微软发布首款IE7测试仅供专业测试者
[
2005/07/29 04:18 | by 雨炫 ]
2005/07/29 04:18 | by 雨炫 ]
据国外媒体报道,微软周三发布了适用于Windows XP SP2的IE 7首款测试版,但发布对象被限定在特定在小部分专业人士中,即beta版测试者、开发人员和特定企业员工等。
微软周三发布了Windows Vista首个测试版Beta 1,发布时间比原定的8月3日有所提前。目前Vista Beta 1已发放到1万名测试者手中,并将于不久后发放到其它50万名测试者手中。测试者大多是微软MSDN开发项目或Technet项目成员。而适用于Windows XP SP2的IE 7测试也仅针对上述人群发布。
微软表示,只有等到Windows Vista Beta 2面世后,IE 7才会面向普通公众发布。微软没有透露Vista Beta 2的具体发布时间,只表示可能在“今年晚些时候”。微软IE开发组主管迪安-哈查莫维奇(Dean Hachamovitch)周三说:“我们这次测试IE 7的目的是收集反馈信息,以进一步提高产品的整体质量(性能、安全、可靠性等等)和新功能(如分页浏览和新闻聚合RSS等)。”
虽然参与IE 7首款测试版的人员有限,但微软已对该产品发动了大规模市场宣传。如数月前已有报道称,IE 7将增加分页浏览功能和新闻聚合(RSS)功能。除此之外,IE 7还将提供捕钓式(Phishing)攻击过滤功能。微软称,对现有IE版本中的重大安全漏洞,IE 7都进行了修补,并改换了一些代码,以全面提高IE的安全性能。
微软周三发布了Windows Vista首个测试版Beta 1,发布时间比原定的8月3日有所提前。目前Vista Beta 1已发放到1万名测试者手中,并将于不久后发放到其它50万名测试者手中。测试者大多是微软MSDN开发项目或Technet项目成员。而适用于Windows XP SP2的IE 7测试也仅针对上述人群发布。
微软表示,只有等到Windows Vista Beta 2面世后,IE 7才会面向普通公众发布。微软没有透露Vista Beta 2的具体发布时间,只表示可能在“今年晚些时候”。微软IE开发组主管迪安-哈查莫维奇(Dean Hachamovitch)周三说:“我们这次测试IE 7的目的是收集反馈信息,以进一步提高产品的整体质量(性能、安全、可靠性等等)和新功能(如分页浏览和新闻聚合RSS等)。”
虽然参与IE 7首款测试版的人员有限,但微软已对该产品发动了大规模市场宣传。如数月前已有报道称,IE 7将增加分页浏览功能和新闻聚合(RSS)功能。除此之外,IE 7还将提供捕钓式(Phishing)攻击过滤功能。微软称,对现有IE版本中的重大安全漏洞,IE 7都进行了修补,并改换了一些代码,以全面提高IE的安全性能。
Windows 2000最终升级包兼容性有问题
[ 2005/07/26 16:11 | by 雨炫 ]
2005/07/26 16:11 | by 雨炫 ]
微软和多位第三方软件开发人员日前宣布,Windows 2000操作系统的最后一个更新包---Update Rollup for Windows 2000 SP4存在一定程度的兼容性问题.
微软于今年6月底发布了Update Rollup for Windows 2000 SP4,这一更新包的发布,标志着微软停止向Windows 2000操作系统提供主流支持。Update Rollup for Windows 2000 SP4中包含了2003年11月到2005年4月间发布的51个安全补丁。
微软本周四表示,用户安装Update Rollup后可能会导致部分程序不能正常运行。根据微软当日发布的一份技术支持库文档,当用户在PC
上安装Update Rollup后,ISS公司的五个安全应用就无法继续使用。这五个应用包括两个版本的ISS RealSecure Desktop以及三个版本的ISS反病毒软件BlackICE。
微软在一份声明中称:“当用户的计算机启动完成后,一两分钟之内ISS的相关安全产品就会停止运行。”目前,用户可以通过更新ISS产品来恢复软件的正常运转。但是,其它受到Update Rollup影响的产品并没有这么好的运气。例如,英国安全厂商Sophos的AntiVirus version 5也存在着同Update Rollup不兼容的问题,据该公司称,同时安装AntiVirus version 5和Update Rollup的计算机在启动后可能需要15分钟的时间才能登录上网络。Sophos公司还没有提供相应的更新,要解决这一问题,用户只能执行“C:winntsystem32mswsock.dll”文件以进行病毒扫描。
