回帖

注意: 该帖子在版主未审核以前将不会显示。

会员名称:
电子邮件:
标题:
帖子图案:
附加:
(增加附件)
可使用的文件类型: fgb, rar, gif, jpg, pdf, png, txt, zip
限制: 3 每贴
请注意,任何上传的文件在版主审核前都将不会显示。
验证码:
《九评共产党》一共有几评?(请用阿拉伯数字回答):

快速键: 按下ALT+S可以直接发帖, 按下ALT+R则可以预览帖子.


帖子总览

作者: iFree 发表时间: 二月 01, 2022, 08:37:47 pm 新站内短信

点赞

作者: trump supporter 发表时间: 十月 12, 2021, 12:35:41 am

长知识了,感谢

作者: 45789 发表时间: 八月 18, 2021, 10:15:49 pm

翻墙网站推荐:

https://www.rfa.org/cantonese/firewall_features    自由亚洲翻墙知识

https://www.voachinese.com/p/4889.html             美国之音上网办法

https://wiki-tiandixing.org                        法轮功 天地行文库

https://tiandixing.org                             法轮功 天地行技术论坛

https://dongtaiwang.com/loc/phome.php?lang=cn       法轮功  动态网

https://www.minghui.org/mh/fenlei/298/              法轮功  明慧网


https://www.psiphon3.com/zh/index.html             赛风VPN

作者: 解放时报官方工作人员 发表时间: 六月 19, 2020, 01:19:08 am

告诉你,国家安全部和网监无处不在,警方到处都有。你用的内核软件都会被监控监听。不管中国也好,美国也好,哪个都是一样的 。除非是像我们的github开源项目,可以看到代码进行检查。否则你别想放心的用了。
但是局域网也不安全,比如简单密码 pin漏洞攻击 社会工程学 无线监听  dns劫持 arp劫持 包括有一些路由器或安全网关可以直接监控劫持。你懂的 还有些泄露个人信息的社工库,密码批量生成器。我的邮箱从来不用很长时间。密码绝对不在个人信息全部乱打,字母加字符加符号混起来区分大小写。

作者: 解放时报官方工作人员 发表时间: 六月 19, 2020, 01:10:39 am

比如DNS污染 就是用udp不可靠,所以可以随意修改。http是不加密的协议,ssl就比较安全。这个基本的网络协议和机制牛,你不知道的还怎么解决问题?

作者: 解放时报官方工作人员 发表时间: 六月 19, 2020, 01:07:30 am

认为专业的网络安全和黑客,批评你们是对的。你们关键的东西没有,只能够让小白熊一回,只有真正懂得网络协议和机制,才可以彻底解决问题。你们可以多看看互联网协议和编程之类的。就懂了。

作者: 解放时报官方工作人员 发表时间: 六月 19, 2020, 01:06:35 am

我们玩网络,玩成黑产的,太简单了。一个虚拟机建立快照,或者是覆盖文件。然后用TOR或多层代理+冰点还原或者还原精灵就可以搞定。你发的大部分都没用

作者: 解放时报官方工作人员 发表时间: 六月 19, 2020, 01:05:08 am

你好,我是计算机和网络专业的。告诉你呀 官方好多都回复都是错误的 我们这种专业的技术人员 开发者都要笑死人。什么代理服务器不加密就可以在互联网共享 都知道不加密的代理就和http一样。啥都可以看见 修改。就是我很小这个,很多东西不用教就会。你这个弄挺简单的,上学的时候经常用技术帮助别人。我也是各种技术吧务和群管理 在班里的技术支持。只可惜身体不好,没办法。最根本的办法还是肉身翻墙离开中国,这样最安全。在

作者: 解放时报官方工作人员 发表时间: 六月 19, 2020, 01:01:48 am

你好,我是计算机和网络专业的。告诉你呀 官方好多都回复都是错误的 我们这种专业的技术人员 开发者都要笑死人。什么代理服务器不加密就可以在互联网共享 都知道不加密的代理就和http一样。啥都可以看见 修改。就是我很小这个,很多东西不用教就会。你这个弄挺简单的,上学的时候经常用技术帮助别人。我也是各种技术吧务和群管理 在班里的技术支持。只可惜身体不好,没办法。

作者: jingyue 发表时间: 三月 16, 2020, 06:55:56 pm

提醒注意:

无论电脑操作系统。还是手机操作系统,上面不要有 360 的任何东西,比如:360防火墙,360安全中心,等等,因为 360 已经在 2012 年加入了中国国家长城防火墙(其简称 :GFW,就是用来封锁海外网站的那个防火墙,)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

扫盲 Firefox 定制——从“user.js”到“omni.ja”
https://program-think.blogspot.com/2019/07/Customize-Firefox.html


编程随想的博客
https://program-think.blogspot.com/

www.minghui.org/mh/articles/2021/7/25/不要买成品组装机-428672.html


作者: jingyue 发表时间: 八月 14, 2019, 10:44:43 pm

电脑操作系统安全大纲,

0),操作系统,
电脑操作系统必须纯净,
默认设置下,FreeBSD 最安全,也最难用,Debian 比苹果 Mac OS X / macOS 操作系统安全,Windows 操作系统最不安全,也最易用,

Windows 操作系统要查看一下系统自带的防火墙,其“高级设置”版面是否可以编辑和修改网络过滤规则,
近期看到一个原装的戴尔笔记本电脑,操作系统自带的防火墙,其高级设置版面进不去,灰色的,用户看不到规则,还看到一个联想的原装笔记本电脑,操作系统自带的防火墙,其高级设置版面进不去,也是灰色的,用户看不到规则,也不能更改设置,这样的操作系统不安全,应该下载官方原版的操作系统,全新安装,
引用
==================================================================================
  微软原版 Windows 10 LTSC 2019 企业版(1809)系统镜像文件及其校验值,2020.10.11
==================================================================================

1、Windows 10 LTSC 2019 32 位系统镜像文件

文件:cn_windows_10_enterprise_ltsc_2019_x86_dvd_1814dbab.iso
大小:3,196,803,072
SHA1:BA2169EDD94F123211CD4AACA68352F1AB6195D9
SHA512:4F659D9D347BC375706FA22377F183097F1D7AED28EFDF7E109AE8E8E7D2407718CB3A6CEF0FB27C7CBFEBC7EEDD883071004E1A5F3DC88F0BC90594EB9B13A4

2、Windows 10 LTSC 2019 64 位系统镜像文件

文件:cn_windows_10_enterprise_ltsc_2019_x64_dvd_9c09ff24.iso
大小:4,478,906,368
SHA1:24B59706D5EDED392423936C82BA5A83596B50CC
SHA512:FEA7A9019A1884D0BBDC274662E1899800CB11ABE71B1AD4CDF4B333C785FF65E4A8CA8C62215A1CBFB8EC5B873520349EEB449652D13742C9FC1A1F26BE895A

参考来源 https://tiandixing.org/viewtopic.php?p=1783275


1),防火墙,
电脑必须启用网络防火墙,
只有网络防火墙才能防止网络攻击,应用程序防火墙不能保护操作系统,

Windows 7/ 8/ 10 操作系统自带的防火墙,应该设置为“阻止一切入站连接”,
看一下防火墙的高级设置版面那里,应该禁用或阻止“远程桌面”,阻止或禁用“远程协助”,


2),浏览器,
浏览器应该选择安全可信的,
浏览器搜集用户信息,这不是猜测(已经有办法证实了),用户只能选择让谁搜集而已,
谷歌,火狐,都在搜集和上传用户信息,在后台,间歇式的,一般用户根本察觉不到,(在操作系统之外,使用高级防火墙监测整个操作系统才可以看到那些后台联网动作,)
国产的浏览器不要安装,不要使用,
现在的浏览器许多都有网络过滤功能,用户上哪个网站它都知道,可以即时后台向开发公司指定服务器传送数据,

隐藏 IP 地址

不管你是直接使用无界浏览翻墙还是使用 Tor 浏览器翻墙,Firefox 浏览器都必须关闭  WebRTC ,而且 Flash 和 JavaScript 也不能同时启用,(如果不是必须,建议同时关闭),否则会泄露用户真实 IP 地址,

Firefox 火狐浏览器禁止 WebRTC 的方法:

    关闭 Firefox 火狐浏览器 media.peerconnection.enabled 项目的方法:
    1,地址栏里输入 about:config 之后按确认键,
    2,搜索 media.peerconnection.enabled
    3,鼠标双击这个项目,使后面的值变为 false ,


各种版本的火狐浏览器 Firefox ESR 官方下载:

https://www.mozilla.org/en-US/firefox/organizations/all/

选择 Chinese (Simplified) 中文 (简体) 那一行下载的是简体中文版本,
引用
Chinese (Simplified) 中文 (简体)

    Windows 64-bit ,Windows 64-bit MSI ,Windows 32-bit ,Windows 32-bit MSI ,macOS ,Linux 64-bit ,Linux 32-bit ,
引用
【公告】火狐 Certificate Pinner 安装教程。请在Linux下使用火狐的会员关注、安装一下。

https://tiandixing.org/viewtopic.php?f=83&t=291614



建议从海外英文官方网站上下载原版火狐浏览器,不要从中国大陆的网站下载那个所谓 “智谋火狐”,那是一个被改编了的中国版,

3),输入法,
必须保证输入法是安全可信的,
现在的输入法有关键词记录功能,有的也可以即时后台汇报,

4),其它,
杀毒软件需慎用,
杀毒软件不是上网所必须,能不用就不用,它可以堂而皇之地把扫描到硬盘上面的文件回传到病毒库中心,


仅供参考,

为什么 Windows 10 是隐私噩梦?
引用

https://steemit.com/life/@iyouport/7nfymr

为什么 Windows 10 是隐私噩梦?

