安全基础知识:浏览器的安全通信

1.Web浏览器的安全使用
      上网离不开浏览器,所以浏览器的安全性能非常重要。我们有时会看到类似这样的报道:"当心,浏览网页硬盘会被共享!"、"可以格式化硬盘的网页代码"等,这些在技术上是存在可行性的,绝不是危言耸听。
现在市场上的许多浏览器可以说是各有特色。微软的新一代浏览器IE 6.0因为采用开放的标准并加强了对Cookie的管理而受到普遍欢迎。它是在IE 5.5基础上发展而来的,能够完全兼容Windows 98/Me/2000操作系统,而且微软采用了隐私标准P3P。从理论上看,能更安全地进行信息传输和访问Web服务器。如果访问的Web服务器不符合指定的最低安全要求,IE 6.0将在任务栏上发出警告。
      一般而言,IE 6.0的安全使用及设置技巧有以下几条:
① 屏蔽恶意网站,通过IE 6.0的Cookie策略,个性化地设定浏览网页时的Cookie规则,更好地保护自己的信息,增加使用IE的安全性。
② 有效保护IE的首页和工具栏,经常清除已浏览网址(URL),清除已访问网页。
③ 使用智能过滤控件,经常清除已浏览网址(URL)和已访问过的网页,禁用或限制使用Java、Java小程序脚本、ActiveX控件和插件。
④ 调整自动完成功能的设置,做到只选择针对Web地址、表单和密码使用"自动完成"功能,也可以只在某些地方使用此功能,还可以清除任何项目的历史记录。
⑤ 若需要隐藏控制面板、网上邻居等选项,可以使用安全特别设置。
⑥ 使用在线杀毒功能,以便全面掌握计算机的安全状态。
      当然,要想做到无忧无虑地上网,实现网上安全冲浪,应该注意的问题很多,比如,安装个人防火墙和病毒防火墙、及时更新杀毒软件、使用安全合理的密码口令、不随意下载和运行不明软件等。而且,从网络用户自身来讲,还要提高自己的素质修养、保持良好的心态,要经得住一些恶意网站的诱惑,尤其是一些包含有不健康内容,或者是反动内容的网站,因为这些类型的网站往往是对用户浏览器或计算机造成威胁的主要源泉。我们只要养成良好的上网习惯,就能在很大程度上保证"防黑于未然"。
2.传输和传输更新
      如果客户机不能与站点建立联系(更不用说链接和交换数据了)的话,那么这个站点实际算不上是一个站点。通常认为,Web由传输协议(GTTP)、数据格式(HTML)及浏览器(Mosaic、Netscape、Internet Explorer等)组成。使用协议、数据格式或浏览器,无须任何特别要求。因此,使用Web浏览器、Web专用协议、Web专用数据格式等工具,就可以建立Web链接。
      不断更新是Web站点成长的关键。信息链接不停地更新、重建与改变,将有助于安全的需求。Web的整个概念以HTML文档为中心,必须保持其最新,否则,将严重限制服务质量。本质上讲,Web只允许单一种类的文本作为链接资源。
更新包含使用户获得最新信息的能力。但提高质量无疑以牺牲速度作为代价,而且可以通过允许链接独立存储的数据信息,使Web传输中可以处理各种形式的文档类型。这种方法被用于描述超媒体的HyTime国际标准采纳。它允许在封闭的数据格式中使用链接,但不能使用URL名。
3.Web传输的安全需求
      所有信息要想交换,必须在网络上进行传输,那么传输的过程就是Web安全至关重要的一个环节。Web浏览器和Web服务器之间的信息交换也是通过数据包的网络传输来实现的,所以,Web数据传输过程的安全性直接影响着Web的安全。当因特网上的传输信息被非法截获,尤其当远程用户向Web服务器传输交易信息(如财政数据或信用卡信息)时,交易的数据可能被非法截获。因此,在Web上进行交易时可以通过数字签名技术,使消息的发送者和接收者在交换信息时都承认参加了信息的交换,当接收者知道发送者签署了交易合同时,应当确信该交易是可靠的。此外,对在因特网上传送的信息必须加密,防止他人偷看,并确保信息不会被改变,直到信息到达目的地。必须保证用户和Web服务器传送的信息没有被泄露或篡改,这一点在经济交易时尤为重要。
不同的Web应用对于传输有着不同的要求,但一般都包括如下几个方面。
① 保证传输方所发信息的真实性:要求所传输的数据包必须是发送方发出的,而不是他人伪造的。
② 保证传输信息的完整性:要求所传输的数据包完整无缺,当数据包被删节或被篡改时,有相应的检查办法。
③ 特殊的安全性较高的Web,需要传输的保密性:敏感信息必须采用加密方式传输,防止被截获而泄密。
④ 认证应用的Web,需要信息的不可否认性:对于那些身份认证要求较高的Web应用,必须有识别发送信息是否为发送方所发的方法。
⑤ 对于防伪要求较高的Web应用,要保证信息的不可重用性:尽量做到信息即使被中途截取,也无法被再次使用。