写给抓虾、豆瓣、土豆、又拍等网站的老大

其实,标题是用来吸引人的,但我不至于用标题来欺骗读者,我确实有话对这些公司的决策者们说。这事关用户体验和安全。

我以前写了一篇《科普:如何防范ARP欺骗》,很早就注意到Arp sniffer这种局域网黑客技术了,原理很简单,就是利用ARP地址解析协议来骗同网段的其它机器,告诉别的机器我才是网关,结果上当的机器把数据包都发往这台机器,导致这些机器上不了网,或者自己做成一个代理服务器,把通过自己机器的数据包全部抓取,找里面的有用信息,如密码和信用卡号码之类的。当我们访问一个网站时,消息是没有加密传输的,很容易被人截获并读取里面的信息,但是,如果我们访问一个使用了安全证书的网站,我们就不担心信息被别人看到了。

有些网友可能注意到,安装一个新WINDOWS操作系统后,第一次使用Internet Explorer游览器,一旦提交任何内容,都会有一个提示”您发送的消息有可能被别人看到,是否继续?”

如果细心,我们也可以发现,在GOOGLE的相关服务的登录界面的地址栏里的地址都是HTTPS开头的,Google使用SSL安全通信方式在保护用户的登录信息不会被截取。

抓虾、豆瓣、土豆、又拍这些web2.o网站为什么还没有保护用户提交的信息不会被截取?我倒只发现wealink.com用到了网站安全证书,给网页加上了https,wealink似乎买的是最贵的CA发行商VeriSign Trust Network颁发的证书,好像要几万块钱一年吧。我觉得抓虾、豆瓣、土豆、又拍这些不大不小的网站花几千块钱买一个数字证书的钱还是有吧?

对了,服务器安全证书这东西本来可以自己给自己颁发一个,不过,用户在第一次访问这个网站时会被要求信任这个证书,会弹出一个安全警告窗口让用户作判断;如果服务器证书是被浏览器内置的信任的机构颁发的证书,那就不会弹出任何安全警告窗口了,也不会影响用户体验了。至于哪些证书机构是被Internet Explorer和Firefox等主流浏览器默认为信任的机构,打开游览器的证书选项查看证书就可以看到:)

所以,建议抓虾、豆瓣、土豆、又拍这些网站的老板去为自己的服务器购买一个最适合自己的安全证书,免得用户丢了密码怪你们没有提供https的登录网页。

说了这么多,不知道几个看得明白。不管了,其实,我只是为了炫耀我自己的服务器有了证书,是在myssl.cn申请的免费的只有30天有效期的安全证书,虽然只有30天有效期,但这是被浏览器内置的信任的机构颁发的证书啊。我若有了钱,我就花300多块钱买一个一年的证书好了。有了加密的SSL,这下我就不怕GFW的基于内容过滤的reset了,我只怕GFW再次屏蔽我的这个新IP。这已经是我换的第5个IP了。GFW追着杀了我4个IP了。最短不到12小时就被屏蔽我的新IP了。我会继续与GFW作斗争的。如果GFW是自动屏蔽,我就把我的IP设置为Google、Yahoo、Microsoft这些大公司的IP,陷害他们;如果GFW是手动屏蔽IP,那我就趁GFW的工作人员睡觉或星期六星期天不上班的时候换IP,累死这帮狗娘养的。

最后,欢迎国内国外网站访问https://www.zuola.com,我可能得了一个”中国纪录”:最早使用SSL技术在自己的BLOG服务器上的BLOGGER。我很想知道,在中国人中,还有谁会为自己的BLOG买一个独享的IP和安全证书?谁是第二个?


Technorati :
Del.icio.us :

关于 Zola

湖南省宁乡县煤炭坝镇居民,初中文化程度,无党派人士,已婚。喜欢旅行,喜欢网络上好玩的应用,喜欢黑莓手机,喜欢苹果设备,自称为艺术家,目前已经有多个行为艺术作品。略有薄名,已知的是被重庆市人民政府新闻办公室的互联网信息采集分析系统列入“特重”监控名单。2012年有幸被列在被称之为”活埋名单“的约200人”最高级别的维稳对象名单“里。
此条目发表在 软件评测 分类目录。将固定链接加入收藏夹。 4,786 人气值

写给抓虾、豆瓣、土豆、又拍等网站的老大》有 21 条评论

  1. Emuman 说:

    除非每个用户的电脑里都有Tor之类的东西,否则你没办法跟GFW斗,它限制大部分人访问的目的就达到了。有没想过如何更广泛的、有效的传播信息?