Citrix公司的产品也受到了影响,当用户安装Update Rollup之后,一旦运行Citrix公司的MetaFrame XP或MetaFrame Presentation Server 3.0,计算机就会蓝屏。Citrix公司要到下周三才能发布相应补丁。
据其它用户反映,Update Rollup还会带来更多的兼容性问题。在一个补丁管理邮件列表上,一位用户表示Update Rollup大大降低了打印服务器的性能,另有一位用户称Update Rollup甚至导致微软自己的反间谍软件无法正常工作。
微软于今年6月底发布了Update Rollup for Windows 2000 SP4,这一更新包的发布,标志着微软停止向Windows 2000操作系统提供主流支持。Update Rollup for Windows 2000 SP4中包含了2003年11月到2005年4月间发布的51个安全补丁。
微软本周四表示,用户安装Update Rollup后可能会导致部分程序不能正常运行。根据微软当日发布的一份技术支持库文档,当用户在PC
上安装Update Rollup后,ISS公司的五个安全应用就无法继续使用。这五个应用包括两个版本的ISS RealSecure Desktop以及三个版本的ISS反病毒软件BlackICE。
微软在一份声明中称:“当用户的计算机启动完成后,一两分钟之内ISS的相关安全产品就会停止运行。”目前,用户可以通过更新ISS产品来恢复软件的正常运转。但是,其它受到Update Rollup影响的产品并没有这么好的运气。例如,英国安全厂商Sophos的AntiVirus version 5也存在着同Update Rollup不兼容的问题,据该公司称,同时安装AntiVirus version 5和Update Rollup的计算机在启动后可能需要15分钟的时间才能登录上网络。Sophos公司还没有提供相应的更新,要解决这一问题,用户只能执行“C:winntsystem32mswsock.dll”文件以进行病毒扫描。
Citrix公司的产品也受到了影响,当用户安装Update Rollup之后,一旦运行Citrix公司的MetaFrame XP或MetaFrame Presentation Server 3.0,计算机就会蓝屏。Citrix公司要到下周三才能发布相应补丁。
据其它用户反映,Update Rollup还会带来更多的兼容性问题。在一个补丁管理邮件列表上,一位用户表示Update Rollup大大降低了打印服务器的性能,另有一位用户称Update Rollup甚至导致微软自己的反间谍软件无法正常工作。
微软长角命名Win Vista 八月发测试版
[ 2005/07/25 21:30 | by 雨炫 ]
2005/07/25 21:30 | by 雨炫 ]
美国东部时间7月22日消息,微软今天正式宣布下一代Windows操作系统将被命名为“Windows Vista”,而此前人们早已耳熟能详的“长角”(Longhorn)实际上是下一代Windows的开发代号。
众所周知,微软下一代Windows最大的卖点就是用户界面,从“Windows Vista”这一名称可以看出,微软准备充分利用这一优势。在英文中,“Vista”的含义就是“令人愉悦的风景”。据消息人士透露,微软早在六个月前就开始考虑使用这一名称,但随后一直没有相关的消息泄露出来。
微软已经注册了同下一代Windows相关多个域名,其中就包括windowsvista.com。事实上,微软早在今年3月就注册了这一域名,因此可以看出该公司早Windows硬件工程师会议(WinHEC)举行之前就做出了最终决定。今年4月底,微软在2005年度Windows硬件工程师会议上率先面向开发者推出了下一代Windows的预览版。
微软宣布,Windows Vista的第一个Beta测试版将于8月3日发布,不过业界普遍预测Windows Vista Beta Beta 1可能会提前发布。到目前为止,微软还没有公布Windows Vista正式版的发布时间。分析人士预测,Windows Vista可能会于2006年底或2007年初发布。
QQ群组将搞实名制目前未强制实行
[ 2005/07/23 00:07 | by 雨炫 ]
2005/07/23 00:07 | by 雨炫 ]
目前尚未强制实行,也不针对普通个人用户
昨日,腾讯公司媒体经理渠毅对《每日经济新闻》证实,QQ群的创建者以及管理员将于近期开展实名制登记工作,但目前还没有强制实施。此举还不针对普通用户。QQ是中国用户数量最多的即时通讯软件。
实行实名制后,QQ群主将会被要求填写一张表格,内容包括真实姓名和身份证号码等。一位拥有6个QQ群的用户表示,网络是自由开放的,如果一定要登记,将会通过提供不真实信息对实名登记进行抵制。对此,腾讯公司客服人员称,如果姓名和身份证号码不符,腾讯公司不能核实通
过,届时管理者将失去管理的权限。