因为
1、系统会默认预设为启用资料同步:浏览网络记录与打开的网站;应用程序设定;WiFi 热点名称和密码。
2、你的机子被预设标记了一个独一的广告识别码:用它第三方广告商或网络商可对你进行个性化广告服务。
3、Cortana 可以收集你的任何资料:键盘记录,搜索与麦克风输入;日历资料;聆听什么音乐;信用卡资讯;购买行为。
4、微软可以收集任何个人资料:用户身份识别;密码;人种族群资讯;兴趣与习惯;使用数据;联系人与人际关系;地点地理资讯;电子邮件、即时通讯的内容、通话记录与声音影像记录。
5、你的资料可能被他人使用:下载 Windows 10 时,你授予了微软公司可以将上述资料分享给第三者,不管有无取得你的同意。

你也可以下载这个工具 W10Privacy,利用一些已知的方式来设法禁用 Windows 10 下主要的追踪监控功能。以及另一些应对方法。

https://www.w10privacy.de/english-home/instructions-1/
https://www.w10privacy.de/deutsch-start/download/



作者: 3311aa 发表时间: 十二月 22, 2018, 07:01:28 am

小红伞免费软件会导致文件越来越庞大,有网友反应说小红伞文件夹多达50G并且还在不断增加。笔者用过确实如此,是基于硬盘的杀毒软件相当占用硬盘。很难用。
avst注册时间一到就不能用了 ,所以免费的杀毒软件几乎没有了。以前有个麦咖啡免费杀毒很好,但这几年不能用了

作者: Anonymous117 发表时间: 十二月 14, 2018, 08:25:39 pm

嗨,我是Anonymous117。我愿意就一个名为Symentec Endpoint Security的强化防火墙和防病毒软件提供建议。这个软件主要是英文。从我可以看到,这个特定的软件有一个称为TCP重新排序的东西。我不知道你是否都有IP欺骗的问题,但如果是这样,这目前有帮助。 TCP重新排序会在客户端服务运行时更改TCP序列号。由于服务运行时以及服务未运行时序列号不同,因此在停止或启动防火墙服务时会终止网络连接。 TCP / IP数据包使用一系列会话号与其他计算机进行通信。当客户端未运行时,客户端计算机使用Windows编号方案。当客户端运行并启用TCP重新排序时,客户端使用不同的数字方案。如果客户端服务突然停止,则数字方案将恢复为Window编号方案,然后Windows将丢弃流量数据包。此外,TCP重新排序可能与某些NIC存在兼容性问题,导致客户端阻止所有入站和出站流量。此特殊防病毒防火墙/漏洞利用缓解工具还具有“隐藏模式”浏览功能。我来自美国,但就是这样。如果您需要更多信息,请与我们联系。

作者: jingyue 发表时间: 八月 16, 2018, 08:30:10 am

隐藏 IP 地址

不管你是直接使用无界浏览翻墙还是使用 Tor 浏览器翻墙,Firefox 浏览器都必须关闭  WebRTC ,而且 Flash 和 JavaScript 也不能同时启用,(如果不是必须,建议同时关闭),否则会泄露用户真实 IP 地址,

Firefox 火狐浏览器禁止 WebRTC 的方法:

    关闭 Firefox 火狐浏览器 media.peerconnection.enabled 项目的方法:
    1,地址栏里输入 about:config 之后按确认键,
    2,搜索 media.peerconnection.enabled
    3,鼠标双击这个项目,使后面的值变为 false ,


作者: jingyue 发表时间: 九月 01, 2014, 02:19:32 am

Debian

配置 iptables 防火墙和 ip6tables 防火墙,

方案之一:在线安装 ufw (支持 IPv4 和 IPv6) ,

(i)打开终端,用如下命令获取 roo t权限,
 
引用
su

或者
引用
sudo su


(ii)root 权限下,终端内执行如下命令,
 
引用
apt-get update

 
引用
apt-get install ufw

 
引用
ufw enable

至此, iptables 防火墙和 ip6tables 防火墙配置结束,

查看 iptables / ip6tables 防火墙的配置,
root 权限下,终端内执行如下命令,

查看过滤表(IPv4)
引用
iptables -S

 
查看过滤表(IPv6)
引用
ip6tables -S

 
查看 NAT 表 (IPv4)
引用
iptables -t nat -S



在线安装常用软件,

root 权限下,终端内执行如下命令,
引用
apt-get update

 
引用
apt-get install wine aria2 kgpg kleopatra gtkhash bleachbit gparted zenmap unrar clamtk



其它: Debian 8( 版本代号 jessie  )在线安装 BCM43142 无线网卡驱动,

有的笔记本无线网卡需要在线安装驱动,比如有的戴尔笔记本,用的是 BCM43142 型号无线网卡,
root 权限下,终端内执行如下命令,
引用
apt-get install wireless-tools linux-headers-$(uname -r) broadcom-sta-dkms


查看笔记本无线网卡型号:
root 权限下,终端内执行如下命令,
引用
lspci


查看USB无线网卡型号:
root 权限下,终端内执行如下命令,
引用
lsusb


注:所有的命令,都可以采用从这里复制一个,然后粘贴到终端里执行的办法,不必一个一个地敲击键盘输入字母,

* * *

几个安全好用的 Linux / UNIX 操作系统——应用比较



作者: jingyue 发表时间: 九月 01, 2014, 02:04:03 am

小红伞也被河蟹了,抱无界996为木马,真是入乡随俗了,还能用那种国外的杀软呢?无奈。

国外开源免费的杀毒软件ClamAV不错,
ClamAV 有 Linux版本,有 UNIX版本,也有 Windows 版本,
其 Windows 版本名字叫ClamWin,对QQ绝不客气,看见了就说QQ有特洛伊木马,
这个软件目前还没有中文版,
但是使用很简单,就那几个界面,熟悉就好了,

作者: 徐建军 发表时间: 十二月 17, 2013, 10:23:26 pm

翻墙的网络安全事项

通常翻墙也只是浏览新闻,所以一般也没什么特别要注意的。但是因为有些国内大陆的杀毒软件、防火墙等产品在中共网监部门的授意控制下,恶意查杀翻墙软件,或恶意干扰翻墙软件的运行,这是恶意的,不同于平常的误报。此外,国内大陆公司开发的软件很多还有后门,比如瑞星、360安全卫士等,容易导致个人隐私泄露问题,所以还是建议换用海外知名的杀毒软件、防火墙,下面推荐几款免费的优秀防护软件。

【杀毒软件】
1、小红伞(Avira AntiVir Personal)是一款德国免费杀毒软件,软件杀毒能力强、使用简单。
注:程序界面的授权日期会自动延续,不用担心使用期限到期问题。

简体中文版安装程序官方下载地址:
http://dlce.antivir.com/package/wks_avira/win32/zhcn/pecl/avira_antivir_personal_zhcn.exe


2、avast!5.0 免费中文版杀毒软件,免费,但需要一个邮箱注册一下。
多国语言家庭版下载:
http://files.avast.com/iavs5x/setup_av_free.exe
安装后请注册一下,注册方法见图:

3、微软MSE反病毒防护,微软自家提供的基础反病毒防护,使用简单:
下载页面:
http://www.microsoft.com/security_essentials/Default_zh_cn.aspx


【防火墙】

1、PCTools防火墙,免费使用,支持中文界面,防护能力强,使用简单。
官方下载地址:
http://www.pctools.com/mirror/fwinstall.exe

2、科摩多(comodo)互联网安全套装,支持中文界面,功能全面且强大,但是使用上稍微要花点时间熟悉一下。
官方下载页面:
http://personalfirewall.comodo.com/download_firewall.html

3、ZoneAlarm 防火墙
很出色的老牌防火墙,可惜只有英文界面,为个人用户提供免费版本ZoneAlarm Free Firewall,拥有防火墙的基本功能,其专业版ZoneAlarm Pro是收费的,但一般使用免费版也足够:
官方页面:
http://www.zonealarm.com/security/en-us/zonealarm-pc-security-free-firewall.htm

 avast注册.GIF (28.07 kB, 928x477 - 已被阅读 463 次.)

 avast注册2.GIF (38.57 kB, 746x448 - 已被阅读 431 次.)
« 最后编辑时间: 五月 13, 2010, 01:42:26 am 作者 中国心 »
向版主举报     已记录
中共 ≠ 中国        爱国 ≠ 爱党        反共 ≠ 反华
  中国心
自由发言用户
注册用户

帖子: 259

Re: 翻墙的安全事项
« 回复 #1 于: 五月 05, 2010, 11:39:19 pm »
引用
对于普通翻墙网友而言,其实翻墙是再正常不过了,实在不必太过担心。在“网络自由联盟”的服务器那里显示平均每天都有以百万计的中国大陆网民通过使用“网络自由联盟”的软件“翻墙”浏览新闻、“翻墙”查找资料、“翻墙”下载文件、“翻墙”登录社交网站等等。在中国大陆上网,“翻墙”是常态,不会有什么问题。

但如果经常要向海外媒体投稿、在海外发表爱国反共评论著作等人士,因为他们是被特别关注的,所以就要额外注意一些系统安全:

◎要使用官方原版系统,尽量不要使用其它的安装盘,比如萝卜、雨林等。

◎不要安装国产防火墙和杀毒软件,如360、瑞星等,请使用国外知名公司的防护软件,请参考一楼。

◎不要安装QQ、迅雷软件等国产网络软件。已知QQ、迅雷等软件都有疑似木马行为。
  输入法可以用谷歌、微软拼音输入法,这两个相对来说较干净:
   http://www.google.com/ime/pinyin/
   http://www.microsoft.com/china/pinyin/
  下载工具软件可以使用开源免费的FDM:
   http://www.freedownloadmanager.org/download.htm

◎开启Windows自动更新。开启自动更新的步骤是:按“开始”==>设置==>控制面板==>自动更新,点选自动(建议),如果有更新了,会自动下载更新并在关机的时候安装这些更新。
« 最后编辑时间: 五月 12, 2010, 12:56:40 am 作者 中国心 »
向版主举报     已记录
中共 ≠ 中国        爱国 ≠ 爱党        反共 ≠ 反华
  中国心
自由发言用户
注册用户

帖子: 259

Re: 翻墙的安全事项
« 回复 #2 于: 五月 05, 2010, 11:39:41 pm »
引用
对于有些必需登录QQ的网友,但又想保持本机干净的、不想安装腾讯的QQ客户端的网友,有两个解决办法:

1、使用其它客户端登录QQ,比如Pidgin(以前的GAIM),或Miranda等

2、使用虚拟机,在虚拟机中使用QQ、迅雷等。使用虚拟机要求电脑硬件配置在1G内存及以上,否则运行速度很慢。
最常见的虚拟机软件是VMWare 、Virtual PC 、VirtualBox,使用这些虚拟机软件,你可以在一台物理计算机上模拟出一台或多台虚拟的计算机,这些虚拟机完全就像真正的计算机那样进行工作,例如你可以安装操作系统、安装应用程序、访问网络资源等等。对于你而言,它只是运行在你物理计算机上的一个应用程序,但是对于在虚拟机中运行的应用程序而言,它就像是在一个真正的计算机中进行工作。
这样你可以在虚拟机上运行不可靠的程序,却不会对真实的电脑构成威胁。

推荐使用VirtualBox,免费、支持中文界面:
http://www.virtualbox.org/wiki/Downloads

VirtualBox的使用方法可以在Google上随便搜索一下,有很多。

作者: wfly944599510 发表时间: 十二月 15, 2013, 10:27:31 am

我只信赖国外的杀毒软件。国产靠不住

作者: OKNPQ182947382 发表时间: 十月 13, 2013, 01:00:25 am

还有没有别的输入法可以用啊?我感觉谷歌拼音不好,“清清的小溪”都不能一口气打下来,还显示什么“轻轻的消息”。。。“嘭嘭的声音”也给我显示啥“蓬蓬的声音”,。。。微软拼音没用过,不知道好用不好用,但是听别人说此款软件删不干净,如果我想删怎么办哇,所以我想问问有没有其他好用、不流氓的输入法可以使用啊??????

