自从该类参考书的第一版本问世以来,万维网的使用就日益广泛,电子商务成为人们日常生活和工作的一部分。在网络普遍使用的同时,对Web安全和隐私的威胁也日益增长-从信用卡的欺诈到商业秘密的窃取,从丑化网站到攻击甚至关闭大众网站。
《Web安全、隐私和商务》一书主要的内容就如标题所示,并且研究今天人们所面对的主要威胁。在对第一版本的大半部分修改的基础上,本书的Web安全方面的问题和技术将成为用户保护自己的隐私、组织、系统和网络的权威参考书。主要内容如下:
网络技术-加密、安全套接层(SSL)、公共密钥基础(PKI)、密码、数字签名和生物统计。
用户的网络隐私和安全-Cookie信息、日志文件、垃圾邮件、网络日志、网络故障、私人标志信息和统一窃取以及在插件程序中的具有敌意的移动代码、ActiveX控制、Java Applets和JavaScript、Flash、Shockwave程序。
网络管理者和内容提供者的服务安全-CGI、PHP、SSL、证书、P3P和隐私策略、数字支付、客户端的签名、代码签名、色情过滤、PICS、知识产权和立法问题。
"在因特网安全问题变得越来越严峻的时候,其相应的解决方案也越来越复杂,基本的安全策略由于只是有利于解决一些表面现象所以经常被遗弃。该书是着重于现代计算机环境的安全和隐私基础。该书是非常有益和有用的,并且书中的故事既具有娱乐性又有教育意义-他们具有非常惊人的商业经验!我向那些初学者和从事安全方面的人高度推荐这本书。对该领域的教师和作者有必要阅读该书”
--Tripwire的首席技术官 Gene Kim
“对于运营网站的任何人都需要强制性的阅读此书。它将帮助你作出英明的决策,并具有许多实用的例子。即使你已经从事该领域多年,你也会从该书获得收获。”
--网络/数据库顾问和Linux杂志的专栏作家 Reuven Lerner
O’Reilly的网址:www.oreilly.com
无
万维网(World Wide Web,WWW)改变了一切。在美国,大多数人都在使用网络来处理日常问题。人们可以利用网络来阅读新闻、查询天气情况甚至是历史事件。于是网络逐渐地就成为二十一世纪经济的焦点。现在不管是购买五十美元的收音机还是价值五百万的商务贸易,都要利用网络。
但是在网络上也存在着风险。在万维网的使用过程中发生的许多事情不断地提醒大家二十一世纪的万维网其实是和十八世纪六十年代拓荒前的美国西部一样充满了危险。例如:
2000年2月,Yahoo、Buy、Amazon、CNN、E1Trade以及其他的一些网站都被迫关闭了几个小时,原因是几千个计算机用户进行合作,同时登录这些网站进行攻击。尽管大多数网站在几个小时后就恢复正常,但是这次攻击所带来的损失仍是非常巨大的。比如雅虎就声称在这次攻击中仅在广告方面每分钟就损失了一百万美元。
1999年12月,一个声称十九岁的俄国男孩“Maxim”闯入了由Euniverse公司开发的CDUniverse网络数据库,并拷贝了300,000多个信用卡号码。随后Maxim就发了一份传真给Euniverse公司威胁说,如果不给他100,000美元,他就将窃取的信用卡号码发送到万维网上。12月25号,当公司拒绝了该项勒索之后,Maxim就将两万五千多个信用卡号码发送到黑客网站“Maxus Credit Card Pipeline”2。这造成了许多信用卡的欺诈和滥用。于是大部分的信用卡被其所属银行取消,从而给信用卡的合法客户3带来了诸多不便。同年,一些相似的侵入者和信用卡窃贼闯进了RealNames4、CreditCard、EggHead和其他的公司。
1:http://www.wired.com/news/technology/0,1282,33539,00.html
2:http://www.cnn.com/2000/TECH/computing/01/10/credit.card.crack.2/
3:包含本书的作者
4:http://www.thestandard.com/article/display/o,1151,9743,00.html
2000年10月,一个哈佛大学的学生发现只要对Buy公司发送给客户的退货的URL(Uniform Resource Locator,统一资源定位器)地址进行简单的修改,他就可以看到该公司的消费者的姓名、地址以及电话号码。学生Ben Edelman告诉《有线新闻》的记者1说“如此明显地轻视安全问题是不可原谅的”。
因特网上的攻击目标并不仅仅局限于电子商务网站。许多高度机密的网站遭到修改主页的攻击。例如美国司法局、美国中央情报局(见图P-1)、美国空军、联合国儿童基金会以及纽约时报等均遭到这种类型的攻击。一次在网址为http://www.antionline.con/archives/pages/的网站上有320多个黑客的主页。
对网络服务器的攻击并不是我们在电子科技的前沿所面对的唯一的风险。
2000年8月25日,一条虚构的新闻被上传到因特网的一个新闻机构——新闻在线,新闻的发布者声称消息是来自计算机硬件制造厂商——Emulex公司,并声称该公司的首席执行官已经辞职,公司迫于无奈只好调整本季度的收入来减少损失。第二天早晨,该公司的股票价格下跌了百分之六十:几个小时之内,这个价值数亿美元的公司损失了将近一半的资产。几天之后,权威人士宣称Emulex公司的恶作剧是被一个新闻在线服务的职员制造的,据说他在新闻发布前,出售Emulex的股票获利将近二十五万美元。
2000年5月4日,在一个叫做“Love Bug”的快速移动的蠕虫病毒侵入网络。几个小时之内,整个因特网上有将近几亿台计算机遭到感染,并造成了不可估计的损失。这个病毒程序是用微软的VB脚本语言(Visual Basic Scripting Language,VBS)编写的,当用户打开微软的Outlook时,就会感染这个病毒。一旦执行了该病毒程序,这个蠕虫就会将自己复制多份,然后按照用户地址簿里的地址不断地发送,这就会破坏每一个MP3和JPEG文件,使它们无法正常安装在用户的机器上。
快速增长的“蠕虫”会感染受害者的硬盘里的Word和Excel文件。这些受到感染的文件会通过电子邮件发送给地址簿里的每个收件人。这种方式的传播不仅频繁,而且往往还会把一些机密文件发送给了不适宜的收件人。
1:http://www.wired.com/news/technology/0,1282,39438,00.html
图p-1:1996年9月18日,一群瑞士黑客攻入了美国的中央情报局(http://www.odci.gov/cia)并更改了其主页,声称中央情报局是中央愚蠢局。
web不是仅仅给各个公司带来威胁。还有许多在线聊天者,他们使用web来获取别人的私人信息或对其他人进行骚扰。比如一些恋童癖者,他们开始同儿童建立一定的关系然后引诱这些儿童离开家。同样即使是使用匿名聊天也是不安全的:1999年2月, Raytheon上诉21名无名人士,这21人在雅虎的在线聊天的布告栏里对该公司发表了具有毁谤性质的言论;Raytheon认为这21人是公司的职员,他们过去曾经泄漏过公司的机密信息;该家公司要求雅虎通过电子邮件的地址找出这些人。雅虎于1999年的5月查出了这些人的身份。不久,Raytheon就宣布已有四个人已经辞职,于是就撤消了诉讼。1
1.http://www.netlitigation.com/netlitigation/caseds/Raytheon.html 在网上即使使用“匿名”服务也会危及用户的隐私和私人信息。对21个曾经在网上访问过与健康有关网站(例如加利福尼亚的健康救护基金会)的用户做了一项调查,发现许多网站中的私人信息都被不经意地泄漏给了第三方,例如广告商。在很多情况下,这些网站在进行数据传输时都违背了它所声称的隐私策略1。与此非常相似,在Intuit’s Quicken.com的个人理财网站2也发现了泄漏信息的情况,它是将房屋抵押的计算结果泄漏给了因特网上的广告公司Doubleclick。
web安全:幸运正在离我们而去吗?