  2. Calon 说:

    估计很快就要追杀过来了

  3. 哪吒 说:

    其实吉尼斯世界纪录是关于最大,最多的,不收录第一个….

  4. Zola 说:

    @Emuman 我明白。没办法,只有努力做科普了。要不,更广泛的传播方式是做恶俗电影、写歌曲、写童谣,传唱。做一点算一点吧。不求一天就能达到效果。
    @那是当然,这斗争不可能一劳永逸,还要继续和GFW斗智斗勇啊。
    @哪吒 原来如此啊,那我就不去争最大和最多了。

  5. skywalker 说:

    奇怪,如果直接封你的url关键字呢?

  6. Zola 说:

    URL早就被过滤了,但reset只对没加密的内容有效。如果直接封IP,那我就没有一点办法了,封IP的效果和切断电线差不多。

  7. woooh.com 说:

    还有封锁DNS解析呢。

  8. Zola 说:

    封锁DNS不容易实现吧?DNS是递归查询的,主DNS是无法控制的,其它DNS服务器只是做缓存,封锁太有限了。
    难不成在UDP53端口上过滤指定域名?

  9. shunz 说:

    呵呵,终于又能登录上来了,我把我的blog上你的站点链接也改成https吧:)

  10. 鬼仔 说:

    不是不用SSL,传输速度啊。

  11. Zola 说:

    @shunz 谢谢shunz的关怀与照顾。
    @liuhan 过几天再总结对付GFW的经验。
    @鬼仔 用的是SSL,传输速度没有受影响吧。

  12. dupola 说:

    速度挺快的。

  13. scavin 说:

    要是能有随机 IP 就好了。花生壳好像能实现。。。

  14. Wisi 说:

    http://www.cacert.org/
    这个网站是国外提供的一个免费ssl证书的地方,很多开源的项目用它签署的免费ssl证书。同时,最重要的是,mozilla浏览器即将把它作为默认的信任的机构,yeah

  15. Zola 说:

    随机IP?https需要一个独享IP,随时切换IP也不太现实。我只好每个星期换一次IP,直到我弄到钱来起诉GFW。

  16. flyingpig 说:

    与天奋斗,其乐无穷!
    与地奋斗,其乐无穷!
    与党奋斗,其乐无穷!

    GFW不能屏蔽域名吗?我是说在www.zuola.com进行DNS解析之前就封杀你。

  17. 盗盗 说:

    似乎还是无法正常访问,我是带Tor来的。

  18. aigou 说:

    我很早用过SSL,不过由于提示来访者存在不安全的因素,就没有再使用过了。

  19. Paveo 说:

    SSL Cert可以考虑 Godaddy的:https://www.godaddy.com/gdshop/ssl/ssl.asp?ci=8979,很便宜,证书也被大多浏览器认可。现在我们一台为Blog提供主机的服务器后台就购买了这个证书,还不错,你看看证书是不是默认被接受了:https://cph.72pines.com:772/
    很早之前我就启用了WP的后台SSL登录,用的是自己签发的证书 :)

  20. yksoft1 说:

    也许被盾并不是一件坏事。只要自己保护措施得当,就可以真正在自己被盾的地方畅所欲言了。。

  21. 路人甲 说:

    提醒:你的安全证书已过期!

发表评论

电子邮件地址不会被公开。 必填项已用*标注

你可能会看到这些提示:
1、与主题无关的留言请前往 留言簿 发表。
2、如果你想攻击具体的人,如果附上理性的证明过程就有可能被允许显示。
3、如果通过使用OpenID发表的留言没有马上显示,那是因为你没有曾被审核通过的留言,请不要尝试重复发表。
4、请不要发表长篇转载文章来证明你的观点,如果你有BLOG,请写在你的BLOG上,然后发送引用通知到本站相关日志。


*