的信息都可能已经在不知不觉中被窃取甚至利用。”一位网络安全方面权威人士对《经济参考报》记者坦言,这仅仅是冰山一角,更令人担忧的是,实际情况比这一统计数据还要严重。目前越来越多的信息安全泄露都是冲着“钱”去的,下一步金融、网上支付等将成为重灾区,从目前暴露的信号来看,以芯片、电脑、设备等为载体,甚至一些涉及国家安全的能源、资源、航空等领域都将可能爆发信息安全问题。 据了解,自2011年国内最大的IT技术社区CSDN曝出泄密事件以后,网站被拖库和撞库事件不断发生。2014年,撞库攻击达到前所未有的高峰期。从补天漏洞响应平台等渠道披露的信息来看,2014年,包括无秘(原秘密)、大众点评网、搜狐、安智网、汽车之家、搜狗、印象笔记等多家国内知名网站都遭到了撞库攻击,导致大量用户的个人信息泄漏。 从12306信息泄露、携程信息泄露,到近期江苏省公安厅曝出海康威视监控设备安全隐患事件……种种迹象表明,对于正在大力发展信息经济与互联网经济的中国,网络信息安全保护问题已经迫在眉睫。 “在数据泄露的背后更多暴露的是网站的安全。”补天漏洞响应平台负责人赵武对《经济参考报》记者说,网站安全直接关系到大量的隐私信息、商业机密、财产安全等数据,目前用户数据的收集、存储、管理与使用等均缺乏规范,更缺乏监管,主要依靠企业自律。但是对门户网站电商等而言,一方面网络信息安全保护意识缺乏,另一方面也缺少网络信息安全的技能,即使出现了信息泄露问题,往往采取“捂盖子”的方法,只要不曝光就行。 一组数据更加值得警惕。据测算,目前超过37%的国内网站存在漏洞,利用网站漏洞的攻击以近5倍速增长,网站信息泄漏的风险越来越大。2014年前11个月,360网站安全检测平台共扫描各类网站164.2万个,较2013年的91.2万个增加了80.0%。其中,存在安全漏洞的网站为61.7万个,占扫描网站总数的37.6%。其中,存在高危安全漏洞的网站共有27.9万个,占扫描网站总数的17.0%。2014年全年,360网站卫士共拦截各类网站漏洞攻击7.0亿次,较2013年1.21亿次,增长了约4.8倍。 赵武告诉记者,如果真正重视保护用户的信息安全并进行相当的技术投入等,80%以上的信息安全事故是可以避免或及时弥补的。但实际上,很多企业明明知道有拖库,信息被泄露,但只要没有被曝光,仍然是睁一只眼闭一只眼。因此,信息安全立法中,国家除了要加大对网络安全方面的人才培养,更要明确网站安全的责任和相应的处罚机制,只有这样才能真正约束企业行为,使其能够保护用户隐私乃至产业安全和国家安全。 公安部第三研究所所长严明在接受《经济参考报》记者采访时表示,我国建立了对信息和信息载体按照重要登记分级保护的信息安全等级保护制度,但因为缺少法律依据,这个机制并未及时启动并发挥作用。而关于追责措施,有关规定也有,但是并没有量化,存在管理的灰色地带,可以说,这个机制是否有效对于国家安全关系很大,因此需要加快信息安全立法。 互联网实验室董事长方兴东对《经济参考报》记者表示,目前我国网站在用户的信息存放方式和制度方面并不完善,网站之间并没有建立安全共享联系。 360公司董事长兼CEO周鸿祎则建议,重塑信息安全要遵循三个基本原则,即以保护用户隐私和数据安全为前提,明确用户对信息数据的所有权,明确企业对信息数据的保障义务,并保障用户在信息交换和使用时的知情权,是互联时代保护信息安全的基础。   文章来源经济参考报

爆英美入侵手机卡 全球用户遭监控

美国监控丑闻揭秘者斯诺登再爆猛料,英美入侵手机卡系统,全球用户信息遭到监控。据其提供的文件显示,美国和英国情报部门曾用黑客手段侵入手机SIM卡制造巨头金雅拓公司的内部系统,旨在通过产品交付环节获取SIM卡密钥从而监控全球手机用户。该入侵SIM卡入侵事件再度引起国家相关部门的高度关注。随着入侵和监控消息的持续发酵,信息安全问题再次被推向了一个全新的高度。 自斯诺登事件爆发以来,国家政府部门不断加大对信息安全领域的政策扶持力度。财政部日前制定的《2015年政府采购工作要点》就明确提出,进一步发挥政府采购政策功能,完善政府采购云计算服务、大数据及保障国家信息安全等方面的配套政策,支持相关产业发展。