我们过去非常的幸运。尽管许多商业机构、政府机构、以及个人都曾经在web上发现过潜在的威胁,但是实际上并没有受到明显地的、大规模的电子攻击。同样,虽然存在着信用卡号码泄漏的事件,但是经济信息被窃取的事件还是比较少的。我们是很容易受到攻击,但是事情总是不会太糟。
大多数网络攻击者对他们的行为所造成的轰动效应感到满意。尽管一直存在在线犯罪,但是很少能够造成新闻效应。网络安全十分脆弱,但是绝大多数Internet用户还是遵守规则的。
同样地,攻击者的目标一直受到了限制。在我们所了解的情况下,没有哪一次大规模的攻击能够永久地冲击Internet或者破坏社会、Internet以及某个公司的最基本的信誉。纽约时报曾经遭到黑客的攻击,但是黑客并没有成功的更改新闻网页。黑客们也曾经成功地盗取了数百万的信用卡号码,但是真正被直接用来进行信用卡欺诈行为的号码却又不是太多。
实际上,虽然由于一些曾经声称自己非常安全的网络被黑客攻入,使其蒙羞,但是没有一个组织机构遭受到持续不断的攻击。美国中央情报局、美国空军、以及联合国儿童基金会都遭受到令人尴尬的攻击,但是幸运的是它们现在仍然在提供网络服务。更为幸运的是,由于机密信息都存放在不同的机器上,所以即使黑客侵入,也无法窃取这部分信息。并且每个组织在遭受攻击之后的几天的时间里,又可以重新提供服务并正常运行-这次,我们衷心希望,他们能够进一步地改善安全问题。
1:http://admin.chcf.org/docments/ehealth/privacywebreport.pdf
2:http://news.cnet.com/news/0-1007-200-1562341.html
同样,微软的Internet Explorer和Netscape Navigator都存在着安全漏洞和设计上的缺陷。虽然有些攻击者只是存心捉弄某些网站,但是他们利用这些缺陷可以阅读用户计算机上的任何文件-更糟糕的是,他们甚至可以在用户的机器上执行任何文件-最为可怕的是,虽然大部分因特网用户根本不下载安全补丁,也不使用销售商提供的硬件来弥补这些缺陷,但是事实上这些攻击者和愚弄者也很少利用这些缺陷来进行攻击。
1 不会后退
在安全领域里,想要识别实际存在的威胁和欺骗经常是非常困难的。Allan Pinkerton在1850年创立他的侦探安全公司2以前,这种商业活动在北美已经存在了200多年;同样在Perry Brink开始他的装甲车服务3时,这种商业性服务也已经存在了九年多了;同样的道理,诈骗犯们也花了很长时间才意识到周围实际上存在着很多没有加以保护的财富。
同样的事情也发生在因特网上,每过一年,我们都能发现越来越多的网络犯罪。刚开始,黑客们只是简单地丑化某些网站,随后出现了窃取信用卡号码和进行敲诈勒索的事件。2000年12月,据MSNBC详细报道,通过俄罗斯电信和因特网公司,约有几千个消费者的信用卡都损失了5到25美元,由于窃取的金额不是很大,所以大部分受害者并没有意识到这是一种欺诈行为,也没有报警。4
许多安全分析人士认为事情会变得越来越糟。2001年3月,市场调研公司Gartner预言“到2002年底,至少有一次大型的经济犯罪会损害数千个因特网用户的利益”。5虽然存在着这么多的威胁,但是我们的社会和经济并不会倒退:万维网已经成为商业、政府和其他组织的最基本的需求。
提示
Cartner公司的研究专家Richard Hunter解释说:“高度集中的技术会创造巨大的经济利益,也会促使新的计算机罪犯瞄准广大用户的经济利益。”Hunter随后又补充到,“最为重要的是,由于缺乏足够的法律依据来保护网络用户,所以使得大部分的用户缺乏足够的防御能力。由于无论是合法还是非法用户都可以使用那些普通的网络技术,所以计算机罪犯可以偷偷地偷走数百万美元,甚至可以一次从数百万用户那里窃取大量金钱,最后,有可能还逃脱了法律的制裁。
1:更精确的说,许多犯罪并没有被报道。虽然可能存在着大量的犯罪,但是可能受害者并不是很清楚或者并不愿意去说。
2:http://www.pindertons.com/companyinfo/history/pinkerton/index.asp
3:http://www.brindsiredland.com/hstory/history.htm
4:http://www.zdnet.com/zdnn/stories/news/0,4586,2668427,00.html
5:http://www.businesswire.com/webbox/bw.033001/210892234.htm
安全方面的措施
对大多数波士顿人来说,到麻撒诸塞州的机动车登记处去重新登记是比较困难的;但是进入机动车登记处的网站是非常容易的,只要输入一个注册号和一个信用卡号,就会自动的注册。同样对机动车登记处来说对其进行处理也是非常容易的:网站直接同登记处的计算机相连,这样可以消除登记处的职员输入之苦。这就是麻撒诸塞州的机动车登记处为什么要给在网上登记的用户每人五美元折扣的缘故。
同样地,自从亚马逊网站和其他在线书店开始他们的服务以后,我们发现我们在购书上的花销快速得增长。原因是非常明显的:对于我们来说,如果要买书,只需要在我们的键盘上敲上书的名字然后发送就可以了,这比我们特意到最近的书店去买书要容易的多。因此,我们往往会非常冲动得买更多的书-例如听说会跟作者见面或者在某本杂志上看到这本书时都会作此反应。
麻撒诸塞州的机动车登记处的网站以及亚马逊网站是“安全”的吗?对这个问题的答案依赖于我们对“安全”一词的定义,并依赖于对参与登记和购买过程的所有计算机的仔细分析。
在万维网的早期,为表示所有使用Netscape加密协议的网站,Netscape公司提出了“安全”一词。安全就等同于加密-这是最初人们所认同的一个等价式。实际上,正如图P-2所示,象亚马逊这样的网站实际上并没有实质性地改善他们的服务方式,亚马逊网站让用户“使用我们的安全服务时请签名”,但是是否他们的服务就是真正“安全”的呢?它之所以使用“安全”一词是因为他们的web服务器使用的是SSL(Secure Sockets Layer,安全套接层)加密协议。但是如果点击连接“如果您忘记了密码,请点击这里”,亚马逊网站就会为你的帐户重新创建一个新的密码,并将该密码发送到你的电子邮箱。那么是否这种策略使得该网站更加安全,或许更加危险?