作者: hasher 发表时间: 三月 23, 2013, 10:03:14 pm

刚要找下载器,没想到在这里碰到了

作者: a12345 发表时间: 十月 20, 2012, 04:03:15 am

如何防止黑客入侵[7]:Web相关的防范 (下)
  在本系列前一篇,俺介绍了三种隔离浏览器的方式(多种浏览器、同种浏览器多实例、多操作系统用户)。今天继续介绍第四种隔离方式

——虚拟机,然后再推荐一些浏览器的安全扩展。

★"虚拟机"的方案

◇什么是"虚拟机"?

  本文提到的"虚拟机",是"操作系统虚拟机"的简称。
  最近10年来,硬件水平显著提升,操作系统虚拟化的技术开始普及,出现了若干针对操作系统的虚拟化软件。这种软件可以让你在一台电

脑上,同时运行多个操作系统(是不是很有趣?)。通过虚拟化软件来运行的操作系统,称之为"虚拟操作系统";与之对应,你原先的操作系

统称之为:真实操作系统或宿主操作系统。
  由于"虚拟操作系统"是虚拟出来的,你可以在里面为所欲为,而不会对真实操作系统产生实质性的影响。比方说,你可以在虚拟系统中把

硬盘格式化,但不会影响到你的真实系统。同样的,如果某个虚拟系统被病毒感染了,也不会影响真实系统和其它虚拟系统。

◇什么是"多虚拟机"的方案?

  所谓"多虚拟机"的方案,就是在你的电脑上创建多个虚拟机,分别用来实现不同安全级别的上网行为。
  举个例子:
  你可以创建虚拟机A,只用来访问网银(不访问其它网站);然后创建虚拟机B,用来进行其它上网行为。那么,即使你在虚拟机B受到攻击

,对虚拟机A也完全没有影响。这样一来,就可以彻底保证网银的安全。

◇为啥要用"多虚拟机"的方案?

  前一篇博文提到的三种隔离方案,"多用户"比前两种方案安全。这种方案是基于操作系统提供的用户壁垒——包括:不同用户的进程隔离

性、文件系统的访问控制(ACL)、等等。
  但是"多用户"方案还是有缺陷的。如果攻击者同时利用了未公开的浏览器漏洞和未公开的操作系统提权漏洞,就有可能攻破操作系统的用

户壁垒。不过大伙儿别担心,实现这种攻击的难度是很大的,只有足够牛B的入侵者能够做到这点。
  为了满足列位看官的好奇心,稍微介绍一下所谓的牛B黑客,大都是哪些人。

  御用高手
  所谓的"御用高手",也就是官方资助的入侵者(类似于武侠小说中的大内高手)。这种入侵者,往往不是一个人单干,而是一个团队群P。
  "御用高手"的目标大致有如下:
  1. 军事目标
军事目标主要有:外国重要的政府机构(比如五角大楼)、外国重要的军工企业(比如洛克希德-马丁公司)
俺在上一篇提到了 RSA 被入侵的案例:攻击者首先利用零日漏洞入侵某个 RSA 公司的雇员,经过深度渗透之后,入侵者搞到了 RSA 动态令牌

产品(SecureID)的种子(种子是用来生成动态口令的)。由于 SecureID 产品被许多大公司采用,所以入侵者可以利用偷来的种子算出动态

口令,进而实现对美国多家大型军工企业的入侵。
计划得如此严密的系列入侵,通常只有御用黑客团队能够干得出来。
  2. 经济目标
所谓的经济目标,主要都是国外知名的大公司。
通过入侵这些公司,可以窃取商业机密,从而获得巨大的经济效益。
  3. 政治目标
政治目标就比较杂,比如:知名的反共网站、某些知名的政治异议人士的电脑/手机/邮箱/IM、等等。
举个例子:2009年底,Google 被来自中国大陆的攻击者深度渗透(这就是传说中的"极光行动")。此事导致 Google 愤而退出中国市场。根据

事后分析,入侵者的注意力集中在某些 Gmail 邮箱的内容。而这些 Gmail 邮箱恰恰属于中国的持不同政见者。由此可见,入侵 Google 的人

很可能是朝廷的走狗。

  民间高手
  除了御用黑客,也不排除民间有高手。甚至不排除某个御用黑客在业余时间干点脏活。
  和御用高手不同,民间高手的目标相对比较单一,大部分人是为了获取经济利益。

  综上所述,能被这2类人盯上的,往往是高价值目标。如果你只是一个普通网民,不用担心被高手盯上(也就是说,"多用户"的方案基本上

可以满足你的安全需求);反之,如果你自认为是一个高价值的目标,或者你对安全的要求非常非常高,不妨尝试一下"多虚拟机"的方案。

◇如何操作?

  刚才已经说了"多虚拟机"的原理,还举了例子。
  如果你已熟悉"虚拟化软件"(比如:VMware系列、VirtualBox、等)的使用,那么本方案对你来说其实很简单——无非就是安装若干个虚

拟操作系统,然后在虚拟系统中安装软件,仅此而已。
  由于本文的重点是防范黑客入侵,所以俺就不再介绍虚拟化软件本身的安装和配置。如果有空的话,俺会单独写一篇入门,扫盲虚拟化软

件的使用。

◇优点

  在4种浏览器隔离方案中,多虚拟机的安全性最高。即使你的某个虚拟机被病毒感染或者被植入木马,也几乎不会影响到你的其它虚拟机和

真实系统。
  当然,绝对的安全是不存在滴。虚拟化软件也是软件,只要是软件,就有可能出现漏洞,只要出现漏洞,就有可能被利用。但是,想通过

虚拟化软件的漏洞来突破虚拟机的壁垒,难度更大(远远大于突破操作系统的用户壁垒)。这方面的技术细节,说来话长,俺就不展开了。

◇缺点

  对硬件的要求高(主要是物理内存和CPU)。
  具体要多高的硬件配置,取决于你同时开几个虚拟机。同时运行的虚拟机越多,就需要越大的物理内存和越多的CPU核心。

★使用浏览器的安全扩展

  终于把浏览器的话题说完了。接下来再介绍几款安全方面的浏览器扩展。这些扩展可以帮你提高 Web 的安全性。

◇NoScript(Firefox)

  简介
  NoScript 是一个名气很大、功能很强的 Firefox 扩展,主页在"这里"。
通过它,你可以定制网站白名单。只有当你浏览白名单内的网站时,才启用浏览器的 JavaScript 脚本功能和插件功能(比如 Flash插件、

Java插件、PDF插件、等)。
  白名单只是它的功能之一,更多的功能介绍,请看它的主页。

  局限性
  这个扩展可以有效地避免陌生网站上的挂马。但是,如果你经常访问的网站出现跨站脚本的漏洞,NoScript有可能帮不了你。
  在前面的博文中,俺曾经举了一个跨站脚本攻击的例子。比如说,你经常上某个 BBS,并且该 BBS 的界面功能依赖于 JavaScript。那么

,你就必须把这个 BBS 站点加入到 NoScript 的白名单中。假如这个 BBS 本身出现了基于 JS 的跨站脚本漏洞,那你还是有可能中招 :(

◇NotScripts 和 ScriptNo(Chrome)

  简介
  刚才提到的 NoScript 只支持 Firefox。用 Chrome 的同学别慌!在 Chrome 上有另外两款扩展,跟 NoScript 很像(不但功能很像,连

名称也很像)。
  一款叫做 NotScripts,主页在"这里";另一款叫 ScriptNo,主页在"这里"。
  NotScripts 的用户数比 ScriptNo 略多。但 NotScripts 最新的一个版本是2010年底发布的——快两年了。而 ScriptNo 最新的版本是今

年年初发布的。
  至于要选哪个,请大伙儿自行判断。

  局限性
  这两款扩展的局限性类似于刚才提到的 NoScript,俺就不再啰嗦了。

◇HTTPS Everywhere

  这是著名的电子前线组织(EFF)发布的扩展,主页在"这里",同时支持 Firefox 和 Chrome。说到 EFF,顺便提一下:TOR 也是该组织发

布的产品。
  如今,有很多网站都同时提供明文的 HTTP 协议和加密的 HTTPS 协议(比如维基百科)。装了 HTTPS Everywhere 扩展之后,如果你浏览

的网站支持 HTTPS 协议,该扩展就会强制浏览器通过 HTTPS 协议访问该网站。从技术上讲,就是把所有针对该网站的 HTTP 请求都转换为

HTTPS 请求。
  为啥要强制用 HTTPS 协议捏?因为 HTTPS 是加密协议,可以保护你免受入侵者的嗅探(关于"嗅探"的案例,前面的博文提到过)。
  除了上述功能,HTTPS Everywhere 扩展还可以帮你侦测有问题的 HTTPS 证书,降低"中间人攻击"的风险。

  局限性
  如果某个网站只有 HTTP 连接,不提供 HTTPS 连接,那 HTTPS Everywhere 也帮不了你。

◇LastPass

  简介
  LastPass 名气最大的在线口令管理工具。官网在"这里",维基百科的介绍在"这里"。
  该工具提供了针对所有主流浏览器的扩展(包括IE、Firefox、Chrome、Opera、Safari、等),帮你自动填写网站的登录口令,免除你记