腾讯最新公告强调,此举仅仅面向群组聊天的创建者和管理员,普通用户不受影响。此次腾讯对于群组聊天的实名登记工作是在深圳市公安局的指导下进行的,依据的是深圳公安局《关于开展网络公共信息服务场所清理整治工作的通知》。
尽管如此,昨日新浪的网络投票显示,7成用户不赞成群组实名制。
至于此项措施是否强制推行、是否有相应的惩罚措施等问题,主管部门深圳市公安局网监分局副局长安呈斌表示,“不好说,不方便说”。
互联网分析人士指出,QQ的交流方式,特别是QQ群,和网站以及论坛的信息比起来,速度更快更直接,加上视频功能,很容易被黄色网站及色情聊天室利用,这正是国家大力整顿的重要原因。深圳市公安局在下发的通知中明确指出,整治的原因正是在即时通讯群组等网络公共信息服务场所中,陆续发现了非法结社、非法串联以及淫秽色情等违法活动。
事实上,韩国信息通信部刚刚在7月1日宣布,将从今年10月份开始在韩国全境实施互联网实名制,要求网民们用真实姓名和身份证号并通过验证后,才能在各网站的留言板上“灌水”。韩信息通信部表示,此举是防止和打击“心怀叵测的网民在网站BBS上匿名发帖,对特定当事人侮辱漫骂,肆意进行人身攻击,侵犯人权。”
深圳公安局的通知称,将从7月10日起开展为期三个月的清理整治工作,对现有网络公共信息服务场所进行清查,涉嫌犯罪的坚决予以关闭,对其他类别的网络公共信息服务场所要求在60日内进行实名登记,到期未登记的予以关闭。
昨日,腾讯公司媒体经理渠毅对《每日经济新闻》证实,QQ群的创建者以及管理员将于近期开展实名制登记工作,但目前还没有强制实施。此举还不针对普通用户。QQ是中国用户数量最多的即时通讯软件。
实行实名制后,QQ群主将会被要求填写一张表格,内容包括真实姓名和身份证号码等。一位拥有6个QQ群的用户表示,网络是自由开放的,如果一定要登记,将会通过提供不真实信息对实名登记进行抵制。对此,腾讯公司客服人员称,如果姓名和身份证号码不符,腾讯公司不能核实通
过,届时管理者将失去管理的权限。
腾讯最新公告强调,此举仅仅面向群组聊天的创建者和管理员,普通用户不受影响。此次腾讯对于群组聊天的实名登记工作是在深圳市公安局的指导下进行的,依据的是深圳公安局《关于开展网络公共信息服务场所清理整治工作的通知》。
尽管如此,昨日新浪的网络投票显示,7成用户不赞成群组实名制。
至于此项措施是否强制推行、是否有相应的惩罚措施等问题,主管部门深圳市公安局网监分局副局长安呈斌表示,“不好说,不方便说”。
互联网分析人士指出,QQ的交流方式,特别是QQ群,和网站以及论坛的信息比起来,速度更快更直接,加上视频功能,很容易被黄色网站及色情聊天室利用,这正是国家大力整顿的重要原因。深圳市公安局在下发的通知中明确指出,整治的原因正是在即时通讯群组等网络公共信息服务场所中,陆续发现了非法结社、非法串联以及淫秽色情等违法活动。
事实上,韩国信息通信部刚刚在7月1日宣布,将从今年10月份开始在韩国全境实施互联网实名制,要求网民们用真实姓名和身份证号并通过验证后,才能在各网站的留言板上“灌水”。韩信息通信部表示,此举是防止和打击“心怀叵测的网民在网站BBS上匿名发帖,对特定当事人侮辱漫骂,肆意进行人身攻击,侵犯人权。”
深圳公安局的通知称,将从7月10日起开展为期三个月的清理整治工作,对现有网络公共信息服务场所进行清查,涉嫌犯罪的坚决予以关闭,对其他类别的网络公共信息服务场所要求在60日内进行实名登记,到期未登记的予以关闭。
[知识库]关于Windows Server系统安装时每服务器与每连接的区别
[ 2005/07/20 00:02 | by 雨炫 ]
2005/07/20 00:02 | by 雨炫 ]
很多人问过也很多人再找比较容易理解的说明,这里提供一个。
安装过windows2000的朋友都知道,微软对服务器有两种授权模式:“每服务器”模式和“每客户”模式。下面我就来说明这两种授权模式的区别。
用微软官方的解释即为:“每服务器”模式要求同时连接服务器的每个连接有单独的“客户访问许可证(CAL)”。“每客户”模式要求访问的每台计算机都有单独的CAL。(什么?你已经看懂了,OH!看其它的文章去吧。)
我们来打个比方:把公交车比做服务器,把乘客比作客户机,把乘客包车比作“每服务器”模式中的CAL,把乘客的月票比作“每客户”模式中的CAL。那么,“每服务器”模式就类似于一辆公交车被乘客包车了,乘客要坐进去就不需要任何凭证,但是车有其最大载客量,因此坐上去的乘客数不能超过其最大载客量。即如果一台服务器有一个可连接数目为十的“每服务器”模式的CAL,则它能同时连接任何十个客户机,但如果要连入更多的客户机,则需购买可连接数目更大的CAL。“每客户”模式就好比一个乘客手中拿着一个月票,它就可以坐任何的公交车了,即拥有“每客户”模式CAL的计算机可连接任何的NT Server 4.0服务器(当然人家要让你连入)。(这下子懂了吧!)
