标签： 服务器证书

   不少网友在登录邮箱或博客时有点选“记住密码”这类功能的习惯。但最近IE浏览器上的一个安全漏洞，使得用户这一习惯成为威胁邮箱、博客等账户安全的隐患。该漏洞可在用户进行网页上的鼠标拖拽操作及使用IE浏览器访问恶意网页两个条件下受到攻击。因此在漏洞修复之前，IE浏览器用户需避免在网页上进行拖拽操作，同时尽量访问那些采用SSL证书（服务器证书）等防护措施的高安全可信网站。

    近日，国外研究人员发现IE浏览器上存在着一个名为cookiejacking的安全漏洞，该漏洞易导致用户帐号和密码的泄露。据安全专家介绍，cookiejacking漏洞被攻击有两个条件：其一，在网页中进行鼠标拖拽操作；其二，通过IE浏览器打开恶意网页。

    一旦漏洞攻击成功，黑客将得到存储在浏览器文件中的cookie。由于许多用户在登录微博、邮箱等帐号时会选择“记住密码”，cookie失窃就意味着这些帐号会遭到黑客窃取。

    邮箱遭窃后，用户以此邮箱为登录方式的电子商务网站会员、SNS社区等也会受到波及。而微博账号失窃的损失可能更加巨大——一些名人、企业等拥有上万粉丝的微博在互联网具有不小的影响力，因而价值不菲。有安全专家分析“尽管IE新漏洞被攻击的限制条件较严，不会被大规模利用，但仍有可能威胁到一些特殊帐号的安全，比如微博名人、社交网站的好友等，甚至有些人会在网上雇佣黑客破解帐号密码，cookiejacking漏洞还是会带来一定隐患。”

    那么在漏洞修复之前用户该如何保护自己的账号安全呢？针对cookiejacking漏洞被攻击的两个条件，网友可采用如下建议。

    为了诱使网用户在页中进行鼠标拖拽操作，黑客通常会设计一个网页游戏，比如将一个篮球移动到篮筐里，引导用户进行拖拽操作，因此IE浏览器用户在该漏洞修复前只需避免此类操作即可有效防止攻击，而对于恶意网页的防范则需网友更加谨慎。

    目前，很多恶意网页不仅靠大量发送恶意链接，利用好奇心诱使网友访问，其以假乱真的页面也是导致网友上当的重要原因。因此，除了不随意点击可疑链接外，快速辨别网站真伪在防止钓鱼网站、挂马网站等恶意网页侵害方面更加重要，比如查看网站SSL证书（服务器证书）信息。

    大多数知名网站为保护用户在线信息安全、建立可信网站形象，会选择部署SSL证书（服务器证书）。SSL证书在实现信息加密传输的同时，可为访问者提供大量的验证信息，帮助用户快速确认网站真实身份。

    部属SSL证书（服务器证书）的网站会表现出一些明显的安全特征：地址栏以“https”开头，地址栏右侧自动显示金色锁形标记且点击后可供用户查看网站服务器证书及颁发机构信息。高端的VeriSign SSL证书还具有每日恶意软件扫描及网站信任签章功能，这些功能可有效监测网页上挂马等恶意攻击行为并为访问者提供更多更详细的验证信息。用户通过了解这些信息可快速判断网站是否真实可信，让那些善于仿造的钓鱼网页无所遁形。

    实际上，由于VeriSign SSL证书的优越品质和品牌知名度，大部分网站都选择了VeriSign，全球上百万台服务器部署了VeriSign SSL证书。在国内，招商银行、支付宝、卓越网等上百家知名网站也通过VeriSign中国合作伙伴天威诚信获得了VeriSign服务器证书产品。天威诚信（iTrusChina）作为工信部批准的合法第三方电子认证服务机构，专业从事数字认证等技术和产品服务，本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。

    掌握这些与辨别网站真伪有关的安全常识，能有效避免因访问恶意网站而造成的漏洞攻击。学会识别可信网站，不仅能在此次IE浏览器漏洞修复前加强账号安全，在今后的上网过程中也同样适用。

    前不久，被曝光的代号为“黑桃J”的大型木马团伙已攻陷33000余家网站，给未安装安全软件或不了解SSL证书（服务器证书）等网络安全技术的网友造成不小损失。现在各黑客病毒又将目标转向了访问量逐渐增加的高校网站，请各位考生家长及关注招生资讯的网友注意安全防护。