忆诸多口令的麻烦。你本人只需要记住一个"主密码",LastPass 会利用主密码来加密本地的密码数据库——你的其它口令都存在在该数据库中


  为了确保安全性,LastPass 进行在线同步时,传输的是加密后的数据库。因此,即使 LastPass 网站被黑,入侵者拿到的也只是加密后的

用户口令数据库。同样的,如果有人偷了你的电脑,但不知道你的主密码,也无法打开你的密码数据库。

  局限性
  LastPass 的做法相当于把鸡蛋都放在一个篮子里,有好处也有坏处。
  最大的风险在于主密码被盗。一旦主密码被盗,密码数据库中的所有密码就都暴露了。什么情况下会发生主密码被盗捏?比如你的电脑被

植入木马,并且此木马具有键盘记录的功能;比如你输入主密码的时候,有人在旁边偷窥;......
  每个人都有很多秘密。不过根据二八原理,真正重要的密码不到20%,大部分密码都不太重要。所以俺个人的建议是:少数特别重要的密码

,还是靠自己脑子来记;大多数不太重要的密码,可以交给类似 LastPass 之类的口令管理软件。

◇BetterPrivacy

  简介
  BetterPrivacy 是一个侧重于隐私保护的 Firefox 扩展,主页在"这里"。
  当你浏览某些网站的时候,网站可能会在你的电脑上记录 cookie。通过这些 cookie,网站可以追踪你的上网行为(比如你多久访问一次

这个网站)。
  有了 BetterPrivacy,你就可以配置允许哪些网站记录 cookie。BetterPrivacy 的牛B之处在于:它不光可以控制传统的 cookie,还可以

控制 Flash 的 cookie(LSO)。

  局限性
  此扩展只针对隐私保护,无法防范扩展脚本等攻击。

  浏览器的安全类扩展,细分为很多领域,数量也很多。限于篇幅,俺仅挑选出每个领域最出名的代表。如果你还有补充的,可以到本文留

言。

★结尾

  关于 Web 的安全防范,本来只想写一篇。谁曾想,东扯西扯,居然写了三篇。可能有同学会问,为啥没提到杀毒软件和个人防火墙?俺觉

得:把这两个话题放到 Web 安全防范中聊,不太合适——还是单独拿出来聊比较好。在本系列后续的博文,会说说杀毒软件和个人防火墙的那

些事儿。




作者: a12345 发表时间: 十月 20, 2012, 04:02:06 am

如何防止黑客入侵[6]:Web相关的防范 (中)
  在本系列的前一篇聊了些基础性的东西,包括:常见的攻击手法、如何选择浏览器和插件。今天,俺继续介绍几个相对高级一点的话题。

★如何防范浏览器和插件的漏洞?

  在前一篇已经告诉大伙儿"如何选择浏览器"。但是光知道这个是不够滴!因为浏览器也是软件,只要是软件就可能会出现漏洞(包括安全

漏洞)。
  即使你按照俺的建议,选择 Firefox 或 Chrome 作为日常的浏览器,也无法完全避免"浏览器自身出漏洞"的问题。而且浏览器的漏洞中,

有一些是没有补丁的高危漏洞(包括"未公开漏洞"和"零日漏洞",俺在前面的帖子里介绍过)。因为没有补丁,所以这类高危漏洞就特别危险

。这就引出了第一个问题:如何防范浏览器的漏洞?
  另外,在浏览器插件中,Flash 插件既是最危险的插件,也是使用最广的插件。这就引出了第二个问题,如何安全地使用危险的插件?
  要解决上述2个问题,可以使用同一个原则,那就是:对浏览器进行隔离。具体的隔离方式有很多种,今天俺由浅入深,分别介绍一下。

★"多浏览器"的方案

◇操作步骤

  这招是最简单的——就是在一台电脑上安装多款不同内核的浏览器。具体步骤俺就不多说了,节约点口水。

◇优点

  1. 解决网银的问题
  前面提到了国内网银依赖于 IE 的问题。但是 IE 的安全性又不如 Firefox 和 Chrome,咋办捏?最简单的办法就是同时安装两款浏览器

(比如 IE + Firefox)。平时你上网的时候,用 Firefox,需要用网银,则改用 IE。
  由于你仅仅在使用网银的时候,才开启 IE,大大降低了 IE 被入侵的机会。

  2. 解决跨站脚本(XSS)的问题
  使用多种浏览器,还可以帮你解决跨站脚本攻击的问题。
  单纯的XSS攻击,主要是依赖 JavaScript。而 JavaScript 只能在浏览器进程内起作用,无法跨浏览器进程。所以,如果你同时使用 A B

两款浏览器。如果 A 浏览器发送 XSS 攻击,通常不会影响到 B 浏览器。除非这个 XSS 攻击结合了浏览器漏洞或插件漏洞。那么,多款浏览

器是否能防范浏览器漏洞和插件漏洞捏?请看往下看。

  3. 部分解决高危插件(Flash)的使用问题
  俺在上一篇提到了利用 Flash 入侵 Gmail 的案例。
  比方说,你同时用 Firefox 和 Chrome。其中 Firefox 安装 Flash,用来上普通的网站;而 Chrome 禁用 Flash,专门用来上 Google 的

相关服务器(比如 Gmail)。
  某天,你收到一封恶意的邮件,该邮件会利用 Flash 的漏洞来入侵用户的电脑。幸运的是,你用来访问 Gmail 的 Chrome 上没有 Flash

插件(被禁用),于是攻击者的阴谋没有得逞 :-)

◇缺点

  1. 无法彻底解决浏览器漏洞和插件漏洞的问题
  细心的读者会注意到,刚才那个小节的标题是"部分解决高危插件(Flash)的问题"。为啥俺要特地强调"部分解决"捏?因为浏览器的漏洞

和插件的漏洞有很多种。有些漏洞只是让浏览器崩溃,无伤大雅;而有些漏洞可以导致在本地执行代码,并且能进一步植入木马。一旦你碰到

后者,即使你采用"多种浏览器"的方式,也抵挡不住。
  某些天真的网友可能会问:浏览器厂商和插件厂商不是会升级补丁吗?但是问题在于,有少数一些漏洞是没有补丁的。为啥会这样捏?请

看本系列上一篇《安全漏洞的基本防范》,里面介绍了"未公开漏洞"和"零日漏洞"。
  不过别担心,俺后面还会介绍更高级的招数,来防范这种情况。

  2. 灵活性不够
  对于"多浏览器"的方案,还有一个缺点是不够灵活。
  因为你要为每一种用途安装一款浏览器,如果你的用途比较多(比如:上网银、普通浏览、上Gmail、看视频),就要装好几款。
  另外,有些用户就喜欢某一款浏览器,你让这些用户装好几款浏览器,他们会觉得不爽。
  对于"灵活性不够"的缺点,大伙儿可以参考接下来要介绍的第二招——"多实例"的方案。

★"多实例"的方案

◇什么是浏览器的多实例?

  所谓的浏览器多实例,有时候也称之为 "Multiple Profiles"。
  不论是 Firefox 还是 Chrome,默认安装的时候,只有一个实例(Profile)。和浏览器相关的各种信息,包括:插件、扩展、外观(皮肤

)、页面缓存、cookie、等等,都存储在这个实例中。
  反之,如果使用多实例,每个实例都具有独立的插件、独立的扩展、独立的外观(皮肤)、独立的页面缓存、独立的cookie、等等。不同

实例之间是相对隔离的,不会互相影响。
  对于 Chrome,再特别提醒一下:
  Chrome 同时支持 "Multiple Profiles" 和 "Multiple Accounts"。但别把这两者搞混了。即使你配置了多个Accounts,依然在同一个实

例里。

◇操作步骤

  多实例的配置,很多人不晓得。所以俺详细说一下。考虑到 Windows 用户居多,俺以 Windows 举例。Linux 和 Mac OS 的操作步骤大同

小异。

  多实例的 Firefox

  对于 Windows 上的 Firefox,Profile 都放置于 %APPDATA%\Mozilla\Firefox\Profiles 目录下。
  假设你想创建一个新的 Firefox 实例,专门用来访问你的 Web 邮箱。那你可以通过如下命令行来启动 Firefox。
"{PATH}\firefox.exe" -P "Mail" -no-remote
  上述命令中,{PATH} 表示你的 Firefox 的安装目录。Mail 表示你要创建的实例名(实例名可以是任意字母组合,你也可以换其它名称)


  运行完上述命令,Firefox 会启动出一个名叫 Mail 的实例。与此同时,在 %APPDATA%\Mozilla\Firefox\Profiles 下会多出一个名叫

Mail 的目录。
  按照上述方式依样画葫芦,你就可以启动出任意多个 Firefox 实例。为了省事,你可以把上述命令行做成一个快捷方式,放到桌面上,免

得每次都敲键盘。
  另外,Firefox 还提供了一个多实例的管理界面,用如下命令可以调出该界面。
"{PATH}\firefox.exe" -p

  多实例的 Chrome

  Chrome 类似于 Firefox,也可以通过命令行启动新的实例。
  对于 Windows 上的 Chrome,由于 Chrome 安装的时候没让选安装目录,所以其安装目录固定如下:

Windows 7 或 Vista 系统
C:\Users\{USER}\AppData\Local\Google\Chrome\Application\chrome.exe
Windows XP 系统
C:\Documents and Settings\{USER}\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
  上述的 {USER} 表示你的 Windows 用户名

  找到 chrome.exe 之后,接下来,你需要创建一个目录,用来存放新创建的实例。比方说,你用的是这个目录: X:\XXXX\
  然后,通过如下命令启动 Chrome,就可以创建出新实例

Vista 或 Windows 7 系统
C:\Users\{USER}\AppData\Local\Google\Chrome\Application\chrome.exe --user-data-dir="X:\XXXX\"
Windows XP 或 Win 2003 系统
C:\Documents and Settings\{USER}\Local Settings\Application Data\Google\Chrome\chrome.exe --user-data-dir="X:\XXXX\"

  按照上述方式依样画葫芦,你就可以创建出任意多个 Chrome 实例。为了省事,你可以把上述命令行做成一个快捷方式,放到桌面上,免

得每次都敲键盘。

◇优点

  1. 解决跨站脚本(XSS)的问题
  这个优点跟"多浏览器"方案是类似的。俺就不再啰嗦了。

  2. 部分解决高危插件(Flash)的使用问题
  这个优点跟"多浏览器"方案是类似的。俺就不再啰嗦了。

  3. 灵活性高
  跟"多浏览器"的方案相比,"多实例"的方案明显灵活多了。因为 Firefox 和 Chrome 可以创建出任意多个实例(只要你的硬盘够大,想建

几个实例都行)。而且,这个方案可以满足某些 Firefox 粉丝或 Chrome 粉丝的个人偏好。

◇缺点

  1. 无法彻底解决浏览器漏洞的问题
  在这方面,"多实例方案" 跟"多浏览器方案" 具有共同的缺陷——无法抵御具有本地代码执行的高危漏洞。包括浏览器漏洞和插件漏洞都

有可能出现这类高危漏洞。
  那么,该咋办捏,请看下一节——"多用户"的方案。

★"多用户"的方案

  前面提到的两种方案,都无法防范某些浏览器或插件的高危漏洞。因为这些高危漏洞会导致在本地执行攻击代码,并有可能植入木马。现

在,俺来介绍第三种方案——多用户方案。此方案可以防范大部分在本地执行的攻击代码。

◇某些高危漏洞为啥很危险?

