標籤彙整: Web

ECC证书试用记

發佈留言

什么是ECC?

椭圆加密算法(ECC)是一种公钥加密体制,最初由Koblitz和Miller两人于1985年提出,其数学基础是利用椭圆曲线上的有理点构成Abel加法群上椭圆离散对数的计算困难性。
与经典的RSA,DSA等公钥密码体制相比,椭圆密码体制有以下优点:
较短的密钥大小,使用较小的Key实现和RSA同等的安全性,更低的CPU消耗,节省带宽。
224 Bit ECC = 2048 Bit RSA
256 Bit ECC = 3072 Bit RSA
384 Bit ECC = 7680 Bit RSA
512 Bit ECC = 15360 Bit RSA

如何配置

步骤还是和RSA证书一样生成用Openssl私钥和公钥
生成私钥
openssl ecparam -out im66.key -name secp384r1 -genkey
其中name后的密钥长度可以自己改默认256,我改成了384。
保护key文件
chmod 400 im66.key

自签名测试
openssl req -new -sha384 -x509 -key im66.key -out im66_test.crt -days 365
因为是自签名信息随便填.

修改 Nginx 配置
vi /usr/local/nginx/conf/nginx.conf
找到ssl_certificate和ssl_certificate_key 替换
其他部分略:
ssl_certificate im66_test.crt.crt;
ssl_certificate_key im66.key;

重新载入配置
nginx -s reload
sha384ECDSA 閱讀全文

45万雅虎服务明文密码泄露

發佈留言

黑客公开了(压缩文档,原始网站下线)未知雅虎服务的45.3万用户帐号和明文密码(黑客声称是明文)。黑客组织表示他们是通过SQL注入渗透进雅虎的服务器,表示雅虎的Web服务器有许多漏洞,他们曝光帐号是为了提醒雅虎采取行动堵上漏洞。有推测认为黑客入侵的可能是Yahoo Voice服务器。对密码的搜索显示,有许多用户没有使用密码,常见的密码有123456、password、ninja、abc123、123456789、12345678、sunshine和princess。更新:雅虎已证实密码失窃。

中国网站安全现状令人堪忧

發佈留言

5月29日,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布的《网站用户口令处理安全性外部测评报告》指出,国内网站对用户 口令的处理方式存在突出的安全问题。在抽样调查的网站中,100个网站中,59%没有采取任何安全措施。使得用户口令直接暴露在传输网络以及服务器端,更 有85个网站直接拿到了用户的口令原文。 閱讀全文

博讯及其托管商遭DDoS攻击威胁

發佈留言

连续报道政治丑闻的博讯网因域名托管商面临DDoS攻击威胁而不得不迁移到新托管商。上周五,域名托管商Name.com 发明声明, 称它收到了一封要求让博讯下线否则面临DDoS攻击的电子邮件,周四早晨网络运营团队就发现主网站和域名服务器遭受了规模惊人的DDoS攻击,它认为此举 伤害了互联网的言论自由表达。Name.com无奈下联系博讯,称它不能保护博讯和其它150万域名同时在线。博讯网站经理韦石声称,域名从Name.com迁移到另一家不到4小时,又被要求迁移,他们现在找到了第三家。

EFF推荐用户删除Google的搜索历史

發佈留言

Google将从3月1日起采用统一的隐私政策,这将影响到Google在3月1日之前收集的数据,电子前哨基金会(EFF)建议用户删除Web访问历史。因为Web搜索历史会暴露用户的敏感信息,如位置、兴趣、年龄、性取向、宗教和健康等方面的信息。以前搜索历史是和Google的其它服务或产品隔离开来,如果Google能将所有服务中相关的数据结合起来,那么它对你有更深入的了解。

上班族网购一年五位数消费额很正常

發佈留言

“不看不知道,一看吓一跳。昨天上网统计了一下,今年我的网购消费居然高达1.6万元,买了什么都不知道!”在鄞州区一家外贸公司上班的蔡小姐告 诉记者。临近年末,上班族们开始盘算起了一年的支出,喜欢网购的上班族们纷纷拉出了支付宝上的账单,一核对连自己也吓了一跳。记者粗粗问了一圈,在上班族 中网购消费金额少则数千元,多则数万元,在万元以上的占了较大一部分。 閱讀全文

国内多家大型网站使用明文密码

發佈留言

黑客公开了多家国内大型网站的用户数据库。在经历了年初匿名组织攻击索尼等网站,泄漏上亿用户数据库的事件之后,此事本身并不让人惊奇。让人万分惊讶的这些数据库竟然大量使用明文密码。技术网站CSDN、在美国上市的社交网站人人网、游戏网站7K7K和178的用户数据库都包含了电子邮件地址和明文密码,多玩网的数据库则混杂了加密和明文密码。如果用户在多个网站上使用相同密码,他将面临身份窃取的巨大风险。为了改进安全,可以考虑使用基于Web的密码管理服务LastPass去管理密码,LastPass可以生成随机密码,用户只要记住一个主密码就可以了。今天并不是互联网的初创时代,对于为什么这么多大网站使用明文密码,有人推测可能是审查和监管要求。