例如:你买了一套Windows 2K3 Server,其中微软赠送了一个可连接10台客户机的CAL。那么,你就可以组建一个一台服务器和十台客户机的基于C/S的局域网。如果又有一台客户机要连入局域网,则想加入的机子只需买一个“每客户”的CAL即可搞定。
每连接,是按有多少客户端同时连接到该服务器来算。适合服务器比较少的环境。
每服务器,是按客户端能连接到多少个服务器来算,适合服务器比较多的环境。
对于每一个访问WIN2K3服务器的客户机都必须要求具有一个CAL,WIN2K3有两种许可证模式:Per Seat(每客户)和Per Server(每服务器)。
Per Seat:指对访问服务器的每客户机都必须有一个CAL,则客户机可以连接到任何数目的服务器。通常这种模式应用在一个网络具有多个服务器的情况下。
Per Server:指到服务器每一个并发(同时)连接,都需要有一个CAL,表示每一时刻服务器最大的并发连接数。通常这种模式应用在单个服务器且客户机数目相对固定的情况下。
注意:许可证模式可从每服务器转换为每客户机,不能从每客户机转换为每服务器模式。
安装过windows2000的朋友都知道,微软对服务器有两种授权模式:“每服务器”模式和“每客户”模式。下面我就来说明这两种授权模式的区别。
用微软官方的解释即为:“每服务器”模式要求同时连接服务器的每个连接有单独的“客户访问许可证(CAL)”。“每客户”模式要求访问的每台计算机都有单独的CAL。(什么?你已经看懂了,OH!看其它的文章去吧。)
我们来打个比方:把公交车比做服务器,把乘客比作客户机,把乘客包车比作“每服务器”模式中的CAL,把乘客的月票比作“每客户”模式中的CAL。那么,“每服务器”模式就类似于一辆公交车被乘客包车了,乘客要坐进去就不需要任何凭证,但是车有其最大载客量,因此坐上去的乘客数不能超过其最大载客量。即如果一台服务器有一个可连接数目为十的“每服务器”模式的CAL,则它能同时连接任何十个客户机,但如果要连入更多的客户机,则需购买可连接数目更大的CAL。“每客户”模式就好比一个乘客手中拿着一个月票,它就可以坐任何的公交车了,即拥有“每客户”模式CAL的计算机可连接任何的NT Server 4.0服务器(当然人家要让你连入)。(这下子懂了吧!)
例如:你买了一套Windows 2K3 Server,其中微软赠送了一个可连接10台客户机的CAL。那么,你就可以组建一个一台服务器和十台客户机的基于C/S的局域网。如果又有一台客户机要连入局域网,则想加入的机子只需买一个“每客户”的CAL即可搞定。
每连接,是按有多少客户端同时连接到该服务器来算。适合服务器比较少的环境。
每服务器,是按客户端能连接到多少个服务器来算,适合服务器比较多的环境。
对于每一个访问WIN2K3服务器的客户机都必须要求具有一个CAL,WIN2K3有两种许可证模式:Per Seat(每客户)和Per Server(每服务器)。
Per Seat:指对访问服务器的每客户机都必须有一个CAL,则客户机可以连接到任何数目的服务器。通常这种模式应用在一个网络具有多个服务器的情况下。
Per Server:指到服务器每一个并发(同时)连接,都需要有一个CAL,表示每一时刻服务器最大的并发连接数。通常这种模式应用在单个服务器且客户机数目相对固定的情况下。
注意:许可证模式可从每服务器转换为每客户机,不能从每客户机转换为每服务器模式。
微软官方已确认WINXPSP2再爆新漏洞
[ 2005/07/19 00:03 | by 雨炫 ]
2005/07/19 00:03 | by 雨炫 ]
微软承认正在为Windows XP Service Pack 2完整补丁包潜在的一个安全漏洞制作补丁。这一漏洞是被一名自称“badpack3t”的个人安全研究人员发现并公布于众的。而微软在事后作出了上述声明。
在SecurityProtocols.com的一片文章中,这名研究人员表示这是存在于XP SP2中的一个远程内核拒绝服务漏洞,当默认的SP2防火墙打开时就有可能出现。他说:“我已经和微软合作制作针对该问题的补丁。在今年5月4日我报告了此漏洞,自从那时起为微软就开始着手解决。微软告诉我补丁将于8月份发布。”
安全公司Secunia将这一漏洞的严重级别定为“中等”并确认文章中所说的SP2防火墙无法保护电脑不受此漏洞的威胁。这一发现在安全邮件列表上引起了激烈的讨论,许多专家声称该bug将导致执行远程代码。
SANS Internet Storm Center的问题专家Pedro Bueno说该漏洞存在于Windows“远程桌面”中,远程桌面可以让用户从其他办公司或在家中远程遥控电脑。微软发言人确认他们正在调查公众报告,但并未对该漏洞的严重性表示重视。
在SecurityProtocols.com的一片文章中,这名研究人员表示这是存在于XP SP2中的一个远程内核拒绝服务漏洞,当默认的SP2防火墙打开时就有可能出现。他说:“我已经和微软合作制作针对该问题的补丁。在今年5月4日我报告了此漏洞,自从那时起为微软就开始着手解决。微软告诉我补丁将于8月份发布。”
安全公司Secunia将这一漏洞的严重级别定为“中等”并确认文章中所说的SP2防火墙无法保护电脑不受此漏洞的威胁。这一发现在安全邮件列表上引起了激烈的讨论,许多专家声称该bug将导致执行远程代码。
SANS Internet Storm Center的问题专家Pedro Bueno说该漏洞存在于Windows“远程桌面”中,远程桌面可以让用户从其他办公司或在家中远程遥控电脑。微软发言人确认他们正在调查公众报告,但并未对该漏洞的严重性表示重视。
[知识库]附加码在网络安全中的作用
[ 2005/07/15 12:02 | by 雨炫 ]
2005/07/15 12:02 | by 雨炫 ]
什么是附加码?什么样的附加码是最安全的?