  俺前面反复提到"导致本地执行攻击代码的漏洞"。这样的漏洞是非常非常危险的。为啥捏?俺简单扫盲一下。
  如果你的浏览器或者浏览器插件具有这类漏洞,当你访问某个恶意网页时,如果该恶意网页能够利用此漏洞,就可以在你的本地的操作系

统中执行攻击代码。由于这个攻击代码是在浏览器的进程内触发的,所以该攻击代码就具有当前用户所具有的权限。
  比方说,如今大部分网友都用 Windows 上网。并且,这些网友都是以"系统管理员"的身份使用浏览器。一旦碰到这类漏洞时,本地的攻击

代码也同时具有了"系统管理员权限"。有了这么高的权限,攻击代码可以为所欲为。
  某些网友可能会问:那不用管理员身份上网,是不是就没事了?
  俺只能说,用低权限的用户身份(比如 Windows 里面的 Users 组)上网,相对于用管理员身份上网,会好一些。但是捏,还是有问题。
  举个例子:
  即使你用低权限用户上网,一旦遭遇这类漏洞,攻击代码还是有可能植入木马。然后捏,这个木马有可能会查找你电脑上的各种私密文件

(比如你的裸照)。然后木马会把这些私密文件发送给木马的主人。

  从上述例子可见,用低权限的用户上网,不能彻底解决问题。所以,俺隆重推出第三种方案——多用户方案。

◇什么是多用户方案?

  如今的桌面操作系统,无论是 Windows 还是 Linux 或 Mac OS,都可以创建多个操作系统用户,并且这多个用户可以同时运行程序。如果

你用过 WinXP 的快速用户切换,应该对此深有体会。
  多用户方案的关键在于:
  你需要创建一个或多个低权限的"上网用户"(所谓低权限,必须低于你当前使用的用户权限)。这些"上网用户"专门用来访问各种网站。
  假使你不幸访问了恶意网页,遭遇本地执行的攻击代码,问题也不大。因为这些上网用户的权限很低,所以它们触发的攻击代码,权限也

很低。因此攻击代码就比较难钻空子。一般来说,对"上网用户"的权限限制得越严格,攻击代码就越难有作为。

◇操作步骤

  1. 创建上网用户
  如何在桌面系统中创建新的用户,大家应该都会吧?不会的同学,请看《避免使用高权限用户》一文的相关章节。上网用户可以只创建一

个,也可以创建多个。具体建几个,看你的需求。
  举例:
  假如你非常看重网银的安全,可以创建两个上网用户,一个专门用来访问网银,一个专门用来上其它网站。
  提醒一下:在这些上网用户的环境中,除了浏览器,其它啥软件都不需要装。

  2. 设置上网用户的权限
  再啰嗦一次,上网用户的权限,一定要低于你目前使用的用户权限。
  以 Windows 为例:
在 Windows 中,常见的用户组的权限大小分别是: Administrators 组 > Power Users 组 > Users 组 > Guest 组。
如果你平时用"Administrators 组"的用户,那么可以把上网用户设置为:Power User 或 User 或 Guest
如果你平时用"Power Users 组"的用户,那么上网用户就只能设置为 User 或 Guest。
以此类推......
(如果你想了解这些用户组之间的权限差异,可以参考本系列的第一个帖子《避免使用高权限用户》)

  提醒一下:
  Guest 用户组的权限是最低,低得难以想象。所以,从安全角度而言,把上网用户设置为 Guest 组是最安全的。但是,也是最麻烦的。你

需要进行好多设置——否则的话,你可能连浏览器都跑不起来。
  所以,除非你对 Windows 系统比较熟悉,否则的话,俺不建议使用 Guest 组的权限。比较理想的权限是 Users 组。这个组的权限也比较

低,但是用起来不麻烦。

  3. 设置文件目录的访问控制权限(ACL)
  每个人的电脑中,都会有某几个目录是用来存放你的敏感个人资料的。
  你必须设置这些目录的访问控制权限(简称 ACL),设置为:"上网用户"所在的组不能读写。这样一来,你可以把自己那些敏感的,私密

的文件(比如自己的裸照),都通过上述 ACL 保护起来。即使"上网用户"遭遇高危漏洞的攻击,本地执行的攻击代码也难以拿到你的隐私(俺

说"难以拿到",意思就是说,还是有可能滴,但是可能性很小,后面会解释)。
  顺便提醒一下:对于 Windows 系统,只有使用 NTFS 格式的分区,才支持 ACL。FAT32 格式的分区是不支持滴!
  如果你是个菜鸟,不懂得如何设置文件及目录的 ACL,没关系!Google 一下,你就知道。

  4. 使用技巧
  你可以直接用 Windows 提供的"快速用户切换"。对于 Windows 系统,从 WinXP 开始就提供了快速用户切换功能。用它来切换用户还是很

方便滴。但是这招有一个缺点:你一次只能看到某一个用户运行的软件,其它用户运行的软件看不到。
  不过没关系,还有一个小技巧。
  假设你建了 2 个用户 A 和 B。其中 A 是主用户,用来完成你日常的工作。B 是上网用户。那么,你可以先登录 A 用户,然后在 A 用户

的桌面上,以 B 用户的身份启动浏览器。至于如何启动,请看《使用高权限用户》一文的 "◇切换用户的麻烦" 这个小节。
  对于习惯于命令行的 IT 专业人员,可以用命令行的方式启动指定用户的某个进程。Linux 系统和 Mac OS 系统有 su 命令;Windows 系

统有 runas 命令。

◇优点

  1. 解决跨站脚本(XSS)的问题
  这个优点跟前两种方案类似,俺就不再啰嗦了。

  2. 解决高危插件(Flash)的使用问题
  这个优点跟前两种方案类似,俺就不再啰嗦了。

  3. 防范各种浏览器漏洞
  正如刚才提到的——前两种方案(多浏览器、多实例)无法防御浏览器及插件的某些高危漏洞(具备本地执行攻击代码的漏洞)。而"多用

户方案"可以大大降低这类漏洞的危害性。使得攻击代码只能威胁到"上网用户"本身,而不会威胁到其它操作系统用户。

◇缺点

  1. 初始配置稍嫌麻烦
  相比前面两种方案,这个方案的初始配置比较麻烦。而且你要分清楚哪个用户是用来干啥的。不过捏,一旦用久了,习惯了,也就不觉得

麻烦了。

  2. 无法防范极个别高明的攻击者
  "多用户方案"之所以可以隔离攻击代码,是因为如今所有主流的桌面操作系统,都能够在操作系统层面,对不同的系统用户进行隔离。因

为有操作系统层面的隔离,所以才限制了攻击代码的危害性。
  但是,操作系统层面的隔离,也不是百分之百可靠滴。不要忘了,操作系统本身也是软件,也可能出现安全漏洞。在操作系统的安全漏洞

中,有一类漏洞叫做"权限提升漏洞"(简称"提权漏洞")。所谓的"提权漏洞",顾名思义,就是能够提升当前执行代码的权限。比方说,本来

攻击代码没有管理员权限,通过"提权漏洞",就可以拿到管理员权限。
  如果你的操作系统本身存在"提权漏洞",同时你的浏览器或者插件存在"能够在本地执行代码的漏洞",那么,高明的攻击者就有可能把这

两者组合起来,对你的系统进行组合攻击。
  不过大伙儿别担心——要实现这类组合攻击,需要同时掌握未公开的浏览器或插件漏洞,并且还要有未公开的操作系统提权漏洞(俺在前

面的帖子里介绍过,"未公开漏洞"比"零日漏洞"更危险)。另外,攻击者还需要做很多准备工作,才能诱使你访问到恶意网页。一般的入侵者

根本没有这个本事,也没有耐心去搞这些。反之,有这个本事又有这个耐心的入侵者,根本不会拿这种招数去入侵普通网友(这么做简直是大

材小用)。所以,如果你只是一个普通的网友,在前面三个方案中挑选一个,即可。

  估计有些好奇的同学会打听了。什么样的入侵者具有这种实力?什么样的人会成为他们的目标?
  由于本文的篇幅已经很长了,俺稍微调一下列位看官的胃口,在《Web相关的防范 (下)》再来八卦这些,同时也介绍一下比"多用户方案"

更高级的第四种方案。虽然这种方案很多人用不到,但俺还是会写出来,就当满足一下大伙儿的好奇心 :-)

作者: a12345 发表时间: 十月 20, 2012, 04:00:17 am

如何防止黑客入侵[5]:Web相关的防范 (上)
  由于俺比较懒,导致本系列已经中断了2年之久。上星期有读者留言,希望俺尽快把本系列补上。再加上昨天看到新闻,说 Java 7 爆出全

系列的高危漏洞。凡此种种,促使俺补上了本系列的第5篇,关于 Web 的防范。这部分的内容比较长,为了避免大伙儿阅读疲劳,俺把《Web相

关的防范》分为上下两部分。

★Web安全的重要性

  在聊正题之前,先给大伙儿强调一下"Web 安全"的重要性。
  如今互联网非常普及,大部分的家用电脑和商业电脑,都具备联网功能。而且大部分电脑只要一开机,就处于联网状态。作为电脑的使用

者,有相当一部分时间是花在 Web 浏览(俗称网上冲浪)。在这样的环境中,Web 就成了恶意软件(病毒、木马、蠕虫、等)最理想的一种传

播媒介。据说如今大部分电脑中招,都和 Web 有关。
  正因为如此,才把 Web 相关的内容,单独汇总一篇。接下来,俺先介绍一下攻击者常见的招数,然后再介绍一下各种应对措施。