在万维网简短的历史过程中,我们知道安全一词比加密数据保护一词更为简单。所以我们应该采用一种整体策略来保护我们的计算机系统以及数据。使用加密术虽然是非常重要的,但是在确定一个用户的身份之前,核实他的购买记录和经济信息是同样重要的。如果你要发送电子邮件,那么确保你的邮件没有携带病毒是非常重要的-但是确保你的邮件没有送错人或者没有送给你不希望接收的人,这一点同样也是非常重要的。同样的道理,在因特网上发送信用卡号码之前对其进行加密以及在接收端保证解密后的号码的安全也是非常重要的。
图P-2:亚马逊网站宣称他们的服务是“安全”的,然而如果用户忘记自己邮箱的密码,网站这时所采取的策略就是不安全的。
对人们来说,万维网既有优点又有缺点。优点是对组织机构来说,能够以最低的成本提供信息、产品和服务。缺点是网络上的计算机都是非常脆弱的,特别容易受到攻击。以前它们被攻击过,今后它们还是避免不了这种被攻击的危险。更糟糕的是,网络上的电子商务越多,网络上流通的价值就越高,同时使用网络来处理日常经济问题的用户也越多,那么成为攻击对象的这些计算机就越多。
本书的内容
这是一本有关Web安全、隐私和商务的书。该书上的主要内容是针对三个不同位置的用户:web上的普通用户,开发web基础设施(web服务器、主机、路由器、长距离的数据链路)的用户,最后还包括在网上发布消息的用户。
对普通用户来说,这本书的主要内容有:
web是如何工作的。
web对隐私和计算机的威胁。
用户的防范措施。
加密是如何工作的,为什么web服务器要求你使用这种技术。
对开发web基础设施的用户来说,这本书主要讨论以下内容:
怎样减少你被攻击的机会。
怎样使用加密术来保护数据和网站的访问者。
合法的提供服务。
对web内容提供者来说,该书主要讨论以下内容:
数据所面临的危险和威胁。
怎样对web服务器上的信息的访问进行控制。
制定一定的策略,一旦web服务器被攻击,能够迅速地恢复正常。
重视由Java、JavaScript、ActiveX和Netscape的插件所引发的安全问题。
该书是web安全的基础,但并不是计算机安全、操作系统或者万维网的基础读物。对于这一部分,我们总是提出了很多的参考建议。
在安全和web方面,O’Reilly的一些比较好的书有:Fleen Frisch的《基础系统管理》,Chuck Musciano和Bill Kennedy的《HTML和XHTML》,比较权威的介绍书籍有:Shishir Gundavaram的《WWW上的CGI编程》,Elizabeth Zwicky、Simon Cooper和Brent Chapman的《因特网防火墙的构建》,最后是我们自己的书,《UNIX与Internet安全实践》。
我们也推荐其他出版商的相关读物。对于加密方面比较深入的书籍,我们推荐Bruce Schneier的优秀读物《加密的应用》。关于构建Apache Web服务器这一方面描述的比较详细的书籍,我们推荐Lincoln Stein的《网络安全》。关于安全工程和实践方面的总的看法的书籍,我们推荐Ross Anderson的《安全工程》。
相关书籍和其他的参考读物请看附录E。
本书的组织结构
本书主要分成了五部分:主要包括了26章和5个附录。
第一部分:web技术:
研究支持万维网和因特网的主要基础技术。
第1章 了解Web安全,介绍了web安全的基本知识-使用web服务器、通过web发布信息或服务时所存在的安全问题,以及因特网上的用户所面临的风险。
第2章 万维网的体系结构,详细研究计算机、通信链路和web协议。系统介绍了本书部分内容的相关技术以及web安全的基础技术。
第3章 密码学基础,介绍了密码术的科学性和数学性,并重点介绍了公共密钥加密算法。
第4章 密码术和web,着重介绍了今天在万维网上使用的加密算法。
第5章 了解SSL和TLS(Transport Layer Security,传输层安全),详细介绍了“安全”web服务器所使用的安全套接层协议和传输层安全系统。
第6章 数字认证I:密码学、生物统计学和数字签名。介绍了数字鉴定所研究的内容,并对今天在因特网上使用的几种鉴定系统做了总的介绍。
第7章 数字认证II:数字证书、认证权威机构(Certification authorities,CAs)、PKI,重点介绍了数字证书的使用和认证权威机构以及PKI。
第二部分用户的隐私和安全
主要是指那些使用web存取信息的用户-也就是指任何使用web浏览器的用户。
第8章 关于隐私的web战争,讨论web上危及私人信息安全的技术手段。
第9章 隐私保护方法,研究在web上能够提高用户隐私安全的技术。
第10章 保密技术,对能进一步加强隐私安全的程序和服务进行研究,从而进一步讨论隐私。
第11章 备份和反盗窃,告诉用户怎样保护自己防止数据丢失,以及如何防止数据和设备被盗取。
第12章 可移动代码I:插件(Plug-Ins)、ActiveX和Visual Basic,介绍在web中移动的程序怎样威胁用户的计算机系统和私人信息。本章着重介绍通过电子邮件和网页下载的危险程序。
第13章 可移动编码II:Java、Javascript、Flash和Shockwave,继续介绍威胁计算机用户的移动程序。本章仍然讨论具有安全问题的“安全”技术。
第三部分 web服务器安全性
本书的这个部分讨论维护着与因特网相连的自己的服务器的个人或者组织。这个部分的章节关注与web服务器运行的机制。这些机制与维护他们自己web服务器的组织、因特网服务提供商(ISP)的管理者,还有在电缆调制解调器或者DSL线路的终端运行自己服务器的家庭用户有关。
第14章 服务器的物理安全性,讨论一个十分重要但是又经常被遗忘的主题——怎么保护计算机的物理硬件的健康。
第15章 服务器的主机安全性,讨论与计算机操作系统有关的安全性问题。
第16章 安全的web应用程序,讨论维护可以执行程序或者脚本的web服务器的时候,出现的附加安全性问题。
第17章 配置SSL服务器认证,逐步给出在Apache和IISweb服务器上启动SSL的介绍。
第18章 Web服务安全,扩大有关如何保护服务不受ISP或者因特网域名服务(DNS,Domain Name Service)中出现问题的影响的安全性讨论。
第19章 计算机犯罪,介绍了在用户的计算机被入侵之后,用户可以选择的法律手段;还有与管理者有关的其他法律问题。
第四部分 内容提供商的安全保护
本部分将集中围绕Web服务器的内容而非Web服务器的运行机制进行阐述。
