作為一個(gè)IT專業(yè)人員�,或者說(shuō)一個(gè)計(jì)算機(jī)愛(ài)好者�����,肯定對(duì)密碼的安全問(wèn)題有過(guò)深入的理解�。所以我們都知道�����,不論是密碼還是別的什么敏感信息�,比如銀行賬號(hào)�、重要的文檔、與公司的重要商業(yè)通信內(nèi)容等,都必須通過(guò)安全的數(shù)據(jù)鏈接來(lái)傳送�。這是最基本的安全常識(shí)���,也是那些對(duì)于互聯(lián)網(wǎng)感興趣的朋友們最初就了解的����。 當(dāng)我們?cè)L問(wèn)一個(gè)重要的網(wǎng)站���,會(huì)發(fā)現(xiàn)地址欄里的URL寫(xiě)的是https:// ����。當(dāng)你需要與同事共享文件夾時(shí),你會(huì)首先開(kāi)啟VPN確保重要數(shù)據(jù)傳輸時(shí)不會(huì)被其他人截獲����。有些對(duì)安全問(wèn)題更敏感的人�,在不久前出現(xiàn)了CA機(jī)構(gòu)被入侵的事件后�����,甚至?xí)謩?dòng)檢查安全證書(shū)。 但是這些只覆蓋了我們?nèi)粘I暇W(wǎng)活動(dòng)的一小部分的安全問(wèn)題��。我們每日上網(wǎng)發(fā)起的連接數(shù)量相當(dāng)多�����,而且電腦與遠(yuǎn)程服務(wù)器間的連接并不總是以HTTP方式進(jìn)行��,有可能會(huì)通過(guò)特有的協(xié)議和端口向遠(yuǎn)程服務(wù)器發(fā)送信息。那么這些我們看不到的連接是否安全呢?我們?cè)趺床拍苤肋@些連接所發(fā)送的數(shù)據(jù)是否是以明文方式發(fā)送出去的呢?下面我們就來(lái)梳理一下常用的安全或非安全的網(wǎng)絡(luò)連接�����。 電子郵件 首先,也是最常見(jiàn)的案例����,就是電子郵件�����。發(fā)送郵件會(huì)用到多種不同的協(xié)議,其中有些是安全的���,有些則不是。首先���,使用Gmail或其它基于Web的電子郵件網(wǎng)站,很好分辨是否是安全的�����。就算該網(wǎng)站沒(méi)有說(shuō)明使用了SSL連接���,你可以通過(guò)Firebug 這樣的Firefox插件或者Chrome里的開(kāi)發(fā)者控制臺(tái)來(lái)檢查郵件發(fā)送按鈕是否鏈接到安全頁(yè)面�。 但是如果你使用的是像 Outlook這樣的桌面電子郵件客戶端,那么情況就復(fù)雜了�。如果是企業(yè)電子郵件系統(tǒng),使用Microsoft Exchange 服務(wù)器����,只要配置正確�����,那么連接應(yīng)該是安全的。在Exchange的POP3設(shè)置中�����,只需要在Authentication選項(xiàng)卡中選擇Secure Logon 作為登錄模式就可以了��。同樣����,如果是將Hotmail的郵件直接通過(guò)Outlook 或Live Mail收發(fā)����,連接也是加密的。 而如果你所使用的電郵系統(tǒng)是來(lái)自ISP的POP3 或 IMAP��,那么可能就不夠安全了��。默認(rèn)情況下��,這些協(xié)議會(huì)以明文的形式發(fā)送電子郵件和用戶信息,包括你的電子郵件賬戶密碼�。按理說(shuō)ISP們應(yīng)該為這個(gè)連接添加加密功能����,但是很多ISP都沒(méi)有這么做����。 文件傳輸協(xié)議 通過(guò)互聯(lián)網(wǎng)傳送文件的方法很多����,從共享文件夾到通過(guò)DropBox 這種基于Web的文件服務(wù)。其中最古老也是最簡(jiǎn)單的文件傳輸方法就是使用FTP。