| 超级链接欺骗――SSL服务器认证中的一种入侵(二)(图) |
|
|
| 本站专稿 重庆金桥 2001-12-27 |
3.防卫超级链接欺骗的方法
如果您已经使用了依赖于服务器认证的网络应用程序,而且您不能从您的Internet软件提供商那里得到一个对付方法,您惟一可行的办法便是使用户的浏览器在一个安全网页上开始,如此则用户可确信其初始连接而黑客不能把它们送到任何可疑之处去。一个安全页即一个您对其数字签名充分信任的页,它也许是一个当地的HTML文件或SSL服务页。图1显示了安全页访问的概念性模型。
 | |
图1 安全页访问的模型
当您想要用户的浏览器打开一个SSL页,必须以一些难于被截获的方式为该页发送一个URL(例如用磁盘或寄信),否则的话该页将创建一个要防止的入侵入口。该页外的所有连接应向用户发送可信地址,最好所有连接都有是SSL接法。您可以用以下判别条件来决定哪些列出的网址是可信的。
(1)网址安全运行(即网址是防入侵者和防页截取的)。
(2)站点只向能安全运行的网站台票发送有超级链接的页。
许多网址在第一条上不能过关,这样安全页访问代理可能仅为防火墙后应用程序,或者是一些指定的Internet应用程序。
另外,您可以在网址上放一个相关的等同于网址的对象,该对象有Verisign Java证书和Microsoft Authenticode证书。由于Verisign证书是从一些网页和其上的apple中得到的,所以黑客很难伪造。图2显示了一个带数字证书的网页。
 | |
图2 显示一个带数字证书认证的网页
第三个您可能想考虑的对付法便是您能迅速部署。许多商用网浏览器提供安全选项,其中之一是让您监视基于网址的证书。图3显示了Internet Explorer中的网址安全证书对话框。
 | |
图3 INTERNET EXPLORER的安全证书对话框
您或您组织中的其他人可以迅速编制一个浏览器插件,它将为您网上浏览器能访问的每个网址列出一个网址证书。在安装了插件将默认打开信息框,可以带一个口令选项让网络管理者关掉对话框。此外,在浏览器和服务器建立了连接之后,证书信息将显示在浏览器窗口的装饰性部分中(不是状态栏,因为Java VBScript 和JavaScript都能编写状态栏)。证书显示将对现在发送页的主人的网址给出连续的反馈,图4显示了您的放置插件的参考位置。
 | |
图4 显示INTERNET EXPLORER放置插件的位置
不幸的是,如果作假者把客户端HTTP请求或服务器响应在同一网址中从一页改变到另一页的话(比如,从一个CGI script到另一个,或从一个Java applet到另一个,等等),证书显示对方是作假入侵也是无用的。
您可能在组织内申请的第四种可能策略便是使用可信任书签库。内部安全人员将在发送每个人的书签文件时对每个的可信任书签进行确认。此外,安全人员仅用人工方式如软盘转载可信任书签。可信书签将在浏览器的书签文件中以某种方式作上标识,以便于确认哪些是可信的、哪些是不可信的。与以前详述的证书管理信息安装一样,可信任书签安装要求您的组织编制一个插件以执行可信任书签。可信任书签可以映像从超级链接文本、图像到域名、URL这些保存在浏览器中的信息。例如可信任书签词条可以包含下面行:
“* Jamsa Press *:*.jamsa.com”
而后,当浏览器看到含有“Jamsa Press”的链接时,浏览器会在jamsa.com域中查找服务器证书,以确信它是与jamsa.com服务器连接的。当浏览器连接到第三方域时(换句话说,一个不在书签词条中正确方的域),浏览器便警告用户连接域与期望的域不匹配。这样的话,运行可信任书签以使用户只能连接到与之匹配的域。可信任书签解决的方案让用户安装浏览器“警卫“,以使他们可以对某些“局域”的高价值服务进行访问,还可以保护公司免受缺乏安全意识的用户偶然传送未保护的信息。