第20章 Web内容访问控制,将讲述有关Web服务器的私人信息控制访问技术。
第21章 客户端数字认证,扩充了第20章的访问控制技术,主要讲述如何使用数字认证技术进行访问控制和安全地传送消息。
第22章 代码签名与Microsoft的认证码,说明了如何使用Microsoft的认证码技术进行Windows二进制签名,包括ActiveX控件和.EXE文件。
第23章 色情、过滤软件与审查制度,讨论了在Internet上控制色情内容的策略与技术。
第24章 隐私策略、隐私立法与P3P,介绍了数据保护的概念,并讨论了有关个人信息控制的法律内容以及自调整技术。
第25章 数字支付,介绍了如何在Internet上接收和发送现金;本章也为对电子商务历史感兴趣的读者介绍了许多失败的数字支付系统的案例。
第26章 知识产权和可控告内容,讨论了用于保护信息的所有合法内容——商标、版权和专利。
第五部分 附录
主要是一些列表,并详细描述了书中主要内容的核心技术信息。
附录A 从Vineyard.NET得到的启示,以第一人称讲述了一个专门为Martha Vineyard提供业务的ISP的亲身经历。
附录B SSL/TLS协议,包含了有关SSL和TLS协议的细节信息。本章并没有提供如何实现SSL和TLS的内容,但能使用户对网络上发生的事情有个大概的了解。
附录C P3P:隐私参数设置项目平台,详细介绍了P3P规范。本章由Lorrie Faith Cranor撰写,其中包含了一些如何编写P3P策略的内容。
附录D PICS规范,详细介绍了PICS规范。尽管目前PICS几乎不再被人们所瞩目,但Microsoft的Internet Explorer中却实现了该规范,因而本章的内容对于那些对PICS感兴趣的人来说还是很有帮助的。
附录E 参考资料,列出了一系列的书籍、论文和Web网站,本章内容对于更深入地了解Web安全、隐私和电子商务具有一定的帮助。
用户了解的内容
web安全是一个非常复杂的课题,它同传统的计算机安全、计算机体系结构、系统设计、软件工程、因特网技术、数学和法律等很多方面都密切相关。为了控制本书的规模,我们重点介绍一些重要的技术和信息。
要想了解本书的大部分内容,读者必须熟悉网络计算机的运行和管理,知道怎样连入因特网;怎样获取、安装和保存计算机软件;怎样执行日常的系统管理任务,例如备份等。读者应该具备在web上工作的基本知识,以及怎样安装和维护自己公司的web服务器。
这并不是说该书仅仅是为“Propeller-heads”(指被计算机和其他技术问题困扰的人)和对安全问题不是很了解的人所编写的。我们努力使这本书适合于对计算机和web非常熟悉但对计算机安全的核心技术并不是很了解的用户。这就是本书有些章节介绍加密术和SSL等主题的原因。
所涉及的web软件
在编写本书时关于web安全方面最大的困惑就是该领域发展得非常迅速。配置信息和屏幕快照一个月前还非常流行,现在看上去却非常陈旧并且过时。部分原因是因为新软件的定期出版以及流行软件新的特性的集成。同样与SANS和SCERT/CC类似的销售商和组织机构不断地公布紧急通告,这很大程度上阻碍了他们产品的广泛使用,他们每隔一段时间,都会宣布发现一个重大的安全缺陷-往往是由于销售商疯狂地出售所有新的软件工具,而没有仔细寻找它们的安全漏洞所造成的。
但是事实上,web安全领域并不象它表面上所发展的那样迅速。尽管总是能够发现新的缺陷,但是自从1997年的春季本书的第一版出版以后,关于web安全方面的基本概念基本上没有改变。因此与微软和Netscape所提供的最新版本相对应,我们也只是简单地改变了我们部分的屏幕图象和代码。如果某产品的老版本在屏幕快照的某部分制作的非常精湛,我们通常就恰如其分地保留这部分屏幕快照。
为了避免过多的阐述许多计算机读物都讨论过了的陈旧的信息,本书只是给出了一些概念和原则,而不是具体的命令序列和操作。
在编写本书的过程中,我们使用了各种软件。本书中的例子主要是从两种web服务器中提取:
Apache
Apache是今天最为流行的web服务器,Apache可以运行在各种计算机系统中,包括Unix和Windows NT的大多数版本。当与mod_ssl加密模型结合时,Apache就成为web发布系统的基础。在资源代码和预编译形式方面,Apache可以自由使用;它甚至可以提前安装在许多计算机系统中。
微软的Internet信息服务器
IIS(Internet Information Server,Internet信息服务器)是加密地捆绑在Windows NT Server和Windows 2000操作系统上的web服务器。
该书中使用的web浏览器如下:
Netscape Navigator
Netscape Navigator是因特网上商品化的web浏览器。在本书中使用的版本有1、2、3、4和6。Navigator可以应用在许多计算机平台上,包括各种版本的Windows、Unix、Linux和Macintosh。
Microsoft Internet Explorer
微软的因特网浏览器是深入到微软的Windows操作系统的一种web浏览器,并且可以应用在Macintosh计算机系统中。本书中使用了它的3、4、5和6版本。
Opera
我们也使用Opera 的软件浏览器,“世界上最快的浏览器”,Opera主要应用在BeOS,EPOC,Linux,Mac,OS/2和Windows。
符号与数字
本书中对于符号和数字的表现形式约定如下:
斜体字表示文件名和URL的目录名,也用来对一些新的术语和概念作重点介绍。
固定宽度是用于表示一段代码和系统输出。
固定宽度的斜体字是用来表示例子中的变量输入和输出(例如,一个文件名)。
固定宽度的粗体字是用来表示用户输入的例子。
下划线有时是用来表示正在讨论的例子中的加亮区。
划线是用来表示例中由用户输入但并没有被计算机显示的部分。主要是用来表示输入的密码和过去短语。
CTRL-X或者^X表示使用了控制字符。它表示在输入“X”的同时按下了CONTROL键。
除非有其他的表示方法,否则所有的命令后都跟有RETURN键。
表示一个忠告、建议或者普通的注意事项。
表示一个警告或者提醒。
意见和问题
我们竭尽全力检验和查证本书的所有内容,但是读者还是可以发现某些内容已经改变,一些排版的不规则或者我们又犯了一个其他的什么错误。请把您所发现的错误通知我们,并对以后的版本提出您的建议。联系方式:
O’Reilly & Associates,Inc.