早前还有外媒报道,中国政府采购名单已剔除苹果、思科等部分全球知名品牌,同时增加了更多的本土品牌。 随着互联网和移动互联网的发展渗透,云计算、大数据、智慧城市、移动支付等细分领域不断创新,信息安全技术需求将会持续增长。从国家政府层面来看,网络信息安全已经关系到国家安全和公共利益安全。企业和网民个人层面,也对信息化时代商业机密信息和个人隐私信息的保护问题高度关注。 根据《CNNIC第35次中国互联网络发展状况统计报告》,2014年,我国总体网民中有46.3%的网民遭遇过网络安全问题。在安全事件中,电脑或手机中病毒或木马、账号或密码被盗情况最为严重,分别达到26.7%和25.9%。调查显示,有48.6%的网民表示我国网络环境比较安全或非常安全,49%的网民表示互联网不太安全或非常不安全。互联网安全感丧失和网络信任危机爆发对人民生活以及互联网健康快速发展带来了消极影响。 沃通CA作为国产品牌数字证书签发机构,始终致力于保障在线安全和建立在线信任!为了让互联网更加安全可信,专注提供基于PKI技术的产品应用和解决方案,解决互联网在线安全与信任问题,为构建开放、安全、负责任的互联网环境提供技术支撑。通过SSL证书、代码签名证书、客户端证书的产品组合,解决互联网服务器端、客户端、传输数据(软件/文件等)这三大构成要素的安全和可信问题。沃通CA还推出了2年期的多域名免费SSL证书,广大站长0成本即可对网站进行传输数据加密,为推动中国https站点普及、构建更安全的互联网环境贡献力量。 此次手机入侵监控事件的爆光,将进一步加强大众对信息安全的关注。国家相关信息安全支持政策有望加速落地,推动国产信息安全产业的发展。 沃通CA倡议网民养成安全的网络使用习惯,保护个人隐私;倡议网络服务提供者建立安全保护机制,保障用户的安全权益。    

http认证原理和https工作流程

一、http认证原理 http定义了两个官方认证:基本认证和摘要认证,两者遵循相同的流程: 1 客户端发起GET请求 2 服务器响应401 Unauthorized,WWW-Authenticate指定认证算法,realm指定安全域 3 客户端重新发起请求,Authorization指定用户名和密码信息 4 服务器认证成功,响应200,可选Authentication-Info 【基本认证】 将“用户名:密码”打包并采用Base-64编码 缺点:密码很容易被窥探,可以挟持编码后的用户名、密码信息,然后发给服务器进行认证;可以与SSL证书配合,隐藏用户名密码; 【摘要认证】 不以明文发送密码,在上述第2步时服务器响应返回随机字符串nonce,而客户端发送响应摘要 =MD5(HA1:nonce:HA2),其中HA1=MD5(username:realm:password),HA2=MD5(method:digestURI)。在HTTP 摘要认证中使用 MD5 加密是为了达成”不可逆的”,也就是说,当输出已知的时候,确定原始的输入应该是相当困难的。 如果密码本身太过简单,也许可以通过尝试所有可能的输入来找到对应的输出(穷举攻击),甚至可以通过字典或者适当的查找表加快查找速度。 【http摘要认证安全性增强】 1 密码并非直接在摘要中使用,而是 HA1 = MD5(username:realm:password)。这就允许一些实现(如,JBoss DIGESTAuth)仅存储 HA1 而不是明文密码。 2 在 RFC 2617 中引入了客户端随机数 nonce,这将使客户端能够防止选择明文攻击(否则,像Rainbow table这类东西就会成为摘要认证构架的威胁)。 3 服务器随机数 nonce 允许包含时间戳。因此服务器可以检查客户端提交的随机数 nonce,以防止重放攻击。 4 服务器也可以维护一个最近发出或使用过的服务器随机数nonce的列表以防止重用。 【http摘要访问认证缺点】 1 RFC 2617 中的许多安全选项都是可选的。如果服务器没有指定保护质量(qop),客户端将以降低安全性的早期的 RFC 2069 的模式操作。 2 摘要访问认证容易受到中间人攻击。