Google宣布Google CDN

發佈留言

Google宣布了最新的帮助加快互联网速度的工具Page Speed Service加快静态网页的载入速度,不支持动态网页。 在开发者注册该服务之后,可将网站的DNS入口记录指向Google,然后Page Speed Service从服务器上抓取内容,采用最佳的Web性能方案重写网页,通过Google在全球部署的服务器将内容展示给终端用户,加快网页载入速度。网 站开发者将无需再担心CSS串联、压缩图像、缓存、压缩资源等问题。Google称它的的测试显示能加快网页载入速度25%到60%。这项服务在beta测试阶段免费,收费细节将在以后公布。

IETF:互联网精神的典范

發佈留言

今年是IETF成立25周年,ars technica有一篇介绍文章,回顾了它的辉煌成就。IETF的全称是”互联网工程任务组”(Internet Engineering Task Force),主要目标是协调制定互联网标准。几乎所有重要的网络底层协议,都是由IETF制定的,比如TCP协议IP协议HTTP协议等等。可以毫不夸张地说,没有IETF就没有互联网。 閱讀全文

美国军方封杀13个网站节约带宽支援日本

發佈留言

美国战略司令部(U.S. Strategic Command)发言人罗德尼·埃里森(Rodney Ellison)周三证实,美国军方内部暂时封杀了13个流行网站,禁止其计算机访问,旨在节约带宽,帮助日本灾后复苏。埃里森称,包括YouTube、ESPN、亚马逊、eBay和MTV在内的13个网站被封并不是因为其内容违法,而是在军方计算机用户中颇受欢迎,占用了大量带宽。 閱讀全文

报告称中国黑客入侵全球能源公司计算机网络

發佈留言

迈克菲公司公布了名为《Global Energy Cyberattacks:“Night Dragon”》(PDF)的报告,声称从2009年11月开始,西方石油、能源和天然气公司遭到了秘密协调的有针对性的网络攻击,黑客利用社会工程、钓鱼手段和微软Windows漏洞、Microsoft Active Directory弱点和远程管理系统,窃取能源公司在运营、项目融资、油气开采和油田投标方面的敏感信息。 閱讀全文

关于 HTML5 应用现状与前景的思考

發佈留言

新闻来源:sixrevisions.com
现在的 HTML5 就像当年崭露头角时的 Ajax,有人在做,但不知道叫它什么。最近,苹果在 HTML5 上大做文章,而著名的 Web 设计师 Eric Meyer 则提出了 Web Stacks 的概念。Alex Kessinger 是 Yahoo 的一名前端工程师,本文是他对 HTML5 应用现状与前景的思考。 閱讀全文

互联网域名系统(DNS)安全到达关键性里程碑

發佈留言

新闻来源:网界网
译稿 北京时间6月18日消息,为互联网域名系统拧紧安全螺钉的梦想在周三又向现实迈进了一步,这一天,互联网的政策制定者们在北弗吉尼亚州举行了一个简单而又 隆重的仪式,生成并储存了第一个将用于互联网根域安全的密钥。

这次的密钥发布仪式是互联网根域DNS安全扩展(DNSSEC)研发进程的最终步骤之一。DNSSEC是互联网防范欺诈性攻击的一个新的标准,允许 Web网站利用数字签名和公共密钥验证域名及对应的IP地址。
閱讀全文

Web.com将承担百度的域名安全诉讼

發佈留言

若Web.com完成对Register.com的收购,则Web.com将代替Register.com,承担来自百度公司提出的域名 安全诉讼。近日网络主机和设计公司Web.com宣布,将以1.35亿美元的价格收购域名注册服务商Register.com。 Web.com相关负责人表示,公司将以1.35亿美元收购Register.com,其中包括向Register.com支付的2000万美元现金,承 担后者1.1亿美元的债务和500万美元的卖方票据。 閱讀全文

.cn域名注册量从全球第二跌至第四 还将下跌

發佈留言

一年前,发展速度惊人的.cn顶级域名似有取代.com,成为全球注册量最多的顶级域名之势。但一年之后,这并未成为现实,.cn 域名的位置反而从去年的 全球第二跌至第四,.com仍稳居第一。
根据VeriSign的统计,截至2010年第一季度,全球域名总数超过了1.93亿,第一季度净增加1100万。前10的顶级域名分别 为:.com、.de、.net、.cn、.uk、.org、.info、.nl、.eu和.ru。 閱讀全文