基本上,可信任书签策略提供从链接文本到URL域名的安全映像。以前详述的每种可能的策略都试图提供映像或增加用户对安全性的信心。这四种可能的对付方法并不是到达安全网址映像的唯一方法。例如您可以创造一个置于已存网址证书协议上的安全Internet目录服务。不幸的是,创建目录服务将在链接、网址的“标识”和网址自身(私有密钥)之间,引起一个人为的间接层次――不仅导致其他一些对付方法失效,而且使链接的安全更难于戒备。最后,以上所述的策略均不能访问网上专有服务,而且,这些对付方法对防止网址内浏览被重定向也是无益的。
4.对超级链接欺骗的长远打算
正如您所知,当用户浏览网址时,超级链接入侵对用户安全构成严重威胁。超级链接导致的基本问题是SSL提供的证书中包含错误信息――DNS名。DNS比URL有更多的技术细节,而URL本身比用户点中的超级链接有更多的技术细节。当连接到网络的低水平的用户越来越多时,证书显示的技术信息越少越好。许多人使用www..com或www..com来猜测URL。然而,许多网络用户后来已经懂得,一个URL看似应属于某个公司并不意味真的如此。例如,网上最流行的搜索引擎是Digital的Alta Vista。然而,Alat Vista的网址不是http://www.altavista.com,而实际是http://www. digital.altavista.com/。网址www.altavista.com属于美国加州的一家软件公司。最近,一家德克萨斯州的软件咨询公司其网址为www.microsoft.com,它不属于Microsoft公司,然而,每天受到恶意针对Microsoft网址进行的无数次的攻击。
前面叙述的要旨是URL可猜,且一般是拥有该网址公司的反映,这已成为了惯例而不是法律。当然,当一个域名注册时,Internet确认机构只确认注册的DNS仍未被他人注册,而不是确认被注册的DNS与版权无冲突。最令人忧虑的是,DNS可以不是公司名或其业务的相关映像。许多用户依据URL而不是DNS名访问网络。而且他们期望连接到URL的文本和图形是URL目的地的一种映像。图5显示了超级链、URL和DNS名之间关系。
图5 DNS名从URL中获得,而URL名由用户选取的超级链接获得
一般的网络冲浪者不理解DNS之重要性,以至认证DNS名变得意义不大。许多用户不知道URL,除电视或印刷广告中看到的www.company.com之外。而且,最近的发展,如Internet Explorer中著称的“友好的URL”,它仅对地址行上的URL进行微小的改动便可访问整个网络,大大削弱了用户所见和服务器证书之间的关联。
Internet本身应解决的问题是决定哪个服务器证书应该核实,这要依据其应用程序。因为应用程序在一定程度上反映了用户的水平高低。一些应用程序(例如命令行FTP),其DNS名可用来进行认证,因为DNS名是用户输入以访问网络的,所以用户也许对DNS名有个较深理解。然而,对于浏览,证书应包括超级链接文本或图像,或是认证页给浏览器提供的一些有意义的东西,也许是标志。证书可能包括以下信息,这依据证书主体是否决定了证书的组成或一个网上使用的应用程序是否控制了证书显示而定:
代表图案(公司或产品标识、人物肖象);
英语(如服务器通用语言)和连接得当的习惯短语(“jamsa press”);
尽管URL对访问网络意义重大,证书内的URL还是包含通配符或规则短语。注意URL最可能代表着内部网应用程序或数据,也更有可能被一个内部的证书认证而不是一些如Verisign Internet远程站认证。
例如,如果证书包含一个图案,浏览器将把它显示在一个对话框中。此外,浏览器把它显示在浏览器图案框中而不是Netscape或Explorer标识内。正如前面所述,将证书显示于图案箱中导致向用户发出用户现在正与谁连接的一个连续反馈报告。即使一个非专业用户也将发现他没有连接到正确网址,如果他在其表兄的超级链接上点按鼠标而证书图标显示一个用他表兄不懂的语言创建的Web页。
浏览器也会以某些简单的修改来自动确认证书,如果用户跟随图案链接进入现有页,浏览器将检查证书以确认图案是否出现于此处,如果图案未在证书出现,浏览器将向用户报警。类似的,如果用户跟随超级链接到达现有页,浏览器将寻找文本或文本的函数。例如浏览器为文本链接子串或已知的哈希函数结果进行分析。
|
|
|
|
|
 |
|
|
|
|
|
|
|