在计算机安全领域中,相信大家对穷举密码破解和字典密码破解这两个名词一定耳闻详熟了,对于一些黑客或准黑客来说,这是最常用的有效获得别人密码的方法。
在网络飞速发展的今天,网速已不在成为网络访问的瓶颈,在为人们上网提供更快的访问速度的同时也给黑客们提供了更广阔的发展空间,在线破解越来越大地威胁着网络安全。本文就谈谈在网络上,使用附加码的方法阻挡来自HTML页面提交的穷举的方法中的矛与盾。
如果你对网络有一些了解,在你上网的时候你应当被一些页面要求填写附加码的表单才能正常进入你的帐号。更进一步,如果你对安全有一些了解,你一定知道有专门的破解工具可以在线破解别人BBS帐号或在线邮件账号密码的工具,如大名鼎鼎的小榕之朔雪。那么附加码与朔雪类工具软件有什么联系呢?可以简单地说,附加码可以有效防止朔雪对你的攻击。
为什么附加码又有如此威力呢?我们先简单分析穷举的原理。穷举法攻击最重要的一个条件是:密码在攻击期间内不能变化。它总能在所有字母组合中通过不断地“试”直到成功的方法找到真正的密码。所以穷举法也可以叫排除法,和警察排除犯罪谦疑人差不多。那么,能不能在身份验证的时候加入动态的验证内容,使每一次身份验证时都输入不同的验证码来防止类似攻击呢?能!那就是附加码!附加码在WEB服务器上随机产生并记下来,再生成文字传给用户,用户照着手动输入提交,服务器对提交的附加码与记下来的附加码对比一下正不正确就完成了验证。因为每一次产生有附加码是随机的,所以朔雪就无能为力了。
但这也不是说有了附加码就高枕无忧了。那还得看你对附加码的认识和重视程度如何。
想一想,既然WEB服务器都把附加码传给了浏览器,哪为什么朔雪就不能把它读出来自动填上呢?理论上完全可以,只是朔雪没有那样做罢了。
哪不是附加码就没用了吗?也不是,下面我们再来看看什么样的附加码是最安全的。
一、 如果返回的附加码以文本形式返回。这是不管用的一种附加码。攻击者简单提取文本附加码自动填上就可以了。这种附加码对安全一点帮助都没有,反而加大了用户的输入负担。[顺便提一句:我看到有些网站的附加码输入框是密码类型的输入框,输入显示*号,想一想,附加码都显示出来了,还用密码类型的输入框有何用?这是对用户的一种愚弄!]
二、 以图片方式返回附加码。这才算是真正有效的附加码。因为图片是以点的方式而不是字符方式呈现给用户的,朔雪就不能直接读到附加码了。这种方法很有效。但世上的事物总是矛与盾的较量。攻击者还可以用图片识别技术识别图片上的字符,把图片字符还原为文本字符。这是完全可行的。那我们该如何防范呢?加大图片识别难度!
三、 返回加干扰的图片附加码。这才算是真正实用的附加码。如果我们加干扰就可以有效加大图片识别难度。有些网站的附加码是加了干扰点的,有些是变了色的字,等等不一而足。试想一下,如果别人花一秒钟才能识别出图片上的附加码,或者他的识别率不高,那穷举法不是就变得毫无实际意义了?对。但遗憾的是现实中,附加码的干扰要不是没有,要不是干扰强度不够。单纯地加干扰点或变色或变字符的大小等都是不够的。我作了一个测试小软件,它可以识别出现有的90%以上的不同形式的附加码,任何字体,任何字符,任何颜色,任何图片大小均可100%识别成功!可识别JPG,BMP,GIF三种流行格式图片,而我只花了两天功夫就完成了。我试过几个包括腾讯在内的大型网站,结果令人失望,100%的识别率让我大跌眼镜。根据我总结的经验,干扰这样加是最有效的:随机渐变色(包括文字和背景)+所有可打印字符+字符大小随机变化+位置不固定+象素行或列随机错位。这样的附加码要想要破解基本上是不可能了。但别把图片变得连人眼都认不出了。
另外,如果要有效防止在线穷举破解,采用帐户锁定办法是最最有效的一种方法,即在用户输错密码指定的次数后,冻结帐户一段时间,使在线破解失效。
在计算机安全领域中,相信大家对穷举密码破解和字典密码破解这两个名词一定耳闻详熟了,对于一些黑客或准黑客来说,这是最常用的有效获得别人密码的方法。
在网络飞速发展的今天,网速已不在成为网络访问的瓶颈,在为人们上网提供更快的访问速度的同时也给黑客们提供了更广阔的发展空间,在线破解越来越大地威胁着网络安全。本文就谈谈在网络上,使用附加码的方法阻挡来自HTML页面提交的穷举的方法中的矛与盾。
如果你对网络有一些了解,在你上网的时候你应当被一些页面要求填写附加码的表单才能正常进入你的帐号。更进一步,如果你对安全有一些了解,你一定知道有专门的破解工具可以在线破解别人BBS帐号或在线邮件账号密码的工具,如大名鼎鼎的小榕之朔雪。那么附加码与朔雪类工具软件有什么联系呢?可以简单地说,附加码可以有效防止朔雪对你的攻击。
为什么附加码又有如此威力呢?我们先简单分析穷举的原理。穷举法攻击最重要的一个条件是:密码在攻击期间内不能变化。它总能在所有字母组合中通过不断地“试”直到成功的方法找到真正的密码。所以穷举法也可以叫排除法,和警察排除犯罪谦疑人差不多。那么,能不能在身份验证的时候加入动态的验证内容,使每一次身份验证时都输入不同的验证码来防止类似攻击呢?能!那就是附加码!附加码在WEB服务器上随机产生并记下来,再生成文字传给用户,用户照着手动输入提交,服务器对提交的附加码与记下来的附加码对比一下正不正确就完成了验证。因为每一次产生有附加码是随机的,所以朔雪就无能为力了。
但这也不是说有了附加码就高枕无忧了。那还得看你对附加码的认识和重视程度如何。
