矛盾网

基本思路：
为没一个功能写一个独立的程序，程序页尽可能少的让客户了解你的服务器端信息不要用"客户应该这么写"这个思路想问题尽可能多的想到不可能发生的事情 
1.关于交互式动态网页可能存在的问题
1.1 form类型的交互
1.1.1 概念介绍
在我们和浏览者进行交互时，最常用到的就是form(post/get/put方法)，虽然非常方便，但是很多问题也是因他而起。
form表单中input标志
用来接受用户输入的信息，例如： 阅读全文>>

由于数据集中和远程办公日渐流行，现代企业在广域网上的应用越来越频繁和复杂，随之而来的安全性问题也就无法回避。

        在今天网络土壤中成长的企业，就像一棵棵参天大树，其资源与供应链如同发达的根系一样以网络为基础盘根错节，这也从一个侧面促使今天的企业在广域网上的应用变得越来越复杂。我们看到，在如今的企业Web应用中，静态网页早已成为了历史，为了给视频流媒体、B2B交易、企业ERP、web2.0互动等各种服务提供保障，流量整形、智能路由和网络优化等技术被大量应用，而其中的安全问题也日渐凸现出来，不断爆发的安全事件和攻击行动，几乎都脱离不了基于Web的各类应用。据GARTNER调查资料统计，企业受到的攻击超过85%的都是针对Web应用层发起的。尤其是金融服务业，成为了众矢之的，而攻击者的主要目的就是直接获取关键信息数据 阅读全文>>

今天,中国金融认证中心(CFCA)副总经理曹小青透露,据CFCA的最新监控发现,网银大盗对网银的攻击手段、技术有加快更新的趋势,已经从攻击密码转 向攻击数字证书.部分持数字证书的网银用户,如果只将数字证书下载后存放在电脑的IE浏览器上,那么其网银账户仍存在风险——数字证书可能因电脑染上木马 病毒而被盗取. 阅读全文>>

原文地址:

http://fairyfish.net/2007/08/01/using-htaccess-to-secure-and-improve-wordpress/

尽管 .htaccess 只是一个文件，但是它能改变你服务器上的设置和允许你做很多不同的东东，如最受欢迎的是它能让你定制化 404 错误页面。.htaccess 其实并不难，你可以认为它只是由一些简单命令或者用法说明组成的文本文件，不过他却能极大的提高你站点的安全性，所以没有借口不去用它。

创建 .htaccess 文件时可能给你带来一些问题。写入内容到这个文件是非常容易的，你只需输入合适的代码到文本编辑器中（如记事本）。但是你可能在保存文件的时候碰到问题。 因为 .htaccess 是一个非常奇怪的文件名（这个文件没有名字而只有一个8字符的扩展名）。这个可能在特定的系统中不能被接受（如 Windows 95）。在绝大多数的操作系统中，你可以尝试在保存文件的时候输入以下文件名：".htaccess"（包括引号）。如果这不起作用，你可能需要先把它命 名为别的名字（如 htaccess.txt），然后上传到服务器。上传之后，在 FTP 工具中重命名它。

尽管通过 .htaccess 可以做很多事情，但是这篇日志主要关注的是如何提高 WordPress 的安全性和可用性。

保护 .htaccess 自身的安全性。阻止用户通过读取和写入 .htaceess 来更改安全性的设置。
<files .htaccess>
order allow,deny
deny from all
</files>
隐藏服务器的数字签名。隐藏服务器的数字签名之后，入侵者将很难找到有机会找到安全漏洞，因为他们不知道背后的服务器是什么。
ServerSignature Off
限制上传文件的大小。这个能够帮助阻止 DoS 攻击（用户通过上传巨大的文件来冲垮服务器）并且能够节约带宽。
LimitRequestBody 10240000
# limit file uploads to 10mb
停止 mod_security 过滤器。这是一个可选的设置并且要小心处理。这些指令告诉服务器不要使用 mod_security 过滤器，因为 mod_security 过滤器不允许用户发表含有这些单词 “curl”，“lynx” 或者 “wget” 等等单词的文章。这个看起来有点琐碎，但是这个让一些站点头痛，因为这些单词几乎那些站点每天都会用到。
SecFilterInheritance Off
保护 wp-config.php 文件。我们可以通过 .htaccess 文件阻止用户读取和写入 WordPress 的主配置文件。这个指令假设 WordPress 是安装在站带你的根目录。
<files wp-config.php>
order allow,deny
deny from all
</files>
指定自定义错误文档。这条指令做的更多是站点的可用性而不是安全性。它们指定了哪个页面将被显示，一旦服务器错误，如页面找不到（代码 404） 禁止访问（代码 403）等等。
ErrorDocument 404 /notfound.php
ErrorDocument 403 /forbidden.php
ErrorDocument 500 /error.php
禁止浏览目录。这将阻止服务器在没有找到 index 文件（如 index.html，index.php 等等）的情况下显示文件夹目录内容。这能阻止用户看到文件夹的内容使得更难对网站发动攻击。
# disable directory browsing
Options All -Indexes
防止图片盗链。这个能够阻止其他网站盗链本网站的图片，迫使他们 要么指向整个页面，或者其他存储图像的地方。这个保存了宝贵的带宽并且能够增加流量（虽然只是一点点）。下面的代码将会显示 stealingisbad.gif 这张图片，当有人试着热链到到你的网站来显示图片
#disable hotlinking of images
RewriteEngine on
RewriteCond %{HTTP_REFERER} !^$
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yourdomain.com/.*$ [NC]
#RewriteRule \.(gif|jpg|png)$ http://www.yourdomain.com/stealingisbad.gif [R,L]
在你的站点给每个 URL 设置符合规定的或者“标准”的链接。这能够帮助提高网站的可用性和提高网站在搜索引擎中的排名。总之，它会把来自 http://yourdomain.com 的请求重定向到 http://www.yourdomain.com/.
# set the canonical url
RewriteEngine On
RewriteCond %{HTTP_HOST} ^yourdomain\.com$ [NC]
RewriteRule ^(.*)$ http://www.yourdomain.com/$1 [R=301,L]
保护博客免受垃圾留言的侵扰（和普通方式提交的垃圾留言）。最后的那条指令将会阻止用户直接从其他网站的留言提交框发表留言，虽然这不是一个包罗万象的反垃圾留言的方法，但是它确实能够帮助你。
# protect from spam comments
RewriteEngine On
RewriteCond %{REQUEST_METHOD} POST
RewriteCond %{REQUEST_URI} .wp-comments-post\.php*
RewriteCond %{HTTP_REFERER} !.*yourdomain.com.* [OR]
RewriteCond %{HTTP_USER_AGENT} ^$
RewriteRule (.*) ^http://%{REMOTE_ADDR}/$ [R=301,L]
加入这些指令之后，你应该添加 WordPress 用于管理永久链接的代码。还有很多的指令和很多的方法可以提高网站的可用性和安全性，不过这里所列出的应该占了日常所需的大部分了。当你上传该文件到服务 器上之后，你应该一遍有一遍的测试直到你觉得所有的东西都工作正常，再测试一遍。检查下是否受保护的文件还能不能被访问，你依旧允许访问的文件和文件夹能 否还能访问。常规的经验可能是棘手的事情，它们可能导致看似随机的问题，所以在你发布你的网站之前务必完全的测试你的网站。

