分类
知识中心

如何为silverlight xap包进行数字签名

为什么要对silverlight xap包进行数字签名

silverlight OOB模式以最高权限运行时,有安全限制。如需要让本机安装的程序自动升级,则需xap包已经进行过数字签名。否则只能让用户手动删除再重新安装的方式进行升级。

使用什么格式数字签名证书进行签名

对xap包签名需要pfx数字签名证书文件。

如何制作pfx证书文件

打卡Visual Studio Tools里面的Visual Studio Command Prompt ,然后运行以下命令。

makecert.exe -r -n “CN=chuifeng” -b 01/01/2009 -e 12/31/2019 -sv c:\Demo\CbipSetupKey.pvk c:\Demo\CbipSetupKey.cer

cert2spc.exe c:\Demo\CbipSetupKey.cer c:\Demo\CbipSetupKey.spc

pvkimprt -pfx c:\Demo\CbipSetupKey.spc c:\Demo\CbipSetupKey.pvk

说明:pvkimprt.exe是证书导出工具。需要从微软网站下载:http://download.microsoft.com/download/vba50/Utility/1.0/NT5/EN-US/pvkimprt.exe。

cert2spc.exe测试工具通过一个或多个 X.509 证书创建发行者证书 (SPC)。Cert2spc.exe 仅用于测试目的。可以从证书颁发机构(如 VeriSign )获得有效的 SPC。

对xap包进行数字签名

右击silverlight项目Properties>Signing>select fron file

分类
安全播报

“欺诈短信”手机病毒来袭 安全隐患再起波澜

日前,安全管家查杀了一款名为3D player的软件,该软件被嵌入smsfraud病毒,此系列病毒一般会嵌入在知名软件中,一旦用户误下载,该恶意软件就会读取手机联系人,发送欺诈短信,骗取手机用户亲友钱财,存在诱骗欺诈用户的风险。

木马行为分析:

该木马伪装成知名软件诱导用户下载,一旦手机下载该软件,它就会侵入您的通讯系统,窃取用户资料,发送诈骗信息。读取手机通讯录中的联系人;读取SIM卡中的联系人, 分别向读取的联系人发送欺诈短信。

安全管家提醒:

年末大家在注意防盗的同时也要管好自己的手机,不要给骗子可乘之机,一定要谨慎小心。

分类
安全播报

安全谈之四大值得关注的“网站安全问题”

从目前全世界范围内,Web 安全已经成为最为互联网信息安全整体中最重要的问题之一。

相关统计表明,全国范围内,平均每分钟就有将近50个网站遭受黑客攻击,网站管理员或各级企事业单位信息主管部门目前最棘手的就是网站的安全性问题。CNCERT 统计报表显示,针对政府行业内的这种趋势愈来愈明显。

而我国网站安全统一监控平台目前的网站整体安全性在全世界范围内与发达国家相比还存在较大差距。从近几年的权威统计报告来看,我国已经成为遭受攻击的重灾区,尤其是木马危害造成僵尸主机数量逐年上升,已经发展成世界最大规模的僵尸网络。在众多安全问题中,安全专家认为以下四个方面尤其应引起足够的重视:

1、网站上出现恶意的非法信息;

2、网站遭受大量挂马攻击(通过网站挂马传播木马占到木马传播总量的90%以上);

3、网站的漏洞百出,遭受恶意篡改;

4、缺少集中监控措施,网站安全水平参差不齐。

安全专家提醒网民在上网时,一定要注意分辨网站的安全性,以下几点是安全网站的标志:

1、网址开头为“https”;

2、网站地址栏为绿色地址栏

3、地址栏右侧有小金锁标志;

这些都是钓鱼网站无法仿冒的安全网站标志。

分类
知识中心

用SSL证书解决假冒钓鱼网站

随着网络贸易的飞速发展,不仅让我们的生活发生了很大的改变,也给了很多不法分子利用钓鱼网站诈骗广大网民的钱财,要防止网站假冒的发生,需要在许多方面采取安全防范措施。有的需从管理方面着手,如域名注册的严格管理、实名制手机、安全防范教育等;有的需从技术方面入手,如确保域名解析系统的安全等。除了这些措施外,SSL服务器证书是目前防止网站假冒最有效的技术手段。

服务器证书是一个标识网站身份的电子身份凭证(electronic credential),它采用密码技术构造。安装了服务器证书的网站通过使用Secure Socket Layer(SSL)安全协议进行身份鉴别和数据保密传送,因此,服务器证书又称为SSL服务器证书,或SSL证书

这里的证书,又称为数字证书(digital certificate),是公开密钥基础设施(Public Key Infrastructure,PKI)安全技术和服务体系的一个重要要素,它由一个被称为证书认证机构(Certification Authority,CA)的独立第三方签发,用于标识最终实体的身份。这里的实体,可以是人、组织或设备(如Web服务器)。

SSL协议,又称为Transport Layer Security(TLS)协议,它基于密码学原理设计;在用户通过浏览器访问一个Web网站时,SSL协议可以基于数字证书进行单向(仅鉴别网站身份)或双向(同时鉴别用户和网站身份)的身份鉴别,并通过构建安全的加密通道,保证数据在互联网上传送时不被泄露、窃取。

在有了服务器证书后,一个用户可以根据如下两点来判断这个网站是否真实可信:1)这个网站是否安装了服务器证书?2)如果安装了,这个网站的服务证书是否可信和有效?