1005Gravenstein Highway North
Sebastopol,CA95472
(800)998-9938 (in the U.S.or Canada)
(707)829-0515 (international/local)
(707)829-0104 (fax)
你也可以发送电子邮件。要想加入邮件列表或者索要目录,请发送到以下地址:
info@oreilly.com
要查询技术问题或者提出您的建议,请发送到以下地址:
bookquestions@oreilly.com
对本书我们设置了一个网站,在那里,我们列出了例子、勘误表和以后版本的所有计划,网站地址是:
http://www.oreilly.com/catalog/websec2/
想要获取本书或其他信息,请进入O’Reilly网站:
http://www.oreilly.com
历史和致谢
在1991年六月,O’Reklly和Associate出版了我们的第一本书,《实用Unix安全》。该书共450页,包含了因特网上Unix计算机安全的顶级信息。五年以后,我们出版了该书的修订版,《实用Unix和因特网安全》。在这期间,计算机安全领域稳步发展,相应的,我们的页数也同步增长,新的版本长达1000页。
1996年,我们的编辑Debby Russell建议,我们应该针对越来越多的网络用户和服务提供商而进一步修改该书。但是由于原版的篇幅已经很多,所以我们决心出版一本新书,主要介绍SSL加密、客户端的数字签名认证和电子商务方面的一些问题。这就是1997年出版的《web安全和商务》。
2000年春天,Debby又询问我们是否愿意重新写一本有关安全的书。我们做了仔细的调查,然后开始这个项目。起初我们认为只要对《web安全和商务》一书做简单的修改就可以了,但是该书已经没有了市场,并且一些屏幕快照和配置信息肯定需要进一步的更改。由于我们已经对该项目做了比较深入的调查,所以我们认为有必要重新编写此书或者完全修改。于是就出现了第二版。
第二版
我们对在第二版的编写过程中给予帮助的人们,致以特别的感谢:
微软的Aaron Goldfeder。在六个多月的时间中,Aaron简直就是天赐之物,他能够解决与因特网浏览器、因特网信息服务系统、安全鉴别码以及Verisign有关的各种各样的问题。Aaron发给我们的电子邮件帮助我们解决了很多问题。同时我们也对Charles Fitzgerald表示感谢,他帮助我们联系Stephen Purpura,后者又帮助我们联系了Aaron。
Andy Cervanters和隐私基金会。提供了关于相对的浏览器的相关信息。
Ann Wiles和CardWeb.com,提供了关于信用卡欺诈部分的内容。
在Vineyard.Net的Aaron S. Cope。解决了一些综合问题和并提供了web搜寻能力。
Bert-Jaap Koops。提供了密码分析规律部分的内容,并允许我们再版他的发现。
Bradford Biddle,现在在英特尔公司,对所有与PKI和公共密钥有关的问题作了解答,并提供第七章的有关资料。
Christopher D. Hunter,提供了web隐私的有关内容。
在Sandstorm公司的D.A.Smith,他的定期阅读和Bugtraq的摘要和其他的邮件列表节省了作者的大量时间。
David Flanagan,对JavaScript的安全问题做了解答。
Elisabeth Cohen,原来在VeriSign’s PR 公司的Merrit小组,帮助建立能提供相关内容的会见室。
在EarthLink的Eric Pollard,他帮助我们联系评论家Lisa Hoyt。
在ICANN的Karl Auerbach,提供了建立组织机构所需要的一些详细的内容。
Jane Winn,对许多关于数字签名的问题做了解答,并写了一篇关于E-SIGNDE 文章。
Switch和Data的Jeff Morrow,提供了他们因特网数据中心的一副照片。
Omniva策略系统的Jeff Ubois,送给我们许多自我毁坏的消息。
Sun和Mozilla项目的Joe Chou,帮助我们验证使用SSL下载的JavaScript并不比签署的JavaScript(尽管声称同文件中的相反)更具有威胁性。同时对于在Sun公司的George Drapeau、ATG的Norris Boyd和Netscape公司的John Gable,他们都在这方面工作,对此我们表示感谢。
微软的John Lambert,帮助我们发现如何取得捆绑在微软的IE上的根部证书的全部过程。
MIT的Kevin Fu,他所提供的关于Cooies程序和加密术的知识的价值是不可估量的。
Lorrie Cranor,他解决了所有同P3P有关的问题,甚至编写了这一方面的目录。
Michael Baum,他从百忙当中抽出时间来解决有关数字签名和相关法规的问题。
Michael Froomkin,解决了数字签名方面的问题,并帮助我们联系Jane Winn。
Mitchell Stoltz,他解决了更多的在Netscape 6中签署JavaScript的问题。
Shaun Clowes提供了关于PHP安全方面的有用信息。
VeriSign的Stephen Wu,他帮助我们纠正了许多有关VeriSign的不恰当的描述。
Surety的Trista Haugen,帮助解决了公司销售方面的许多问题。
Lycos.com的产品生产分析组的Veronica,他帮助我们了解HotBot的Cookies程序所做的工作,但是最后告诉我们在我们的浏览器中Cookies是没有什么用处的。
ATG的Norris Boyd、Intel的Carl Ellison、MIT的Kevin Fu、EarthLink的Lisa Hoyt、Sun Microsystem的Radia PerLman、Netscape的Mitch Stoltz、Rich Wellner和VeriSign的Stephen Wu都对本书提出了很多宝贵的意见,因此对他们表示感谢。
感谢我们的编辑Debby Russell帮助编辑该书,Rob Romano为帮助表达而设计了许多插图。同时我们也感谢感谢Colleen Gorman-本书的责任编辑、Edie Freedman和Ellie Volckhausen-封面的设计者、Emma Colby-封底设计者、David Futato-内部格式的设计者、Audrey Doyle-校对助手、Mary Brady、Phil Dangler、Maureen Dempsey、Derek Di Matteo、Catherine Morris和Edie -他们参加了编辑工作、John Bickelhaupt-责任索引。
