136电子商多 Chinapub.com 下载 细介绍了客户机所面临的各种安全威胁,这里再简单回顾一下:响应浏览器请求而传输到客 户机上的普通页面都是信息的静态显示,这是完全无害的。以动态页面形式从因特网上传输 来的活动内容就不同了,这可能对客户机造成最严重的安全威胁 前面已讲过,活动内容是嵌在WWW页面上的程序,它能为页面提供动态的内容和显示 效果。大多数情况下这些程序只完成指定的任务。但有时有些安全威胁伪装成无害的活动内 容,在客户机上运行时就会进行破坏。可为页面添加动态特性的程序通常有Java、 JavaScript 或 Active X控件。除了www页面嵌入程序带来的安全威胁外,下载的图形文件、浏览器插件 和电子邮件附件都可能是安全威胁的隐身之处,这些隐藏的程序激活后就可能破坏客户机 第5章介绍了 Cookie,这些小文本文件存储在客户机上,里面有未加密的敏感信息。这意 味着有人可能会阅读这些 Cookie来收集和记录其中的信息。这些信息可能是信用卡号、口令 和登录信息。由于大多数 Cookie的作用类似进入曾访问过网站的门票,这就向任何掌握 Cookie的人提供了入口。虽然 Cookie一般情况下不会直接危害客户机,但会引起一些破坏。 对客户机的另一种安全威胁是伪装成合法网站的服务器。用户和客户机被欺骗向非法网 站提供敏感信息的案例很多。这实际上是属于客户机的安全问题,因为客户机有责任去了解 它所访问的网站和服务器,以防止被欺骗。下面几节讨论一些内置的防止或减少客户机安全 威胁的保护机制。 641监测活动内容 网景公司的 Navigator和微软公司的 Internet Explorer浏览器都能识别带有活动内容的页面。 在你下载和运行嵌在页面中的程序时,应当牢记确认此程序是否来自你所了解和信任的网站。 这两种常用浏览器的安全方式有一些差异,所以在本节中分别讲述。你既可全面阅读这两种 浏览器的安全特性,也可只了解你所使用浏览器的安全特性。首先来看数字认证,它对客户 机和服务器确认彼此身份非常关键 1.数字证书 数字证书是电子邮件附件或嵌在网页上的程序,可用来验证用户或网站的身份。另外 数字证书还有向网页或电子邮件附件原发送者发送加密信息的功能。下载的程序内有数字证 书,就可识别出软件出版商(以确认软件出版商的身份同证书相符)并确认证书是否有效。 如果电子邮件消息或网页含有数字证书,就称之为签名消息或签名代码。签名消息或签名代 码的用途同驾驶执照或护照上相片的用途相同,是用来验证执有人是否为证书指定人。证书 并不保证所下载软件的功能或质量,只是证明所提供的软件是一个真实的,不是伪造的。使 用证书意味着:如果你相信这家软件开发商,证书就可帮你确认签名的软件确实来自这家开 发商。 软件开发商不必是证书签署者。证书只表明对这段程序的认同,而不需标明作者是谁 签署软件的公司需要从若干一级或二级的认证中心处得到软件出版商证书。认证中心可向组 织或个人发行数字证书。如果把数字证书比作护照,认证中心就相当于美国国务院。需要护 照的人向美国国务院提供若干张表明身份的表格和照片。同样,申请数字证书的实体要向认 证中心提供相应的身份证明。如果符合条件,认证中心就会签署一个证书。认证中心以公开 加密密钥的方式来签署证书,收到软件出版商程序上所附证书的人可用公开加密密钥来打开 这个程序。加密密钥就是一个简单的数字,通常是一个很大的二进制数字,它和特定的加密细介绍了客户机所面临的各种安全威胁，这里再简单回顾一下：响应浏览器请求而传输到客 户机上的普通页面都是信息的静态显示，这是完全无害的。以动态页面形式从因特网上传输 来的活动内容就不同了，这可能对客户机造成最严重的安全威胁。 前面已讲过，活动内容是嵌在 W W W页面上的程序，它能为页面提供动态的内容和显示 效果。大多数情况下这些程序只完成指定的任务。但有时有些安全威胁伪装成无害的活动内 容，在客户机上运行时就会进行破坏。可为页面添加动态特性的程序通常有 J a v a、J a v a S c r i p t 或Active X控件。除了W W W页面嵌入程序带来的安全威胁外，下载的图形文件、浏览器插件 和电子邮件附件都可能是安全威胁的隐身之处，这些隐藏的程序激活后就可能破坏客户机。 第5章介绍了C o o k i e，这些小文本文件存储在客户机上，里面有未加密的敏感信息。这意 味着有人可能会阅读这些 C o o k i e来收集和记录其中的信息。这些信息可能是信用卡号、口令 和登录信息。由于大多数 C o o k i e的作用类似进入曾访问过网站的门票，这就向任何掌握 C o o k i e的人提供了入口。虽然C o o k i e一般情况下不会直接危害客户机，但会引起一些破坏。 对客户机的另一种安全威胁是伪装成合法网站的服务器。用户和客户机被欺骗向非法网 站提供敏感信息的案例很多。这实际上是属于客户机的安全问题，因为客户机有责任去了解 它所访问的网站和服务器，以防止被欺骗。下面几节讨论一些内置的防止或减少客户机安全 威胁的保护机制。 6.4.1 监测活动内容 网景公司的N a v i g a t o r和微软公司的Internet Explorer浏览器都能识别带有活动内容的页面。 在你下载和运行嵌在页面中的程序时，应当牢记确认此程序是否来自你所了解和信任的网站。 这两种常用浏览器的安全方式有一些差异，所以在本节中分别讲述。你既可全面阅读这两种 浏览器的安全特性，也可只了解你所使用浏览器的安全特性。首先来看数字认证，它对客户 机和服务器确认彼此身份非常关键。 1. 数字证书 数字证书是电子邮件附件或嵌在网页上的程序，可用来验证用户或网站的身份。另外， 数字证书还有向网页或电子邮件附件原发送者发送加密信息的功能。下载的程序内有数字证 书，就可识别出软件出版商（以确认软件出版商的身份同证书相符）并确认证书是否有效。 如果电子邮件消息或网页含有数字证书，就称之为签名消息或签名代码。签名消息或签名代 码的用途同驾驶执照或护照上相片的用途相同，是用来验证执有人是否为证书指定人。证书 并不保证所下载软件的功能或质量，只是证明所提供的软件是一个真实的，不是伪造的。使 用证书意味着：如果你相信这家软件开发商，证书就可帮你确认签名的软件确实来自这家开 发商。 软件开发商不必是证书签署者。证书只表明对这段程序的认同，而不需标明作者是谁。 签署软件的公司需要从若干一级或二级的认证中心处得到软件出版商证书。认证中心可向组 织或个人发行数字证书。如果把数字证书比作护照，认证中心就相当于美国国务院。需要护 照的人向美国国务院提供若干张表明身份的表格和照片。同样，申请数字证书的实体要向认 证中心提供相应的身份证明。如果符合条件，认证中心就会签署一个证书。认证中心以公开 加密密钥的方式来签署证书，收到软件出版商程序上所附证书的人可用公开加密密钥来打开 这个程序。加密密钥就是一个简单的数字，通常是一个很大的二进制数字，它和特定的加密 1 3 6 电 子 商 务 下载