黑客培训网站危害难以预计 遏制黑客迫在眉睫

發佈留言

在最近20年的时间里,互联网已逐渐成为了人们生活中不可或缺的一部分,无论工作、学习、还是休闲、娱乐,互联网因其快速便捷的特点给我们的生活带 来了极大的方便,让我们的生活不断提速。可是同时,网络世界也潜伏着我们看不到的杀手–“黑客”。近日,湖北警方破获了一起黑客案, 从这起案件中,我们 发现黑客的破坏力和危害令人震惊。 閱讀全文

W3C 验证的是是非非

發佈留言

新闻来源:sixrevisions.com
W3C 验证让很多 Web 设计与开发者感到纠结,在自己的网页上放置一个验证按钮,点击以后,当看到 W3C 为你给出的全部是绿色对勾的时候,满足感油然而生,然而对这种机器验证的过度依赖往往带来另外的问题,本文讲述的是 W3C 验证中的一些是与非。 閱讀全文

传版署要求停运开心农场 因未经前置审批

發佈留言

新闻来源:凤凰网游戏频道
4月29日,据知情者在微博爆料称,新闻出版总署加大对SNS游戏的监管力度,近期下发通知要求数家公司停止非法运营网络游戏《开心农场》,主要原因是运 营该游戏未经新闻出版总署前置审批。这也意味着新闻出版总署开始对SNS游戏的出版和运营进行监管。 在对“违规”公司下发的通知中,新闻出版总署表示,“你公司未经国家新闻出版总署前置审批,非法运营网络游戏《开心农场》,违反了国家《出版管 理条例》、《互联网信息服务管理办法》以及《互联网出版管理暂行办法》等相关法规规定,限你公司在接到本通知后7日内主动停止运营网络游戏《开心农场》, 逾期将被停止相关互联网接入服务,关闭相关网站。” 閱讀全文

免费域名.tk免费顶级域名注册申请

發佈留言

tk是一个外国的免费顶级域名提供商,提供后缀为.tk的域名,经过试用稳定性还可以,提供的服务有免费和收费之分,免费的域名只能够转发,但也 是相当的不错了.收费的就可以CNAME解析了,还拥有对此域名的合法权.申请过程很简单,官方有中文版的,按照提示申请就可以了。而且少于四位的域名很 可能会被保留,因为这些事用来出售的。价格还不菲,有的要一年1000美元。要注意的是每三个月要保证25次的域名使用,不然就会被系统删除。

官方网址:www.dot.tk

就是这个.tk域名,之前好像被河蟹过,不过前两天看又恢复了,具体是什么时间恢复的,无从考证。据说是ICANN分给南太平洋 托克劳群岛 的国家域名。

同其他注册商注册域名一样,同样是要申请个帐户,邮件确认,测试了下现在这个免费域名只能免费注册到 >= 4 位的域名,域名提供A记录解析,URL转发,DNS可用官方自带的,也可以自己换填。

Facebook关闭用户名为“本·拉丹”账号

發佈留言

著名社交网站“脸谱网”在3月25日出现了一个注册名为“本·拉丹”的用户,但该用户账号在4月16日被facebook管理方关 闭。
据报道,名为“本·拉丹”的用户共吸引了上千名“粉丝”,并且还在该网页上发表了由基地组织宣传机构制作的有关极端分子的演讲文本及录音等信息。该用户在 描述信息中,地址信息为“世界的多山地带”。

到目前为止,该用户身份仍无法确定,不知究竟是由本·拉丹的亲密伙伴还是由其支持者所开。“facebook”发言人安德鲁·诺伊斯认为它与 本·拉丹无直接联系。他说:“有些人通常爱使用名人或臭名昭著的人的身份注册假账号。目前还没有足够证据证明该账号或其他十几个试图假装自己为本·拉丹的 人与恐怖组织有任何联系。根据我们的实施标准,我们只能将该账号取消。”据悉,“facebook”上仍有塔利班人员的账号,但只有31位跟随者。

“facebook”的管理人员可以通过邮件方式联系到这些用户或团体,他们可与当地政府合作。但诺伊斯拒绝表示他们是否在继续跟踪这一用户,或是否有与 上千名跟随“本·拉丹”的“粉丝”取得联系。

诺伊斯说,“这些用户都是突然出现的,虽然有时它们可以利用漏洞躲过检查,但我们最终还是将它们关闭了。”

恐怖组织利用社交网络传递极端思想已经不是第一次。早在2008年时就有极端论坛力劝基地组织的支持者们“入侵”“facebook”,通过创建同情团体 的方式传递思想。去年12月,五名通过 YouTube和“facebook”被招募进极端组织的美国人在巴基斯坦被捕。本·拉丹是美国联邦调查局FBI通缉要犯名单上的重量级罪犯,美国政府曾 开出 2700万美元的悬赏金。

《成都商报》