★Web 相关的攻击手法

◇嗅探(Sniffer)

  所谓的"嗅探",就是攻击者利用某些技术手段,截获你的网络数据流并进行分析,从而获取某些有价值的信息。通常来说,"嗅探"只是入

侵的初始阶段(准备阶段)。攻击者通过"嗅探"获取到的信息,通常用来进行辅助后续的入侵行动。

  举例:
  很多人喜欢通过公共场所的 WiFi 热点上网。假如你使用的 WiFi 热点没有设置为强加密。那么,某个攻击者就有可能利用 WiFi 嗅探工

具,截获你的上网流量。如果你正好在收发Web邮件,而且没有通过 HTTPS 加密(好多国内的 Web 邮箱不支持全程 HTTPS 加密)。那么,攻

击者就可以看到你的收发的邮件内容。

  不过捏,关于嗅探的防范,不是本文的重点。因为俺之前写一个系列博文《如何隐藏你的踪迹,避免跨省追捕》,里面介绍的各种招数(

比如加密代理的使用),已经足以帮你对抗"嗅探"了 :)

◇钓鱼

  "钓鱼攻击"包括很多种,基于 Web 的钓鱼是其中之一。
  由于"钓鱼攻击"属于"社会工程学"的范畴,也不是本文的重点。今后有空的话,单独写一篇"关于钓鱼攻击的防范"。

◇利用浏览器自身的安全漏洞

  在本系列前一个帖子里,俺已经扫盲了"漏洞"、"补丁"等概念以及相关的一些常识。健忘的同学,可以再去温习一下。
  在软件行业中,几乎每一款软件都会有漏洞——浏览器自然也不例外。浏览器的漏洞有很多种,其中一类叫做"安全漏洞"。顾名思义,就

是会导致安全问题的漏洞。
  如果某款浏览器的安全漏洞被攻击者发现,而浏览器厂商自己还不知晓。那么攻击者就可以利用该漏洞,发起广泛的攻击。

  举例:
  假设某个黑客研究 IE 的内核,首先发现 IE 存在一个"渲染图片导致缓冲区溢出"的漏洞。由于该漏洞是独家发现,只要该黑客不公开漏

洞的信息,连微软(也就是 IE 浏览器的厂商)也会蒙在鼓里。因此,也就没有针对该漏洞的补丁。那么,这个黑客会如何利用该漏洞捏?
1. 首先挑选一张图片(为了吸引人,通常会选一张美女图之类的照片),然后精心地嵌入一段攻击代码在图片内部。
2. 把这张图片放到网上(比如张贴到某个大型论坛,再配上一个吸引人的标题)。
3. 过不了多久,就会吸引到很多网友来围观。如果围观的网友用的浏览器不是 IE,那么他仅仅是看到一张美女图而已,不会有啥异样。如果

围观的网友用的正好是有漏洞的 IE 版本,当 IE 打开那张图片的瞬间,攻击代码就会被激活(被运行)。然后,攻击代码会悄悄地在这台电

脑中安装一个木马(行话叫"植入木马")。之后,这台电脑就成为攻击者的肉鸡了(攻击者可以远程控制肉鸡,为所欲为)。
4. 攻击者控制了肉鸡之后,既可以拿去卖钱(有专门的地下肉鸡交易市场),也可以偷窥机主的隐私(看看有没有网银、裸照、QQ靓号)。如

果控制的肉鸡数量巨大,还可以搞 DDOS 攻击......

◇利用浏览器插件或扩展的安全漏洞

  如今大部分浏览器上,都安装了插件。最常见的插件就是 Flash 插件。另外还有 PDF 插件, Java 插件,等等。
  浏览器的插件也属于软件,也会存在安全漏洞,因此也可以被攻击者利用。一般来说,攻击者对插件漏洞的利用,类似于对浏览器漏洞的

利用。

  举例1:
  2011年,美国大名鼎鼎的安全公司 RSA 遭到入侵并且被深度渗透,连看家产品 SecureID 的密钥也被偷了。
  攻击者之所以能得手,就是利用了 Flash 插件的一个零日漏洞。洋文好的同学,可以看"这里"的详细报道。

  举例2:
  同样是在去年,有不少 Gmail 用户遭到入侵。但实际上,Gmail 本身并没有出问题。攻击者是利用 Flash 的漏洞,伪造跨站请求,然后

在 Gmail 的转发列表中加入一个攻击者的邮箱。之后,被害人收到的所有邮件,都会自动转发给攻击者。相关报道请看"这里"。

  从最近几年的趋势来看,插件漏洞导致的安全问题,要多于浏览器漏洞导致的安全问题。

◇跨站脚本攻击(XSS)

  最后再来说说"跨站脚本"的问题。
  大部分 XSS 攻击,都是利用网站本身的漏洞。所谓的网站,其实就是若干 Web 服务器,上面运行若干软件。前面说了,只要是软件,就

可能存在漏洞(包括安全漏洞)。所以,Web 服务器上的软件自然也不例外。
  基于 XSS 的攻击有很多种类型,具体的技术原理也有所差异。考虑到大部分读者不是搞技术的,俺就不深入展开了。仅举一例,让大伙儿

有个感性的认识。

  举例:
  比如某个 BBS 论坛存在漏洞——没有对用户发布的帖子内容(此处的"内容",不是指文字内容,而是指特殊字符)进行严格的检查。如果

某个攻击者发现了此漏洞,就可以精心构造一个帖子,在帖子的正文中包含一段攻击脚本(通常是JavaScript)。接下来,攻击者把这个帖子

发布到该论坛上。
  然后捏,如果有人浏览了这篇帖子,这段攻击脚本就会被激活,然后干坏事......

★如何选择浏览器?

  对于用户来说,浏览器是 Web 的根基。所以,谈 Web 的安全防范,首先得聊一聊如何选择浏览器。
  挑选浏览器有如下几个指标供参考:
1. 浏览器的质量好不好
评判安全方面的质量,最关键的一条是:看浏览器有没有经常出安全漏洞。
2. 浏览器的更新快不快
爆出漏洞后,浏览器的开发团队是否及时出补丁或新版本。在《安全漏洞的基本防范》一文,俺介绍了"零日漏洞"的概念。浏览器修补漏洞越

及时,网友暴露在"零日漏洞攻击"的时间就越短。
3. 浏览器的功能强不强
除了要看浏览器本身的功能,还要看其支持的扩展是否丰富。

  根据上述指标,俺把市面上常见的浏览器,根据靠谱的程度,划分为如下三类:

◇第一类:Firefox 和 Chrome

  俺个人强烈建议用 Firefox 或 Chrome 进行网上冲浪,因为这两款浏览器很符合上述指标。
质量好
10年前,浏览器市场被 IE 一统天下。但如今捏?IE 在全球的市场份额已经被 Firefox 和 Chrome 占去一半。这充分说明 Firefox 和

Chrome 的质量很好。另外,在安全漏洞方面,Firefox 和 Chrome 也优于 IE。
更新快
说到快速更新,这是 Chrome 的首创。从去年开始,Firefox 也学 Chrome 采用快速版本更新。顺便提醒一下,这两天刚推出的 Firefox 15.0

开始采用后台静默更新。
功能强
说到功能,Firefox 刚出道时,利用丰富的扩展吸引了足够多的用户。如今,无论是扩展的种类还是扩展的下载量,Firefox 是最多的;至于

Chrome,由于出道时间晚,这扩展方面不如 Firefox,但显然比 IE 强多了。

  除了上述这几条,这两款浏览器还具有如下优点:
支持的平台很多
支持三大主流的桌面系统(Windows、Mac、Linux),支持两大主流的移动系统(Android、IOS)。
开源项目
由于开源而且参与的程序员也多,所以软件中的漏洞容易被及早发现。
支持 SPDY
SPDY 是 Google 提出的下一代 HTTP 协议的候选标准(相关介绍在"这里")。SPDY 不但性能更高,而且所有传输内容都采用 SSL 进行加密。

如此一来,不但让 GFW 头痛,而且也可以很好地避免攻击者的嗅探。
既然是 Google 发明的协议,Chrome 自然是第一个支持的浏览器。至于 Firefox,跟进也很及时,从 Firefox 11.0 就开始支持 SPDY。
顺便说一下:要使用 SPDY,光浏览器支持是不够滴,还需要服务端支持。如今 Google 所有的服务,都已经支持 SPDY 了。其它一些大型网站

(比如 Facebook)也已经开始迁移到 SPDY 协议。希望不久的将来,是 SPDY 的天下。

  以上就是俺推荐 Firefox 和 Chrome 的理由。在本文的后续章节,俺会以这两款浏览器为主,进行介绍。

◇第二类:IE、Safari、Opera

  先说 Safari 和 Opera。这两款的出道时间早于 Firefox 和 Chrome。忙活了这么多年,如今的市场份额依然很低,这已经说明某些问题

。另外,俺个人觉得 Safari 和 Opera的扩展和插件不够丰富,更新速度也不够快,所以俺不推荐。

  至于 IE,好歹也是市场份额最大的浏览器,为啥俺把它放到第二类捏?有如下几个原因:
1. IE 跟 Windows 集成得太紧密。IE 如果爆漏洞,通常要等微软发布 Windows 补丁来修复。而 Windows 补丁是按月发布的——太不及时了


2. 相比 Firefox 和 Chrome,IE 是闭源项目,而不是开源项目。闭源项目由于源代码不公开,而且参与的人不够多,导致潜在的漏洞难以被

发现。
3. IE 的市场份额最大,而且菜鸟用户大都使用 IE。正所谓树大招风,攻击者会更对地针对 IE 发动入侵。

  说到这儿,可能有同学会问:天朝的好多网银都只能用 IE(很多网银客户端依赖于 IE 的 ActiveX 控件),咋办捏?别担心,在本系列

的下一篇《Web相关的防范 (下)》会谈到此问题的解决方法。

◇第三类:五花八门的国产浏览器

  说到国产的浏览器,有必要谈一下浏览器的内核(也就是浏览器的引擎)。绝大部分国产的浏览器,都不是自己开发内核,而是基于老外

现成的内核。常见的浏览器内核有三款,分别是:
Gecko 内核(来自于 Mozilla 开源组织,主要供 Firefox 使用)
Trident 内核(来自于微软,主要供 IE 使用)
WebKit 内核(独立的开源项目,Chrome 和 Safari 使用此内核)
  几款常见的国产浏览器(360浏览器、傲游浏览器、QQ浏览器),使用的是 Webkit + Trident 的双内核模式。
  某些国产浏览器把双内核作为吹嘘的亮点。但在安全层面,双内核反而会带来安全问题。假如你手头的国产浏览器采用了 Webkit +

Trident 双内核。只要这两款内核中,有一个爆出安全漏洞,你就有可能中招。也就是说:双内核会增加你中招的概率。
  俺极力反对国产浏览器,还有另一个原因——政治层面的安全问题。朝廷为了监控屁民在互联网上的一言一行,会跟国产浏览器厂商合作

,通过浏览器记录网民的行踪。

  举例:
  腾讯当年的TT浏览器,会把用户上网行踪记录在某个文件中。
  至于 360,名声更是臭不可闻。360 浏览器本身就存在收集用户隐私的问题,居然还好意思自称是"安全浏览器"。而且大伙儿别忘了,奇

虎公司跟 GFW 一直保持着暧昧的关系哦。

  综上所述,俺个人非常不建议使用国产浏览器。

★如何选择插件和扩展?