想一想,既然WEB服务器都把附加码传给了浏览器,哪为什么朔雪就不能把它读出来自动填上呢?理论上完全可以,只是朔雪没有那样做罢了。
哪不是附加码就没用了吗?也不是,下面我们再来看看什么样的附加码是最安全的。
一、 如果返回的附加码以文本形式返回。这是不管用的一种附加码。攻击者简单提取文本附加码自动填上就可以了。这种附加码对安全一点帮助都没有,反而加大了用户的输入负担。[顺便提一句:我看到有些网站的附加码输入框是密码类型的输入框,输入显示*号,想一想,附加码都显示出来了,还用密码类型的输入框有何用?这是对用户的一种愚弄!]
二、 以图片方式返回附加码。这才算是真正有效的附加码。因为图片是以点的方式而不是字符方式呈现给用户的,朔雪就不能直接读到附加码了。这种方法很有效。但世上的事物总是矛与盾的较量。攻击者还可以用图片识别技术识别图片上的字符,把图片字符还原为文本字符。这是完全可行的。那我们该如何防范呢?加大图片识别难度!
三、 返回加干扰的图片附加码。这才算是真正实用的附加码。如果我们加干扰就可以有效加大图片识别难度。有些网站的附加码是加了干扰点的,有些是变了色的字,等等不一而足。试想一下,如果别人花一秒钟才能识别出图片上的附加码,或者他的识别率不高,那穷举法不是就变得毫无实际意义了?对。但遗憾的是现实中,附加码的干扰要不是没有,要不是干扰强度不够。单纯地加干扰点或变色或变字符的大小等都是不够的。我作了一个测试小软件,它可以识别出现有的90%以上的不同形式的附加码,任何字体,任何字符,任何颜色,任何图片大小均可100%识别成功!可识别JPG,BMP,GIF三种流行格式图片,而我只花了两天功夫就完成了。我试过几个包括腾讯在内的大型网站,结果令人失望,100%的识别率让我大跌眼镜。根据我总结的经验,干扰这样加是最有效的:随机渐变色(包括文字和背景)+所有可打印字符+字符大小随机变化+位置不固定+象素行或列随机错位。这样的附加码要想要破解基本上是不可能了。但别把图片变得连人眼都认不出了。
另外,如果要有效防止在线穷举破解,采用帐户锁定办法是最最有效的一种方法,即在用户输错密码指定的次数后,冻结帐户一段时间,使在线破解失效。
[知识库]Windows Server 系列各版本简介与区别
[ 2005/07/12 03:48 | by 雨炫 ]
2005/07/12 03:48 | by 雨炫 ]
Windows Server 2003 Web
Windows Server 2003 Web版是单目的的Web服务器,专为需要以经济的方式建立及配置Web页、Web站点及Web服务的机构设计。它为 Internet服务提供商及想致力于前端 Web服务器的组织提供了一种经济且高效的Web服务器操作系统。Windows Server 2003 Web 版是专门用于 Web 服务器而构建,它提供了 Windows 服务器操作系统的下一代 Web 结构功能。通过包含 Internet Information Services (IIS) 6.0、 Microsoft ASP.NET及 Microsoft .NET 框架提供了丰富的 Web服务环境。
Windows Server 2003 Web版提供了以下优点:
为Intranet及Internet站点或网络集群主机提供了丰富的网络基本构架能力,以及N-tier应用配置—包括在Internet Information Services (IIS) 6.0、 Microsoft ASP.NET和Microsoft .NET框架上的改善。
单任务的网络服务功能可支持对称多处理器(SMP)、2 GB RAM、10个会话消息块(SMB)连接到网络。
下一代即将被应用的网络服务器产品应该是极具竞争价格的、经济的,能够适应各种大中小型企业的需要,迅速帮助他们建立并配置网页、网站及网络服务。
Windows Server 2003家族中的每一个成员,Windows Server 2003 Web版建立在工业标准的基础上,使企业能够以此扩展现存的网络应用,并快捷地开发新的网络应用。网络开发人员不仅能够建立网页,而且网络服务能够与应用于不同标准界面平台的用户进行沟通,如XML、SOAP、WSDL及UDDI。这种应用开发使得企业提高了生产效率,操作更灵活,增加了更多商务解决方案机会。
总结
Windows Server 2003 Web 版是专为用作 Web 服务器而设计的,它提供了 Windows 服务器操作系统的下一代 Web 结构的功能。ISP 和其他仅需要单独的 Web 功能的用户将从这种易于部署和管理的低成本操作系统中受益。Windows Server 2003 Web 版集成了 ASP.NET 和 .NET 框架,从而使开发人员可以快速生成并部署 XML Web 服务和应用程序。
Windows Server 2003 Standard Edition
Windows Server 2003 Standard Edition 针对部门级标准工作负载而设计,提供智能文件和打印机共享、更安全的 Internet 连接、集中式桌面策略管理以及将员工、合作伙伴和客户连接在一起的 Web 解决方案。Windows Server 2003 Standard Edition 提供很高的可靠性、可伸缩性和安全性。
在该版本中