    日前，木马病毒趁高考之际再度侵袭各大高校网站，大批高校网站在高考首日被埋下木马病毒，给查询招生资讯的访问者设下陷阱。

    数据显示，半月前高校网站挂马数量相比前期增长了60%以上，北京师范大学、同济大学、浙江理工大学等122所高校网站遭到黑客入侵，其中一半的挂马网站与高考相关。 仅6月5日一天，受挂马和黑链影响的高校网站就超过百家，涉及页面上千个，高考前后成为高校网站被黑客挂马的重灾时段。

    以高校众多的武汉地区为例，中国地质大学长城学院外语系网站，湖北师范学院，湖北工业大学，武汉大学深圳研究院、深圳产学研基地、深圳校友会等网站均被发现恶意挂马行为。

    一旦访问了被挂马的高校网站，就很可能会遭到恶意木马的感染进而受到攻击者的远程控制，造成计算机用户系统中重要数据文件、网上交易账户和密码等敏感信息被窃取。

    各位考生用户或招生资讯等相关信息的访问者应提高网络安全防范意识，及时使用防病毒软件，降低木马感染计算机的可能。同时，希望各大专院校能做好网站服务器安全建设工作，可借鉴支付宝、卓越等网站，在其登陆注册等涉及用户个人信息的网页部署SSL证书（服务器证书）并放置网站信任签章，重点对涉及招考相关的内外网信息系统进行安全防护工作。

    SSL证书可通过SSL技术实现信息加密传输，防止信息传输过程中遭到窃取、篡改。其中更为高端的VeriSign SSL证书，可提供每日恶意软件扫描和VeriSign信任签章功能，对网页挂马行为进行严格监测的同时标明网站真实身份，杜绝挂马、钓鱼等攻击行为。

    支付宝、卓越网等国内知名网站为确保用户在线信息安全、建立网站可信形象，均通过工信部批准的合法第三方电子认证服务机构天威诚信部署了全球最知名的VeriSign SSL证书，在维护用户信息安全方面效果显著。当然，安全的网络环境并非一日可成，最近各位关注招生资讯的网友还需依靠安全软件抵抗木马侵害，建议各高校网站尽快加强网站安全防护。

    端午节选好了旅行地点却买不到票，大热天奔波于吵杂的车站售票点着实让人起急。一位网友表示：“想起车站人山人海就怵头，以前买票还被小偷趁乱掏了手机，为了张票不够闹心的。”相比之下，选择网上订票的朋友就很滋润，免了排队苦等，宅在家里也能安排行程，更谈不上小偷趁火打劫。话虽如此，可网上订票的朋友千万别大意，省时省力自然是好事，但网络钓鱼欺诈比现实中的小偷更加防不胜防。若不仔细区分网站细节或不懂SSL证书（服务器证书）等安全常识，钓鱼欺诈的魔手很可能会伸进您的腰包。

    5月底，家住重庆的李女士在网上订了张机票，打算6月4号启程去看望朋友。可李女士通过银行把票款汇出后，对方打电话称提供的身份证号有误，要再打一次钱另外买张机票之后办理退钱，这时李女士感觉事有蹊跷。

    据李女士介绍，她是在一家名为“58同城”的票务网站上购买的机票。谨慎起见，李女士特意查看了网站的一些细节，发现页面醒目位置不仅有客服电话，还可通过查询按钮到看自己的订单信息。李女士觉得这家网站没什么可疑，所以即便在汇款时看到对方是私人账户，也没有引起她的怀疑。“钱汇了，客服电话却打不通。”李小姐说，几个小时后，客服打电话过来，号码比网站上的多了一个0。“对方是个男的，说我的身份证号输错了，出不了票，要再打一次钱，重新买，才能退之前的钱。”

    李女士感觉不对，赶忙让朋友帮忙拨打了“58同城”全国客服热线。经询问发现“58同城”根本没有此前李女士拨打过的客服电话。此时，李女士印证了心中的担心，不禁大呼上当。

    事后，李女士再次打开了自己订票的那个网站，发现网页左上角的LOGO虽然是“58同城”但网址却是www.huajingsh××.tk 。再次拨打“58同城”官方的客服热线，工作人员称，这个域名并不是他们的网址，李女士遇到的很可能是一家冒充“58同城”的钓鱼网站。

像李女士一样遭遇钓鱼欺诈的朋友还有很多，在线订票、团购、网上银行等涉及用户信息和资金账户的网站都是钓鱼欺诈冒充的重点对象。您不仅需要及时更新电脑的安全软件以加强对木马等恶意软件的防护，还要掌握判断可信网站的安全常识。