判断一个网站是否安装了服务器证书,可以看这个网站是否可以通过https:\\xxx形式的URL(Uniform Resource Locator)访问(URL,即是输入到浏览器地址栏的网站访问地址及访问方法信息),例如,https:\\www.icbc.com.cn。若是,则说明网站安装了服务器证书;否则,就没有。没有安装服务器证书的网站是通过http:\\xxx形式的URL访问的,例如,http:\\www.icbc.com.cn。二者的差别是,https比http多一个“s”。

即便网站安装了服务器证书,如果服务器证书不可信或无效,则在用户访问网站时,浏览器会弹出一个警告窗口,提示用户,比如该证书的签名无效,或者证书不是由一个可信的证书认证机构(CA)签发(即证书不可信),又或者该证书已过了有效期、证书上的主机域名与网站的域名不相符等等;如果证书可信并有效,则浏览器不会弹出警告信息。若证书可信并有效,则用户可以进一步通过点击浏览器右下角的黄色小锁,或地址  栏右边的黄色小锁,查看证书的详细信息(但用户通常不会这么做)。

如果网站安装了服务器证书,且证书可信并有效,那么,这个网站就基本上可以确定是真实可信的了。

分类
网络新闻

2013年网络安全呈现五大趋势

赛门铁克日前发布了2013年全球网络安全趋势预测,以帮助广大企业用户和消费者了解最新的网络安全动向,提高网络安全意识。

1.网络冲突或成常态

2013年及未来的网络世界中,不同组织或个人之间的网络冲突或将成为一种常态。2013年的网络形势更类似于一场“比武大会”,不同组织和团体都可能会通过网络攻击来展示其“实力”并“发布信息”。

此外,那些针对个人和非政府类组织的攻击会越来越多,例如政治事件的拥护者以及发生冲突的少数群体成员。随着某些个人或企业将那些活跃的黑客组织聚集起来,这种针对性的攻击会越来越多。

2.勒索软件(Ransomware)成为新的网络欺诈手段

随着“假冒防病毒软件”这一犯罪产业的消退,一种威力更强大的新模式——“勒索软件”正在涌现。勒索软件不仅仅是欺骗受害者那么简单,它还会对受害者实施威胁与恐吓。这种模式之前也曾出现过,但受到了与现实生活中的绑架案相同的限制——没有一个收钱的好方法。而如今,网络罪犯似乎已经找到了解决该问题的方法,那就是使用在线支付的方式。如今,网络罪犯可以使用恐吓而非欺骗的方式从受害者那里获取非法收益。

3.移动广告软件搅乱网络安全市场

移动广告软件(或称“Madware”)会严重影响用户体验,并可能会将用户的当前位置、联系人信息和设备信息等私人信息泄露给网络罪犯。Madware会在用户下载某个应用程序时潜入用户的设备中,然后向通知栏发送弹出警告或增加图标、修改浏览器设置,甚至收集个人信息等。

由于网络广告允许以合法的方式收集设备信息,进而通过这些信息来定位目标用户群,因此我们预测Madware的使用将呈增长态势,因为有越来越多的公司希望能够通过移动广告来实现营收增长。然而,其中难免也包括那些针对货币化的“免费”移动应用程序实施的潜在恶意攻击。

4.社交网络货币化引发新威胁

作为消费者,我们对社交媒体给予了高度的信任。随着某些网络通过允许用户购买并派发实体礼物,进而开始探索新的方式来实现平台的货币化,日益庞大的网络消费群体也为网络罪犯开展新一轮攻击奠定了基础。

赛门铁克预计,未来恶意软件攻击数量将呈上升趋势,主要表现为在社交网络上盗取支付凭证或诱使用户提供支付信息,及其他个人信息等具有潜在价值的信息。这可能包括递送虚假礼物的通知以及邮件信息等,以得到受害者的家庭住址及其他个人信息。尽管这些非财务方面的信息看似无害,但网络罪犯会将这些信息连同已有的用户其他信息一起兜售给他人,进而建立起一个有关受害者的“档案”,然后利用这些信息侵害受害者的其他账户。

5.随着用户迈向移动环境和云端,攻击者也如影随形

攻击者对用户总是如影随形,当用户开始使用移动设备和云服务时,攻击者也同样来到这些领域安营扎寨了。移动平台和云服务极有可能在2013年成为网络攻击的主要目标。

此外,随着未受管理的移动设备频繁进出企业网络并收集企业信息(而这些信息后续往往会被存储到其他云中),针对这些移动设备中的数据进行的破坏和针对性攻击正在增加。

2013年,移动计算的广泛应用会不断挑战SSL移动基础设施的极限,同时这也凸显出一个核心问题:移动浏览器上的网络活动不受SSL证书处理的限制。而用户又经常使用一些不安全的移动应用程序,这些应用程序往往会带来其他潜在风险,进而使这一问题更加严重。