Windows Server 2003 Standard Edition 采用最好的 Windows 2000 Server 技术,使部署、管理和使用更加容易。结果是产生高效的操作系统,更加安全可靠、可用性和可伸缩性更高。
在较高的级别,Windows Server 2003 Standard Edition 提供下列支持:
• 高级联网功能,例如 Internet 身份验证服务 (IAS)、网桥功能和 Internet 连接共享 (ICS)。
• 四路对称多重处理 (SMP)。
• 4 GB 内存。
如果客户需要最高的可用性和可伸缩性,应考虑使用 Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition。
Windows Server 2003 Enterprise Edition
在该版本中
Windows Server 2003 Enterprise Edition 与 Windows Server 2003 Standard Edition 的主要区别在于:Windows Server 2003 Enterprise Edition 支持高性能服务器,并且可以群集服务器,以便处理更大的负荷。通过这些功能实现了可靠性,有助于确保系统即使在出现问题时仍可用。
在较高的级别,Windows Server 2003 Enterprise Edition 提供下列支持:
• 八路对称多重处理 (SMP) 要提高服务器的性能和能力,可以添加处理器,这种提高网络能力的方法成为“向上扩展”。通过增强对 SMP 的支持,可以添加协同工作的处理器,即多处理器服务器。Windows Server 2003 Enterprise Edition 在一个系统或分区中最多支持八个处理器。
• 八节点群集 只有在 Windows 2003 Enterprise Edition 和 Windows 2003 Datacenter Edition 中才支持最多八个节点的服务器群集。
• 最高 32 GB 的内存 通过添加内存,计算机可以同时处理更多的信息。Windows Server 2003 Enterprise Edition 的内存能力得到增强,最多可以将内存增加到 32 GB,供服务器处理使用。
Windows Server 2003 Datacenter Edition
概述
Windows Server 2003 Datacenter Edition 为了实现最高可伸缩性和可靠性而设计,支持数据库的关键业务解决方案、企业资源计划软件、大量实时事务处理和服务器合并。Windows Server 2003 Datacenter Edition 通过原始设备制造商 (OEM) 合作伙伴提供 32 位和 64 位两个版本。
除了通过常见的 Microsoft 渠道提供支持之外,Windows Server 2003 Datacenter Edition 的客户还可以加入 Windows 数据中心高可用性计划。该计划提供由 Microsoft 以及合格的数据中心服务提供商(例如 OEM)开发的集成硬件、软件和服务产品。
Windows Server 2003 Datacenter Edition 支持下列功能:
• 32 路对称多重处理。有关 32 位以上处理器的支持,请参阅用于基于 Itanium 的 64 位系统的 Windows Server 2003 Datacenter Edition SP1。
• 八节点群集。
• 64 GB 内存。有关 64 GB 以上的内存支持,请参阅用于基于 Itanium 的 64 位系统的 Windows Server 2003 Datacenter Edition SP1 概述或 Windows Server 2003 Datacenter x64 Edition。
• 非一致内存体系结构 (NUMA)。
Windows Server 2003 Web版是单目的的Web服务器,专为需要以经济的方式建立及配置Web页、Web站点及Web服务的机构设计。它为 Internet服务提供商及想致力于前端 Web服务器的组织提供了一种经济且高效的Web服务器操作系统。Windows Server 2003 Web 版是专门用于 Web 服务器而构建,它提供了 Windows 服务器操作系统的下一代 Web 结构功能。通过包含 Internet Information Services (IIS) 6.0、 Microsoft ASP.NET及 Microsoft .NET 框架提供了丰富的 Web服务环境。
Windows Server 2003 Web版提供了以下优点:
为Intranet及Internet站点或网络集群主机提供了丰富的网络基本构架能力,以及N-tier应用配置—包括在Internet Information Services (IIS) 6.0、 Microsoft ASP.NET和Microsoft .NET框架上的改善。
单任务的网络服务功能可支持对称多处理器(SMP)、2 GB RAM、10个会话消息块(SMB)连接到网络。
下一代即将被应用的网络服务器产品应该是极具竞争价格的、经济的,能够适应各种大中小型企业的需要,迅速帮助他们建立并配置网页、网站及网络服务。