    目前，识别可信网站最为直观有效的方法之一是查看网站SSL证书（服务器证书）相关信息。

    网站部署SSL证书后，可通过SSL技术实现信息加密传输，防止网银密码等敏感信息在传输过程中遭到窃取或篡改，有效保护用户信息安全。此类网站的主要特征是：地址栏以”https”开头；地址栏右侧自动显示金色锁形标记，点击后可查看服务器证书和颁发机构信息。网友可以通过这两个安全特征来判断网站是否可信，有效区分真假难辨的钓鱼网站。此外，像全球最知名的VeriSign扩展验证EV SSL证书还提供绿色地址栏和VeriSign信任签章功能，在防治钓鱼网站和木马等恶意攻击方面更具针对性。

    招商银行、支付宝、卓越网、携程旅行网等上百家知名网站均通过SSL证书维护其网站可信形象，这些网站使用的SSL证书就是上面提到的VeriSign证书产品。

    VeriSign源于美国，是全球数字认证领域最为知名的品牌，已受到世界各地网站的广泛认可。在中国，VeriSign与其中国合作伙伴天威诚信合作超过10年，为国内众多知名企业提供服务，因而国内绝大多数VeriSign SSL证书都来自天威诚信。天威诚信（iTrusChina）作为工信部批准的合法第三方电子认证服务机构，专业从事数字认证等技术和产品服务，本土化的专业服务团队帮助国内网站轻松获得世界级安全服务。由于VeriSign与天威诚信（iTrusChina）是判断可信网站过程中时长涉及到的名称，所以有必要了解其意义。

    希望以上这些可信网站方面的安全常识，能帮助大家辨认可信网站身份，享受网络便利的同时，将钓鱼欺诈拒之门外。

   时下互联网的热门内容就像是度假胜地，让人着迷、充满期待，但总有大批钓鱼网站瞄准慕名而来且不明真相的人群，打着“当地特产”“特色风情”等旗号赚个盆满钵溢——就像不法商贩一样，但糟糕的是钓鱼网站不仅卖“山寨货”，更直接威胁用户资金账户等信息安全，手段愈发“高明”。

 日前，国内知名选秀节目《中国达人秀》就被不法分子盯上，网络上出现了仿真度极高的钓鱼网站。由于国内的选秀节目受到大量观众追捧，利用节目名义仿制选秀节目网站成了不法分子捞取不义之财的机会，也对网友形成了严重的安全威胁。

    此类事件并非少数，有数据统计，今年6月已处理钓鱼网站4312个，同比5月份上升16%左右。而且从特征来看，钓鱼网站仿真度越来越高，已从单一的窃取品牌名义，逐渐演化为对真实网站的高度仿冒，其中主要涉及网站页面、功能及域名的仿冒，让普通用户难以区别。

    除了视觉上的伪装，不法分子已经越来越多的利用时下热门节目或者某热门行业中的品牌，窃取名义，进行克隆、仿制出和官网相同的网站，更有甚者通过搜索引擎优化技术将钓鱼网站在搜索结果中的位置提前。进而通过钓鱼网站向用户发布一些“中奖”或“打折”信息，诱惑网友进行支付操作。一旦网友进行支付操作，钓鱼网站将迅速窃取网友的信用卡、网银账号、联系方式等个人信息，侵害网友资金安全。

    因此，喜爱上网尤其是喜爱网上购物等常涉及支付操作的网友，应强化安全意识，除了安装杀毒软件等防护软件外，应掌握一些鉴别钓鱼网站的方法，以加强个人信息安全。

    目前，防范网站假冒最为有效的技术手段是部署SSL证书（服务器证书），因此国内各大银行、基金证券、电子商务、第三方支付等涉及用户敏感信息在线提交的网站均已采用这一技术。

    细心的网友也许早已注意，在卓越、凡客、携程等网站用户登录注册页面的地址栏是以“https”开头（比一般的“http”多了一个“s”），且在地址栏右侧出现了金色锁形标记。如果网友点击这一标记，将会看到服务器证书以及颁发机构的详实信息，通过验证网站真实身份确认网站的真实性。而工商银行、招商银行等网站的地址栏不仅出现上述特征，还会变为绿色——这是EV SSL证书独有的绿色地址栏功能，用醒目的颜色变化提示用户当前网站是否可信（绿色代表安全，红色代表可疑），破解钓鱼网站的障眼法。

    不仅如此，这些显著的安全特征还包含了一则信息：当前网站已经通过SSL技术实现了高强度的信息加密通道，在线提交的信息数据在传输过程中将不被窃取或篡改，大大提升了用户个人信息安全。

    当前全球最知名也是应用最广泛的SSL证书品牌是VeriSign，已有超过百万台服务器部署了其SSL证书产品。VeriSign品牌源于美国，但国内权威认证机构天威诚信与其逾11年的合作中，已为中国许多知名网站提供了安全有效的网站可信服务。