360和金山的口水大战告一段落,由于自己时间安排问题,也由于我一直认为这种事情事后分析更理性,所以我按捺心情,直到今天早晨才仔细查看了全部 过程,包括周鸿祎先生的长篇连续微博,也包括金山安全CEO王欣的声明。
这里,我不想评论双方的孰是孰非——或者说,如果被两个人谁影响,我觉得才是被他们忽悠了。大家都是“总”一级的人物,哪怕周总时不时来两句略显个 人风格的词汇,大的原则分寸肯定不可能有问题。因此,说这是一场没有经过彩排的大戏,那一点也不为过。如今戏散了,各主要演员洗洗睡了,各位看客如何还沉 迷其中,那就有点可笑了。因此需要声明,本文绝对没有任何评价360和金山的意思,只是就此产生的一点联想而已——确切地说,是看到金山声明中的一句话让 我陷入了回忆——“作为一家有着22年历史的民族软件品牌,作为一家13年历史的专业安全品牌……”
51CTO最近举办了一个“拯救 网站运维经理赵明”的活动,活动主要讲了一个网站运维经理由于网站被黑而面临失业的故事。其中急需解决的问题,就是如何保护我们的网站。Web应 用安全该如何做?怎么才能找到最佳方案?我们就这一主题来采访一下绿盟科技的安全产品经理赵旭。
赵旭:让WAF插上互联网的翅膀......(分话题六)
一个网站,安全问题来自于多方面。如果只是保证了单一的任何一 方面,都不可能保证绝对的安全。所以需要使用诸多的技术手段来保证网站的全面安全,比如最重要的就是进行检测和防护:前者可理解为如何找出网站的漏洞,而 后者则是找出漏洞后进行的针对性加固。这也正是目前市场上出现众多IDS(入侵检测系统 )和IPS(入侵防御系统)产品的原因。
一、 攻击事件背景
深夜,某网站运维经理赵明正戴着耳麦趴在桌子上接到一个匿名电话,紧接着随即打开了公司的首页,发现公司网站被黑客非法入侵。整个屏幕赫然留下了几 个血红色的英文字母“The evil is coming,We will be back”。公司依托网站运行的业务被迫中断,客户部第九次进行投诉,运营总监一脸阴沉...http://netsecurity.51cto.com/art/201005/199941.htm
Sandbox,沙盒,几年前出现的一个“不温不火”的技术。然而就在近一两年,这一技术已经被广泛应用在了安全领域的许多方面,比如杀毒软件、浏 览器,甚至Office 2010中,也许,Adobe Reader这样的PDF阅读器也将很快支持沙盒机制。沙盒技术可能会成为新一代的安全防护手段。
2010年初,著名的安全专家 Dino Dai Zovi(如果你关心计算机安全领域一定知道此人),作出了一项预言,他认为“2010将是沙盒技术被广泛应用的一年,不可信数据将在沙盒之中被处理。”
http://netsecurity.51cto.com/art/201005/197727.htm
对数据库管理员来说,MySQL颇多吸引人之处,例如它的免费和开源,以及拥有详尽的文档和内置支持数据复制等。但是安全管理员会迅速指出它的一个 缺陷:加密。政府对数据隐私保护的要求极为严格,通过局域网或广域网复制数据都需要加密。
尽管可以通过编译MySQL使其支持SSL,但许多二进制发行版并未激活该功能。打开一个SQL提示符,然后键入命令“show variables like '%ssl%”。如果“have_ssl”或“have_openssl”被设置为“No”,则很不幸该功能未被激活。幸运的是,我们还有另一种选择来从 源代码重新编译。安全外壳(SSH)支持数据隧道(data-tunneling),它可以建立一个类似VPN的迷你环境,来提供透明加密。首先,我们将 使用一个用户名/密码建立一条SSH隧道。我们将通过使用RSA密钥对远端进行认证。一旦隧道正常运行后,我们将设置数据复制。
http://netsecurity.51cto.com/art/201005/198798.htm