盡管通過(guò)某些配置,F(xiàn)TP服務(wù)器和客戶端也能支持加密���,但是默認(rèn)情況下,F(xiàn)TP是不加密的。如果你運(yùn)行了Microsoft FTP 服務(wù)器�,只需要在IIS管理器的Connections面板里設(shè)置FTP SSL Settings 即可��。 FTP的一個(gè)典型應(yīng)用是向Web網(wǎng)站上傳文件。我曾經(jīng)見(jiàn)到過(guò)很多次有人使用帶有Web登錄面板的Web主機(jī),他們認(rèn)為連接到配置面板是安全的���,但是接下來(lái)又使用FTP客戶端向Web主機(jī)傳輸文件,而這個(gè)過(guò)程使用的用戶名和密碼都是明文發(fā)送的。 Telnet Telnet目前使用的已經(jīng)不多了�����,但是仍然有些人會(huì)偶爾使用����。很多主機(jī)都提供Telnet功能�����,讓用戶可以直接連接到服務(wù)器并以命令行方式執(zhí)行命令。Telnet程序和協(xié)議都是沒(méi)有加密的���,不過(guò)可以使用SSH進(jìn)行加密。 Telnet并不只能用于主機(jī)��,如果你是IT管理人員�,需要配置路由器,除非你會(huì)手動(dòng)配置SSH�����,否則你可能會(huì)用到Telnet�。有些路由器會(huì)更注重安全,要求管理員首先創(chuàng)建證書(shū)并進(jìn)行簽名���,然后才能打開(kāi)SSH��。因此�����,一般來(lái)說(shuō)我們都會(huì)選擇用一根串行線直接連到路由器進(jìn)行配置,而不是通過(guò)網(wǎng)絡(luò)進(jìn)行��。 其他程序 我們每個(gè)人的電腦里都安裝了很多程序��,其中一些程序會(huì)不時(shí)的與遠(yuǎn)程服務(wù)器聯(lián)絡(luò)�����,有些還會(huì)傳輸賬戶信息。這些程序可能是基于 Adobe AIR 的Twitter客戶端, Gmail Notifier 插件, DropBox 客戶端,或者是你的IM軟件,比如Windows Live或QQ����?����?傊祟愜浖芏唷D敲丛趺床拍苤肋@些軟件在發(fā)送數(shù)據(jù)是都是以加密形態(tài)發(fā)送的呢? 其實(shí)大家不用去軟件廠商的網(wǎng)站查詢FAQ上是否有這方面的信息�,而是可以通過(guò)在電腦上輸入命令netstat來(lái)列出當(dāng)前網(wǎng)絡(luò)連接狀態(tài)的方法進(jìn)行安全性查詢�。你可以在命令行模式窗口里輸入這個(gè)命令�����,在返回結(jié)果的第三列里會(huì)看到所連接的遠(yuǎn)程IP地址和端口號(hào)�。任何使用端口443或HTTPS的�,都是安全連接。 而我更喜歡使用數(shù)據(jù)包探嗅器進(jìn)行判斷�����。這種工具可以幫助我們發(fā)現(xiàn)是否有機(jī)密信息泄露��。具體來(lái)說(shuō),我比較喜歡用Microsoft Network Monitor �,大家可以從微軟的網(wǎng)站免費(fèi)下載這個(gè)產(chǎn)品�,但是很多人好像更喜歡使用Wireshark。 當(dāng)然����,使用這些工具需要你對(duì)掃描結(jié)果具備一定的分析能力���,但是通過(guò)查看每個(gè)程序所打開(kāi)的端口和遠(yuǎn)程主機(jī)的相關(guān)信息���,你可以很直觀的看到數(shù)據(jù)傳輸情況��。如果你能從某個(gè)數(shù)據(jù)連接中看到明文信息,那么這個(gè)連接很可能是未加密的不安全連接���。如果傳輸?shù)臄?shù)據(jù)你完全看不懂,或者已經(jīng)被標(biāo)記為T(mén)LS或SSL連接�,那么你就可以放心了�。 | 