一个名叫“代理脚本蠕虫变种Q”的病毒将在11月28日出现，网络用户上网时需要多加注意。该病毒通过网络、U盘传播，可以感染HTML等多种格式的文件，给用户带来比较大的损失，病毒还能够从黑客指定的网站上下载新的病毒。

　　病毒提示：“代理脚本蠕虫变种Q（Worm.Script.VBS.Agent.q）”属蠕虫病毒，警惕程度★★★，通过网络、U盘传播，依赖系统：WINNT/2000/XP/2003。

　　感染症状：它是一个蠕虫病毒，它运行后试图关闭多种杀毒软件，同时它可以禁用系统注册表等多种系统配置程序，给使用带来不便。病毒运行后会删除磁盘上含有成人色情词汇且扩展名为mpg、 rmvb、avi、rm的文件。病毒还可以感染磁盘中扩展名为hta、htm、html、asp、vbs的文件，然后在这些文件里加入病毒代码，当用户浏览这些网页时就可能传染上新的病毒。病毒复制自身到所有磁盘根目录下，并以此传播。

　　预防措施：建立良好的安全习惯，不打开可疑邮件和可疑网站；很多病毒利用漏洞传播，一定要及时给系统打补丁；安装专业的防毒软件升级到最新版本，并打开实时监控程序；把网银、网游、QQ等重要软件加入到“瑞星账号保险柜”中，可以有效保护密码安全。

微软对改进Windows Vista中安全功能的重视可能影响到了Windows Vista在企业中的普及.
在Windows XP受到冲击波、震荡波、MyDoom等恶意代码的袭击后,微软在Vista的安全性上投入了大量时间和金钱.微软反馈和产品中心的总经理乔治表示,尽管 通过发布Windows XP会SP2修正了许多缺陷,微软还是决定将安全列为新版Windows的“头等大事”.

但是,知情人士,甚至微软最近也承认,安全的重要性不足以推动企业升级到Vista.IT安全咨询厂商SecTheory的CEO罗伯特表示,微软意识到,它对Vista安全性的过于专注可能是一个失误,在试图修正这一失误.他说,总的来说,微软员工对Vista在安全性方面的改进比较满意,但他们承认消费者的反应相当冷淡.

罗伯特指出,为了增添安全功能,微软牺牲了Vista的可用性.它感受到了来自苹果、提供对用户更友好操作系统的压力.

用户帐户控制(UAC)功能使系统管理员对企业用户能够使用的功能有更多的控制,这一功能已经成为用户抱怨的一个主要问题,因为它总会用弹出式窗口打扰用户的正常工作.微软表示,它计划在未来的升级版本中改进UAC,解决可用性问题,在确保操作系统安全的情况下,使它对用户更有吸引力.

在上周接受采访时,微软Windows Client部门负责产品管理副总裁迈克承认,在近期内,安全不是购买一种新操作系统的原因.他说,对多媒体文件的管理和存储等新功能将推动最终用户的升级.

MarketingSherpa研究主管提姆表示,微软错误地判断了安全在推动客户向新版本Windows升级方面的重要性.但平心而论,在向客户推广和营销Vista方面,微软面临着复杂的局面,因为每次发布新版本的Windows,微软都在与它自己竞争