  说完浏览器的选择,再来聊聊如何选择插件和扩展。

◇插件和扩展的区别

  先来扫盲一下插件和扩展的区别(连很多 IT 技术人员都把这两者混为一谈)。所谓的插件,洋文叫"plugin";所谓的扩展,洋文

叫"extension"。两者的区别如下:

  插件
  在功能上,插件通常是用来渲染页面里的 <object> 或 <embed> 标签;不会增加浏览器自身的功能。
  插件通常实现比较底层的功能,通常以平台相关的代码(本地代码)编写,可以调用操作系统的 API。形式上,插件以动态库(Windows

上就是 DLL 文件)的方式,加载到浏览器的进程内。由于使用本地代码编写,插件通常依赖于特定的操作系统(不同系统的插件不能混用)。

举例:
Flash 插件
媒体播放器插件
PDF 插件
Java 插件

  扩展
  扩展,顾名思义,是用来扩展浏览器自身的功能。所以,扩展可以调用浏览器自身的 API,但是大部分扩展不能调用操作系统的 API。
  一般来说,扩展是跟操作系统无关的。比如 Firefox 的大部分扩展,既可以用于 Windows 平台的 Firefox,也可以用于 Linux 和 Mac

的 Firefox。

举例:
俺去年推荐的 GreaseMonkey,就属于扩展。

◇插件和扩展在安全方面的差异

  由于插件比较底层,一旦出现高危漏洞(比如能够执行本地代码的漏洞),攻击者就可以在操作系统中植入木马。可以这么说,插件出现

漏洞,其危险性类似于浏览器出现漏洞。
  相对而言,扩展出现漏洞,其危险性往往不如插件严重,通常也不会导致攻击者植入木马。

◇尽量使用大众化的扩展

  虽然扩展出漏洞导致的危险性不如插件那么高,但也不能掉以轻心。
  俺的经验是,尽量使用知名度高,用户数众多的扩展。这样的扩展,相对来说比较靠谱,成熟度比较高。即使出了漏洞,更新也比较及时


  反之,对于某些很少人用的扩展,最好敬而远之。顺便提一下。某些层次低的入侵者,甚至会把木马伪装成浏览器扩展,再忽悠一个很花

哨的功能,然后放到网上给大伙儿用。

◇尽量避免使用插件

  从上述对比可知,插件如果出现漏洞,危险性很高。所以,俺的建议是:尽量避免使用插件。
  不过捏,避免使用插件,说起来简单,但是做起来有点难度。其它插件,说不用就不用了。但是 Flash 插件,实在是用得太广泛了(视频

网站用到它,网页休闲小游戏也用到它),估计大伙儿难以割舍啊。
  不幸的是,Flash 插件又最危险。一方面是因为 Adobe 的程序猿,安全意识太差;另一方面是因为 Flash 是用得最多的插件,成为攻击

者的重点研究对象。根据2011年的统计数字,去年一年,光是高危漏洞,Flash 就爆了4次——当之无愧地坐上漏洞排行榜的头把交椅。
  面对 Flash 插件,该咋办捏?列位看官,请听下回分解。(下一篇会尽快发布)

作者: 啊拉哒 发表时间: 七月 02, 2012, 05:31:15 am

wo ba sogou pinyin xie zai le yi hou ,an zhuang shang Google pin yin da bu chu lai zi le ,bu zhidao 
zenme ban.zhe shi zen mo hui shi ne ?

词库丢了 重装系统

作者: freebirdmy 发表时间: 三月 15, 2012, 03:43:14 am

占位

作者: bxwmgx 发表时间: 十二月 05, 2011, 08:55:14 am

wo ba sogou pinyin xie zai le yi hou ,an zhuang shang Google pin yin da bu chu lai zi le ,bu zhidao 
zenme ban.zhe shi zen mo hui shi ne ?

作者: 最喜欢翻墙 发表时间: 十一月 17, 2011, 02:52:51 am

好帖子一定要按爪支持!!谢谢楼主!!

作者: fanfanfan 发表时间: 十一月 16, 2011, 08:47:10 am

0___0活在大陸怎感覺活在紫禁城..........好無趣!玩個微薄就被20萬網軍監控~大陸人民病的不清...還好有未生病的網民HOLD住了~哈哈哈

作者: 光合作用 发表时间: 八月 24, 2011, 09:21:57 am

请问楼主,msn会被监控吗?g-talk呢? 是不是国外引进的网游也有危险?

作者: zhanghao 发表时间: 七月 15, 2011, 09:42:47 pm

请问中国心,PCTools防火墙要经常更新吗?

现在的软件不都自动更新?

作者: 请问 发表时间: 五月 28, 2011, 05:24:29 am

请问中国心,PCTools防火墙要经常更新吗?

作者: liyafe1997 发表时间: 五月 01, 2011, 10:13:22 pm

呵呵 我一直在用国内的杀毒软件 QQ 迅雷 倒没有什么问题呀。

作者: 解体中共 发表时间: 三月 13, 2011, 10:41:30 pm

科莫多。小红伞们都在用,很好很强大,谷歌输入法也在用,虽然界面比较丑陋

作者: 邵恩 发表时间: 十一月 08, 2010, 07:29:25 pm

有什么安全的音乐播放器介绍下吗?可以播放youtube下载的视频格式的文件就可以谢谢

作者: 星空 发表时间: 十月 27, 2010, 11:16:23 am

去网上搜一下详细的使用教程吧,多看看。玩熟练了,才能发挥出防火墙的威力。科摩多能拦截QQ硬盘底层读取,但不防普通读取。有些社会主义特色的国产软件是很难让它彻底“完全就范”的。

作者: iushdh 发表时间: 十月 23, 2010, 03:07:30 am

  请问一下专家,科摩多防火墙能阻止和拦截有些国内软件的偷窥用户电脑硬盘或隐私吗?

作者: 新手 发表时间: 十月 15, 2010, 06:09:18 am

我用的是诺顿企业版,终身免费升级.不知道安全否?

作者: judy523 发表时间: 十月 12, 2010, 04:27:19 am

我就是用Pidgin连到QQ上去的,还装了端对端加密,聊天内容都不让腾讯看

作者: vee_eye 发表时间: 十月 10, 2010, 09:38:11 am

补充一点,目前要从国外网站下载小红伞的话,似乎必须用代理了。也许某一天也会将Skype那样搞出一个有中国特色的版本来。

作者: doirsj 发表时间: 九月 06, 2010, 02:28:27 am

请问中国心,能不能给我们一个TV007网络电视软件呀?

作者: iopm 发表时间: 六月 25, 2010, 05:32:55 am

戳到薄熙来痛处 重庆三名记者被传讯劳教
——薄熙来加强言论管制 三名记者被传讯劳教
分享家打印版 【 阿波罗新闻网2010-06-25讯】 
 

24日,记者从重庆晨报多位人士处获悉,重庆希尔顿股东“涉黑”案发后,重庆晨报一记者因为在天涯论坛上发布"不当言论",被有关部门处以劳教。 

该事件涉及重庆晨报三位记者,其中两名记者因在QQ群内讨论"不当内容"被警方传讯。另外一名记者则因通过天涯社区发布涉案相关的"不当言论",被有关部门控制。

目前,重庆晨报方面要求员工对该事件保持缄默。与此同时,重庆晨报高层接连几天与有关部门交涉,希望解决这一问题。

本报记者从各种渠道证实,两位受到传讯的晨报记者已经恢复正常工作。被处劳教的记者因所涉事态严重,有可能移送法办。该消息没有得到官方证实。

目前,重庆有关部门尚未向外界透露关于此案的相关内容。

对这一事件,本网记者将进一步追踪报道。

大洋网

阿波罗网编后按:还不知道记者爆出什么,戳到薄熙来痛处? 我们会继续跟踪。

作者: 中国心 发表时间: 六月 21, 2010, 09:03:46 am

CCleaner、无影无踪、Tracks Eraser等这几款软件都可以

作者: MGFHJKI 发表时间: 六月 20, 2010, 03:45:19 am

那请问下什么软件可以清除软件使用痕迹

作者: 78963 发表时间: 六月 16, 2010, 07:03:55 am

说说和个人软件有关的防范知识。

  ★为啥要防范个人软件?
  去年那个臭名昭著的“绿 垻 事 件”,大伙儿应该记忆犹新吧?据说这玩意儿可以把你上过哪些网站、甚至通过键盘打了哪些字都记录下来,然后发送到“绿 垻”公司的服务器上。如果你的电脑上装了它,基本上你的一举一动,都在党国的监视之下(这就是所谓的“老大哥在看着你”)。这时候,你即便再搞什么隐藏IP、加密代理,也是白搭。

  所以捏,你必须彻底杜绝这种带有后门性质、木马性质,且受控于党国的软件。那么除了“绿 垻”,还有哪些软件可能会暴露你的隐私和行踪捏?俺粗略整理了几种类型,介绍如下。

  ★即时聊天(IM)软件
  说到聊天工具,自然就会提及QQ——毕竟它占据了国内IM市场的大头。所以俺就具体说一下,党国是如何利用腾讯公司来监控/打压不和谐的声音。

  ◇监控聊天内容
  首先,党国会利用QQ监控你的聊天内容(不论是1对1聊天还是群聊)。比如,党国60大寿前后,很多QQ群被封——因为群里面的讨论的内容涉及了某些敏感词。另外,还可以

到网上搜一下标题为“腾讯QQ如何监视你的聊天记录”的帖子,看看别人的遭遇。另外还有很多揭露QQ的文章。

  ◇利用聊天历史记录取证/抓人
  有些维权人士、异议人士、民运人士明显缺乏对党的斗争经验,居然敢用QQ相互联络。结果是:不光自己暴露了,还牵连了别人。这样的例子太多了,俺就拿前几天(4月20日)刚宣判的“严晓玲、范燕琼案件”来说一下。
  话说福建的年轻女子严晓玲神秘而离奇死亡。有些网友看不下去,在网上为她喊冤。结果捏,统统被福州警方捉拿归案——罪名都是“涉嫌诬告”,其中三人被判有期徒刑。

在办案过程中,咱们的公检法部门,充分利用QQ进行顺藤摸瓜,以迅雷不及掩耳盗铃之势,把这些维权者一网打尽。请看被捕网友郭宝峰的原话:
各位,够胆就继续用QQ吧,监狱等着你们去闯。警方当时不但通过QQ把我们几个一网打尽,而且一个警察曾经拿着厚厚的一叠我和游兄的聊天记录让我签字,我完全没有想到我和

他说过如此多的话而且多数记录和本案没有直接关系。我拒绝签字,那位警察就说:“你不签也没关系,我们有证据。”
  这下知道QQ的利害了吧?