第一版
我们再次对曾经帮助出版第一版的《web安全和商务》的人们表示衷心的感谢。我们接收了计算机行业的许多人的帮助,在此对他们1表示感谢,主要有:
在Consensus,Christopher Allen和Tim Dierks对SSL方面的内容作过评论。
在Cybercash,Carl Ellison多次通过电子邮件发送有关证书的信息。
在First Virtual,Marshall Rose和Lee Stein给我们提供了很多他们工作中所发生的有趣事情。
在JavaSoft方面,David Brownell解决了很多与Java有关的问题,以及与数字签名相关的Java方面的问题。
在微软,我们获得了很多人的巨大帮助,有Charles Fitzgerald、Barbara Fox、Rick Johnson、Thomas Reardon和Michael Toutonghi,他们花费了大量时间来帮助我们解决SET、Java、JavaScript和ActiveX安全方面的问题。
Netscape,Frank Chen、Eric Greenberg、Jeff Treuhaft和Tom Weinstein给与很多技术指导。
在VeriSign,Michael Baum、Gina Jorasch、Kelly M.Ryan、Arn Schaeffer、Stratton Sclavos和Peter Williams都非常有耐心的帮助解答各种问题。
在万维网联盟(World Wide Web Consortium,W3C),Paul Resnick翻阅了有关PICS方面的内容,并对此提出了宝贵的建议。
UIUC的Adam Cain对SSL方面提供了非常及时并且有趣的消息。Sandia National Labs的Brad Wood对在web服务器安全方面的加密提出了一些非常有价值的建议。Netcom的John Guinasso对于人们在面对ISP时所产生的问题,提出了非常有趣的见解。Thawte的Mark Shuttleworth和Community Connexion的Sameer Parekh提供了很多有关web安全方面的信息以及如何处理的方法。American Banker’s Association的Nessa Feddis帮助我们了解银行业方面的知识。SLLeay的作者Eric Young帮助我们了解他的程序和有关SSL方面的问题。Jon Orwant仔细检查了Perl代码并帮助我们解决问题。
1:在第一版中付出过帮助的公司和其分公司都非常准确的列在这里;它们中的许多公司已经不再存在,并且许多人已经在别的公司就职。
我们更要感谢那些评论者,他们非常仔细地阅读草稿,纠正不准确的和容易混淆的地方,使得本书更加精确,在此感谢Michael Baum、David Brownell、Carl Ellison、Barbara Fox、Lamont Granquist、Eric Greenberg、John Guinasso、Peter Neumann、Marshall Rose、Lincoln Stein、Ilane Marie Walberg、Dan Wallach和David Waitzman,同时对曾经提供Windows NT主机安全方面信息的Kevin Dowd、在数字签名策略方面给予帮助的Bradford Biddle和帮助我们填写出口限制表的Bert-Jaap Koops也表示感谢。
Simson Garfinkel:Simson Garfinkel: Simson Garfinke(CISSP)是一个新闻记者,还是其他11本书的作者,同时是Sandstorm Enterprise的创立者,他开发了很多计算机安全工具。Gene Spafford博士(CISSP)是一个享有国际名望的科学家、教授,并是普度大学CERIAS(信息保险和安全教育和研究中心)的主任。Alan Schwartz博士是伊利诺斯州大学芝加哥分校医学教育和小儿科系的临床决策副教授。
吕俊辉 崔锦秀 李勇 等:暂无简介
随着Internet的蓬勃发展,企业的网络发展重点也从最初的网站形式向电子商务的方向发展。各企业不仅想通过万维网来发布有关的企业、产品等信息,更想通过万维网来开展电子商务这一新的营销方式。
然而,万维网的开放性和国际性在增加这种自由度的同时,也使网络安全和隐私保护成为日益重要的问题。这主要表现在:开放性的网络,导致网络的技术是全开放的,因而网络所面临的破坏和攻击也是多方面的,如何保护企业和个人的信息不被非法获取、盗用、篡改和破坏,已成为所有Internet参与者共同关心的重要问题。随着电子商务在Internet上全球性的推广,安全的重要性更加凸现,企业与消费者对电子交易安全的担忧已严重阻碍了电子商务和万维网的发展。
从下面的数据我们就可以看出进行安全保护的紧迫性和重要性。在最近的一项调查中,美国国际数据公司(IDC)宣布,全球大约四分之一的万维网应用服务提供商(ASP)的网络安全和病毒防护措施达不到标准;其中25%的公司缺乏基本的防护措施,如用户身份确认、防病毒、网络安全和防火墙服务等。而在国内,最新发布的中国万维网络发展状况统计报告显示,超过六成的中国万维网用户的计算机过去一年曾被入侵过,用户对基本防范技术知之甚少。
为了使读者对网络安全的基础知识和基本技术有个大致的了解,使普通的企业用户可以提供可靠安全的网络服务,我们对这本国外的优秀书籍精心进行了翻译,以飨国内读者。本书内容分为五个部分,共有26章和5个附录。其中前四部分主要讲述了网络安全、网络隐私和电子商务的各个方面,第一部分着重阐述了万维网网的主要安全基础技术,第二部分主要讨论了普通网络用户如何保护自己的隐私和信息安全,第三部分则主要关注网络服务商如何提供可靠安全的服务等内容,第四部分重点介绍内容提供商的安全问题,第五部是附录,主要是一些参考资料列表,并详细描述了与本书相关的核心技术信息。该书的使用对象很广泛,对于安全领域的初学者和从事安全研究、网络研究的技术人员和网络服务提供商,本书是一本很好的基础性参考读物。
本书由多位译者合作完成。其中第1章到第7章及前言等内容由崔锦秀翻译,第8、9、16章由李若朋翻译,第10章到第15章由李勇翻译,第17章到第26章及附录A到附录E由吕俊辉翻译。另外,在翻译过程中还得到了许多人士的友情帮助,在此特别对邓时颖女士表示衷心的感谢。由于成书时间仓促,加之译者水平有限,书中不妥之处在所难免,敬请读者批评指正。