举例而言,一个中间人攻击者可以告知客户端使用基本访问认证或早期的RFC 2069摘要访问认证模式。 进一步而言,摘要访问认证没有提供任何机制帮助客户端验证服务器的身份。一些服务器要求密码以可逆加密算法存储。但是,仅存储用户名、realm、和密码的摘要是可能的。它阻止了使用强密码哈希函数(如bcrypt)保存密码(因为无论是密码、或者用户名、realm、密码的摘要都要求是可恢复的)。 二、https工作流程 【https】 将http同一组基于证书的加密技术组合一起,SSL介于http和tcp之间,负责http报文的加密和解密; 若URL为https,客户端打开一条到服务器443端口的连接,以二进制格式与服务器握手交换SSL安全参数,并附上加密的http命令; SSL协议可分为两层: (1)SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。 (2)SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。 【服务器认证阶段】 1)客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接; 2)服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息; 3)客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器; 4)服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。 【用户认证阶段】 经认证的服务器发送一个提问给客户,客户则返回(数字)签名后的提问和其公开密钥,从而向服务器提供认证。 【握手过程】 SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。 ①客户端的浏览器向服务器传送客户端SSL 协议的版本号,加密算法的种类,产生的随机数。 ②服务器向客户端传送SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。 ③客户利用服务器传过来的信息验证服务器的合法性,证书是否过期,发行服务器证书的CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名” ④客户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥对其加密,传给服务器。 ⑦服务器和客户端用相同的主密码,即对称密钥用于SSL 协议的安全数据通讯的加解密通讯 【https隧道】 建立连接时客户端采用服务器的公开密钥对发送数据加密,代理就无法读取http首部,也就不知道将请求转向何处; https ssl隧道协议允许客户端先告知代理欲连接的服务器和端口,即通过connect方法明文发送端点信息,代理建立同服务器的tcp连接,客户端直接采用此隧道同服务器通信; 隧道:通过http连接发送非http流量     【上述相关名词解释】 (1)密钥:改变密码行为的数字化参数; 对称密钥加密:编码、解码采用同一个密钥,通信双方对话前一定要有一个共享的保密密钥;破解者需要遍历每一个可能密钥; 公开密钥加密:使用两个非对称密钥,分别用于编码和解码,前者是公共的,后者只有本地主机保存;RSA为MIT发明的公开密钥加密系统; (2)数字签名 即加密的校验和,可防止报文被篡改; 1 A将变长报文提取为定长摘要,对其应用签名函数(使用用户的私钥作参数),将签名附加在报文末尾; 2 B接收报文时对签名进行检查,使用公开密钥进行反函数,若拆包后摘要与明文摘要不匹配,说明报文被篡改或没有使用A的私钥; (3)数字证书 包含:对象名;过期时间;证书发布者;公开密钥;数字签名;大部分证书都使用X.509 V3格式; 通过https建立一个安全web事务后,浏览器会主动获取服务器的数字证书,若没有证书则安全连接失败; 更多相关信息请前往沃通CA数字证书网了解更多www.wosign.com