Windows Server 2003家族中的每一个成员,Windows Server 2003 Web版建立在工业标准的基础上,使企业能够以此扩展现存的网络应用,并快捷地开发新的网络应用。网络开发人员不仅能够建立网页,而且网络服务能够与应用于不同标准界面平台的用户进行沟通,如XML、SOAP、WSDL及UDDI。这种应用开发使得企业提高了生产效率,操作更灵活,增加了更多商务解决方案机会。
总结
Windows Server 2003 Web 版是专为用作 Web 服务器而设计的,它提供了 Windows 服务器操作系统的下一代 Web 结构的功能。ISP 和其他仅需要单独的 Web 功能的用户将从这种易于部署和管理的低成本操作系统中受益。Windows Server 2003 Web 版集成了 ASP.NET 和 .NET 框架,从而使开发人员可以快速生成并部署 XML Web 服务和应用程序。
Windows Server 2003 Standard Edition
Windows Server 2003 Standard Edition 针对部门级标准工作负载而设计,提供智能文件和打印机共享、更安全的 Internet 连接、集中式桌面策略管理以及将员工、合作伙伴和客户连接在一起的 Web 解决方案。Windows Server 2003 Standard Edition 提供很高的可靠性、可伸缩性和安全性。
在该版本中
Windows Server 2003 Standard Edition 采用最好的 Windows 2000 Server 技术,使部署、管理和使用更加容易。结果是产生高效的操作系统,更加安全可靠、可用性和可伸缩性更高。
在较高的级别,Windows Server 2003 Standard Edition 提供下列支持:
• 高级联网功能,例如 Internet 身份验证服务 (IAS)、网桥功能和 Internet 连接共享 (ICS)。
• 四路对称多重处理 (SMP)。
• 4 GB 内存。
如果客户需要最高的可用性和可伸缩性,应考虑使用 Windows Server 2003 Enterprise Edition 或 Windows Server 2003 Datacenter Edition。
Windows Server 2003 Enterprise Edition
在该版本中
Windows Server 2003 Enterprise Edition 与 Windows Server 2003 Standard Edition 的主要区别在于:Windows Server 2003 Enterprise Edition 支持高性能服务器,并且可以群集服务器,以便处理更大的负荷。通过这些功能实现了可靠性,有助于确保系统即使在出现问题时仍可用。
在较高的级别,Windows Server 2003 Enterprise Edition 提供下列支持:
• 八路对称多重处理 (SMP) 要提高服务器的性能和能力,可以添加处理器,这种提高网络能力的方法成为“向上扩展”。通过增强对 SMP 的支持,可以添加协同工作的处理器,即多处理器服务器。Windows Server 2003 Enterprise Edition 在一个系统或分区中最多支持八个处理器。
• 八节点群集 只有在 Windows 2003 Enterprise Edition 和 Windows 2003 Datacenter Edition 中才支持最多八个节点的服务器群集。
• 最高 32 GB 的内存 通过添加内存,计算机可以同时处理更多的信息。Windows Server 2003 Enterprise Edition 的内存能力得到增强,最多可以将内存增加到 32 GB,供服务器处理使用。
Windows Server 2003 Datacenter Edition
概述
Windows Server 2003 Datacenter Edition 为了实现最高可伸缩性和可靠性而设计,支持数据库的关键业务解决方案、企业资源计划软件、大量实时事务处理和服务器合并。Windows Server 2003 Datacenter Edition 通过原始设备制造商 (OEM) 合作伙伴提供 32 位和 64 位两个版本。
除了通过常见的 Microsoft 渠道提供支持之外,Windows Server 2003 Datacenter Edition 的客户还可以加入 Windows 数据中心高可用性计划。该计划提供由 Microsoft 以及合格的数据中心服务提供商(例如 OEM)开发的集成硬件、软件和服务产品。
Windows Server 2003 Datacenter Edition 支持下列功能:
• 32 路对称多重处理。有关 32 位以上处理器的支持,请参阅用于基于 Itanium 的 64 位系统的 Windows Server 2003 Datacenter Edition SP1。
• 八节点群集。
• 64 GB 内存。有关 64 GB 以上的内存支持,请参阅用于基于 Itanium 的 64 位系统的 Windows Server 2003 Datacenter Edition SP1 概述或 Windows Server 2003 Datacenter x64 Edition。
• 非一致内存体系结构 (NUMA)。