  ◇利用QQ搜罗电脑中的文件
  今年1月份,坊间又有新的传言,说QQ还会扫描你硬盘上的某些文件(具体请看:“这里”、“这里(墙外)”、“这里”)。如此一来,QQ的危险性又增加了一层。不排除今后有关部门利用QQ 庞大的装机量,收集QQ用户电脑中的敏感文件。这虽然有点耸人听闻,但俺一向不惮以最坏的恶意来揣测咱们伟大的党。
  顺便说一下,有2个QQ的替代品:其一是:腾讯提供的Web版的QQ工具(在“这里”);其二是:开源的Pidgin(支持QQ协议)。用这2个替代品,可以避免QQ客户端软件扫描你的硬盘文件,但还是无法避免你的聊天内容被监控。

  ◇还有哪些IM可能被监控?
  既然党国的有关部门会利用QQ进行监控,它自然也不会放过其它几款国内的聊天工具——毕竟它们的老窝还在天朝之内,有关部门要它干啥,都得乖乖听话。因此,如下的几款IM,都有可能处于党国有关部门的严密监视之下。
移动的飞信
淘宝的旺旺(后改名阿里旺旺)
新浪的UC(前身是朗玛UC)
网易的泡泡
百度的HI
  另外,Skype虽然是国外进口软件,但它的Tom版,后门可是大大滴哦!所以,如果你平常使用Skype,一定要用国际版(在“这里”),千万别用Tom版!另外再啰嗦一下,不要开启 Skype的自动升级功能。

  ◇比较可靠的IM
  那如何选择可靠的聊天工具捏?俺建议使用如下几款:
GTalk——Google推出,相关介绍在“这里”
Skype——务必要用国际版,相关介绍在“这里”
Pidgin——开源的IM客户端,支持N多种IM通讯协议(包括QQ),相关介绍在“这里”。

  ★杀毒软件
  不光国内的IM工具不保险,国产的杀毒软件也要多加小心。

  ◇国产杀毒软件的危险
  在2010年初,瑞星和奇虎360给大伙儿上演了一出狗咬狗的闹剧。大伙儿在看热闹之余,也应察觉出某些杀毒软件厂商的险恶用心——在杀毒软件中暗藏后门。到底有多少国产杀毒软件暗藏后门,俺不敢随便乱说。但是既然360开了个头,不排除有其它厂商会效仿;另外,也不排除某些后门,就是党国的有关部门要求增加的。
  咱不妨设想这样一个场景:
  你用了某款国产杀毒软件,而该软件恰好又安放了受党国控制的后门。那么,它就可以名正言顺地对你硬盘中的每一个文件进行扫描;然后,在扫描的过程中,顺便收集一下你电脑中的敏感文件;再然后,利用在线升级的机会,顺便把收集到的信息传回厂商的服务器上;最后,党国的有关部门发觉了你的异动,到你家来敲门。

  ◇应对措施
  要规避上述风险,也挺简单——就是尽量不用国产滴杀毒软件,改用国外滴。 目前党国滴触角还不够长,还没有伸到国外杀毒厂商那里。

  ★浏览器
  再来说说上网必用的工具——浏览器。

  ◇浏览器的选型
  最近这些年,搞Web浏览器似乎成为时尚潮流,稍有实力的公司都去跟风。因此,Apple推出了Safari、Google推出了Chrome、腾讯搞了个TT浏览器、奇虎搞了个360安全浏览器

......真是好不热闹。
  面对这么多花哨的浏览器,大伙可得留神。像腾讯、奇虎这些国内公司推出的浏览器,同样有可能暴露你的行踪。还是用国外大公司的(如IE、 Chrome)或者开源的(如Firefox)比较靠谱。具体的道理和杀毒软件类似,俺就不再多啰嗦了。

  ◇记得清除上网的痕迹
  某些浏览器(比如Firefox 3.5、IE 8)支持“隐私浏览模式”。如果你通过浏览器进行某些敏感的操作,建议在隐私浏览模式下进行。这样,当你干完事情后,只要关闭了浏览器,那些浏览历史以及 cookie信息就不会保存下来。避免将来被党国拿去,成为你的罪证。
  万一你用的浏览器比较土,没有这种模式,咋办捏?那你就得保持一个好记性,每次干完事情后,清除一下上网的缓存、浏览历史、cookie等痕迹。

  ◇小心浏览器的CA证书
  浏览器的CA证书,一直是被忽视的薄弱环节。直到2010年初,CNNIC通过招摇撞骗,成为根证书颁发机构,这个薄弱环节才引起少数网友的重视。如果你对CA证书缺乏了解,请先翻墙看看“数字证书扫盲帖”,然后再看看“CNNIC证书的危害及清除方法”。看完之后,应该就明白CNNIC证书的危害性了。

  ★输入法
  得益于热心网友在评论中的提醒,俺再追加“输入法”这一节。

  ◇输入法的危险性
  其实,早期传统的输入法都是单机软件,是没有太大的隐私风险。
  但是随着这几年网络的发展,Web 2.0的普及,连输入法软件也开始上网了(还冠之以“云输入法”,可见IT业多么喜欢炒概念:)。很多新推出的输入法,可以把用户个性化的词库同步到输入法厂商的服务器上。这样,无论你使用哪台电脑,只要该电脑可以联网,你就可以体验到自己的个性化词库。
  但是,这样也就带来了一个潜在的隐私问题。因为输入法软件非常了解你经常输入哪些词组,而且把你经常输入的词组保存到你的个性化词库,然后再把词库同步到服务器上

。如果你用的输入法是国产软件,那么,党国一样可以逼迫输入法的软件厂商把每一个用户的个性化词库公开给有关部门。然后有关部门就可以通过你的个性化词库,知道你平时经常输入哪些东东。

  ◇如何防范?
  如果你觉得输入法在线同步词库的功能很爽,让你很High,让你不可抗拒,俺还是奉劝那句老话:别用国产滴,用进口滴。
  如果你觉得在线同步只是个花哨的功能,无所谓,俺建议你还是用单机模式的输入法比较保险。这时候无论国产/进口,差别应该不大。

  ★个人软件使用总结
  前面哇啦哇啦说了许多,大伙儿应该看出点门道了吧?——但凡国产的、带有网络功能的应用程序,只要用的人多了,都可能被有关部门盯上。所以,不要怨俺崇洋媚外,实

在是党国的爪牙无孔不入啊!
  可能会有人质疑说:老美的软件,也可能植入了美帝的安全局的后门啊!
  但是俺想反驳说:即便国外的那些软件,都带有美国国安局的后门,俺也不怕。毕竟他们不会对俺实施跨国追捕 :)

作者: dannyqin 发表时间: 六月 12, 2010, 01:51:43 am

QQ还是要用的,输入法我用五笔,没办法了

作者: 中国心 发表时间: 六月 11, 2010, 05:41:15 am

请问中国心网友,AVG的LinkScanner组件,如果安装上去,是否可以暂时关闭它的功能?如果可以的话,那我只在上海外禁网时关掉它,是否可以解决您说的网址泄露的问题?
因为感觉没有LinkScanner组件的话,上一般的网站还是会很不安全。

关闭LinkScanner应该也可以。只是从理论上看,还没有测试过,很久没用AVG了

小红伞也被河蟹了,抱无界996为木马,真是入乡随俗了,还能用那种国外的杀软呢?无奈。

这个应该是误报,可以设置排除的
1)双击小红伞图标,打开主界面,点主界面上的〖配置〗按钮或直接按F8,打开程序设置对话框。
 
2)勾选〖专家模式〗,然后选择〖Guard〗-->〖扫描〗-->〖例外〗,打开实时监控的排除选项设置。点省略号按钮之后,会弹出浏览文件夹对话框。
 
3)在对话框中选择要排除的文件或者文件夹,点〖确定〗按钮返回。

4)返回后选择的文件或文件夹就出现在输入框里面了,之后点〖添加〗按钮。

5) 最后点设置对话框底部的〖确定〗按钮应用排除设置,设置后会关闭设置对话框。
如果要在扫描器中排除,需要在扫描器的排除选项中添加这个路径,具体设置位置:〖配置〗-->〖专家模式〗-->〖扫描程序〗-->〖扫描〗-->〖例外〗-->添加排除。操作和前面的步骤类似,这里不再重复。一般来说,扫描器也不一定要设置排除。

作者: hx 发表时间: 六月 07, 2010, 10:48:31 pm

小红伞也被河蟹了,抱无界996为木马,真是入乡随俗了,还能用那种国外的杀软呢?无奈。

作者: 21年 发表时间: 六月 06, 2010, 09:46:44 am

请问中国心网友,AVG的LinkScanner组件,如果安装上去,是否可以暂时关闭它的功能?如果可以的话,那我只在上海外禁网时关掉它,是否可以解决您说的网址泄露的问题?
因为感觉没有LinkScanner组件的话,上一般的网站还是会很不安全。

作者: k2236182k 发表时间: 六月 05, 2010, 06:09:11 pm

谢谢LZ,辛苦了

作者: 中国心 发表时间: 六月 03, 2010, 01:53:54 am

二楼有提到