全书由吕俊辉、崔锦秀、李勇、李若朋、邓时颖、胡敏、朱华敏、孙越恒、陈永宏、孙正宁、李如豹、王刚、叶小松、李林、张巧丽、蒋华、施平安、张勇、鲁金贵、邓勃、钟明辉、董金云、邓引丽、陈蓓、魏伟、来欣、王建设、文杨、田宇明、张洁、肖国尊、王乐春、易晓东、李萍、冯田力、李杰、张小芹、王纲、王建设、文杨等进行翻译翻译,前导工作室全体工作人员共同完成了本书的翻译、录排、校对等工作。本书最后由李林统稿。由于时间仓促,且译者的水平有限,在翻译过程中难免会出现一些错误,请读者批评指正。
如果您在阅读中碰到了什么问题,请同我们工作室联系: qiandao@263.net。我们会尽力解决您的问题。
译者
2002年4月
第1章 了解web安全
web安全问题
安全的web服务器
传输信息的安全
保护用户的计算机
风险分析和最佳实践
第2章 万维网的体系结构
历史和术语
Internet的建立
构建web
网络上数据包的传输
启动你的PC
把PC连接到局域网和Internet
域名服务
使用web
Internet的拥有者
本地Internet服务提供商
网络接入点和城域交换
根和顶层的域名服务器
域名注册
Internet地址登记
国际万维网域名与编号分配组织(The Internet Corporation for Assigned Names and Numbers,ICANN)
第3章 密码学基础
密码术
密码学的起源
密码技术的双重作用
使用密码术的一个例子
加密算法和函数
对称密钥算法
对称算法的加密强度
对称密钥算法的密钥长度
通用的对称密钥算法
对对称加密算法算法的攻击
公共密钥算法
公共密钥加密的使用
对公共密钥算法的攻击
报文摘要函数
报文摘要算法
报文摘要函数的功能
HMAC
对报文摘要函数的攻击
第4章 密码术和网络
密码术和web安全
密码术的作用
正在使用的加密系统和协议
脱机加密系统
在线密码协议和系统
密码术的作用
密码术的法律局限性
密码术和专利系统
密码术和商业保密法
国际和国家法律制定的加密规范
第5章 了解SSL和TLS
什么是SSL?
SSL版本
SSL/TLS的性质
SSL实际保护什么?
数字证书
SSL的实现
SSL性能
SSL:用户视点
浏览器的选项
浏览器的提示
第6章 数字认证I:密码学、生物统计学和数字签名
物理认证
认证的必要性
基于证件的认证技术
基于计算机的认证技术
使用公共密钥技术进行认证
重放攻击
使用公共密钥技术阻止重放攻击
产生和存储私有密钥
公共密钥的例子
使用PGP验证文档作者身份
使用SSH进行公共密钥的鉴定
第7章 数字认证II:数字证书、CA和PKI
使用PGP的数字证书
证明自己的密钥
验证其他人的密钥:PGP的“信任网”
认证中心:第三方认证
证书实施说明(Certification Practices Statement,CPS)
X.509 v3 认证
证书的类型
证书撤销
PKI
认证机构:历史
预装在Internet Explorer的证书
预先安装在Netscape Navigaror的证书
一个CA所对应的多个证书
CA的缺陷
开放策略的问题
私有密钥的保护
显名(Distinguished Name)的保护
姓名的缺陷
数字证书上信息的缺乏
X.509 v3不支持选择性显示信息
简单数据聚合的数字证书
符合社会需要的CA的数量
怎样租借一个密钥?
为什么这些问题如此重要
数字签名的立法
第8章 关于隐私的网络战争
理解隐私
对隐私的侵权行为
个人的,私人的和标识本人的信息
用户提供的信息
日志文件
保存和循环
网络日志
RADIUS日志
邮件日志
DNS日志
理解Cookie
Cookie协议
Cookie的用途
Cookie 的保存
Cookie 安全
禁止cookie
网络窃听器(bug)
在网页上的网络窃听器
在电子邮件信息和word文件中的网络窃听器
网络窃听器的用途
结论
第9章 隐私保护方法
选择一个好的服务提供商
选择一个好的密码
为什么使用密码
关于不可靠的密码
危险的joe帐户
选择好的密码
写下密码的注意事项
管理多个用户名和密码的策略
共享密码
当心Password Sniffer
在上网后清除与隐私相关的文件
浏览器缓存
Cookie
浏览器历史记录
密码,表单填充和自动完成设置
避免垃圾邮件
保护邮件地址
使用地址割裂(Address Munging)
使用反垃圾邮件服务或软件
身份盗窃
保护自己的身份不被窃取
第10章 保密技术
阻塞广告和摧毁Cookie
本地HTTP(超文本传送协议)代理
使用广告阻截器
匿名浏览
保护IP地址的简单方法
匿名网络浏览服务
安全电子邮件
Hotmail、Yahoo邮件和其他基于网络的电子邮件服务
Hushmail
能自行销毁的Omniva电子邮件
第11章 备份和反盗窃
使用备份文件来保护数据
让我们开始备份文件!
为什么需要进行备份?
将什么文件进行备份?
备份的类型
防止存储介质出现故障
备份应该保留多长时间
备份的安全性
法律问题
如何决定备份的策略
防止偷窃
了解计算机失窃的原因
锁
标记
手提电脑追踪软件和服务
注意事项
第12章 可移动代码I:插件、ActiveX和Visual Basic
浏览器异常
Card Shark
David.exe
Chaos Quicken 检查
ILOVEYOU
帮助者应用程序和插件
帮助者程序的历史
如何获取插件
对插件安全性的评价
Microsoft ActiveX
<OBJECT>标签
认证码
认证码有作用吗?
Internet Exploder
危险的控件
下载代码的危险
可以花钱的程序
侵犯个人隐私、盗窃重要信息的程序
已标记的代码并不都是安全的代码
标记码可能会被拦截
再现攻击
从攻击中恢复
结语
第13章 可移动代码II:Java、JavaScript、Flash和Shockwave
Java
一个Java小程序
Java的历史
Java语言
Java的安全性
Java的保密性
Java的安全策略
Java的安全问题
JavaScript
亲密接触JavaScript
JavaScript安全性一览
JavaScript的安全缺陷
JavaScript拒绝服务(Denial-of-Service)攻击
JavaScript欺骗攻击
Flash和Shockwave
结语
第14章 服务器的物理安全性
为容易忘却的威胁制订计划
物理安全计划
灾难恢复计划
其他可能发生的事件
保护计算机硬件
环境
防止意外事故
物理访问
故意破坏行为
抵抗战争和恐怖主义的伤害
防止盗窃
保护你的数据
窃听
保护备份文件
丢弃存储介质前进行清理
清理印刷介质
保护本地存储器
无人值守的终端
按键开关
职员
故事A:一次失败的现场检查
我们的发现
真的没有什么东西可以损失吗?
第15章 服务器主机安全性
目前的主机安全性问题
攻击的分类
攻击的频率
了解你的对手
攻击者想要得到什么?
攻击者使用的工具
保护主机
通过策略保障安全
时刻洞察故障和缺陷发生的情况
选择你的供货商
安装I:为系统建立产品清单
安装II:安装软件补丁
通过减少服务来减少危险
安全操作
紧跟有关缺陷方面的最新消息
日志记录
备份
使用安全工具
远程访问和内容升级安全
密码探测的危险
使用加密来放置探测行为
内容升级安全
拨号调制解调器
防火墙和网络
防火墙的类型
使用防火墙保护LAN(局域网)
使用防火墙保护网络服务器
结语
第16章 保护网络应用程序
扩展性的风险
不应该使用CGI编写的程序
无意的副作用
编码规则
编写安全脚本的通用规则
安全的使用字段、隐藏字段和cookie
安全的使用字段
隐藏字段和复合URL
使用cookie
使用加密来增强隐藏字段,复合URL和cookie
编程语言规范
Perl编程规范
C编程规范
Unix Shell的编程规范
安全使用PHP
PHP简介
控制PHP
理解PHP安全问题
PHP安装
PHP变量
数据库鉴定证书
URL fopen()
隐藏你的脚本
PHP安全模式
编写需要额外特权才能运行的脚本
连接数据库
保护帐户信息
使用过滤和引号转换(quoting)来筛选未处理的SQL
保护数据库本身
结论
第17章 配置SSL服务器认证
规划SSL服务器
选择Web服务器
私有密钥库的存放
服务器认证
在FreeBSD环境下建立SSL服务器
历史简介
获得有关的程序
在FreeBSD环境下安装Apache和mod_ssl
验证最初的安装结果
使用自己的认证机构对私有密钥进行签名
其他安全服务
在Microsoft IIS上安装SSL证书
从商业认证机构处获得证书
疑难解答
非法的证书与过期的证书
证书的续用
服务器地址错误
第18章 Web服务安全
冗余保护
价格、性能与冗余
提供冗余保护
DNS保护
域注册保护
第19章 计算机犯罪
系统遭受入侵后的应对措施
提请计算机犯罪申诉
联邦计算机犯罪法律
犯罪起诉的危险
举报计算机犯罪的义务
计算机犯罪的危险
与计算机犯罪相关的主题
接入设备和版权软件
色情文学、猥亵以及淫秽内容
盗取版权著作控制访问技术细节的设备
密码程序和出口控制
第20章 Web内容访问控制
访问控制策略
隐藏URL
基于主机的访问控制
基于身份验证的访问控制
使用Apache进行访问控制
使用.htaccess文件增强访问控制
使用Web服务器的配置文件增强访问控制
<Limit>…</Limit>指令之前的命令
<Limit>…</Limit>指令块中的命令
<Limit>示例
手工设置Web用户和口令
高级用户管理
使用Microsoft IIS进行访问控制
安装IIS
下载安装IIS补丁程序
IIS Web页面的访问控制
IIS目录的访问控制
第21章 客户端数字认证
客户端认证
为何要进行客户端认证?
客户端数字认证支持
VefiSign Digital ID Center简介
产生一个VeriSign Digital ID
查找数字ID
废除数字ID
第22章 代码签名和Microsoft的认证码
为何要进行代码签名?
代码签名的原理
代码签名的现状
代码签名与密码系统的合法性约束
Microsoft的认证码技术
“承诺”
使用认证码发布程序
获得软件发布证书(Software Publishing Certificate)
代码签名的其他方法
第23章 色情、过滤软件与审查制度
色情过滤
过滤软件的结构
过滤软件存在的问题
PICS
什么是PICS?
PICS的应用
PICS与审查制度
RSACi
结语
第24章 隐私策略、隐私立法与P3P
保护隐私的政策与隐私策略
公正信息实践准则(the Code of Fair Information Practices)
OECD基本方针
其他一些国家的规定与国际规定
“自愿规范”隐私策略
儿童在线隐私保护法案
法案提出的背景
COPPA的需求
P3P
P3P与PICS
Internet Explorer 6.0对P3P的支持
结语
第25章 数字支付
Charga-Plates、Diners Club与信用卡
信用卡历史简介
美国的支付卡
银行之间支付卡的事务处理
返还与追款
其他认证机制
在Internet上使用信用卡
基于Internet的支付系统
虚拟PIN(Virtual PIN)
DigiCash
CyberCash/CyberCoin
SET
PayPal
Gator Wallet
Microsoft Passport
其他支付系统
信用卡支付系统的评估
第26章 知识产权和可控告内容
版权
侵权行为
软件侵权与SPA
Warez
专利
商标
商标的获取
商标的侵权
域名和商标
可控告内容
中伤与诽谤
赔偿责任
通过法人进行保护
附录A 从Vineyard.NET得到的启示
事情的缘起
筹划与准备
IP连接
开始商业运作
与电话公司进行合作
组建Vineyard.NET公司
最初的扩容
计费软件
公开信息与保密信息
以后的运作
安全问题
电话的配置问题和收费问题
信用卡和ACH
监控软件
冗余备份和无线连接
将主机房与备用机房互联起来
建立备份站点
发生故障后完全可以恢复回来!
公司被收购
结语
附录B SSL/TLS协议
SSL/TLS的历史
TLS记录层
SSL/TLS协议
握手协议
报警协议
ChangeCipherSpec协议
SSL 3.0/TLS握手
事件序列
附录C P3P
P3P的工作原理
配置P3P
制定隐私策略
生成P3P策略和策略引用文件
帮助用户代理找到策略引用文件
精简策略
简单的支持P3P特性的网站实例
附录D PICS规范
分级服务
PICS标记
被标记文档
通过HTTP请求PICS标记
向分级服务请求获得标记
附录E 参考资料
电子参考资料
电子邮件列表
新闻组
Web网页和FTP资源
软件资源
参考文献
计算机犯罪与计算机法律方面
与计算机相关的风险
计算机病毒与可编程危险方面
密码学方面
普通计算机安全方面
系统管理、网络技术与安全方面
安全性的产品和服务信息
其他的参考资料
