发生了什么事
最近,CNNIC(中国互联网络信息中心),偷偷地获得了 CA 权限!在所有中文用户被隐瞒的情况下!
意味着什么
意味着 CNNIC 可以随意造一个假的证书给任何网站,替换网站真正的证书,从而盗取我们的任何资料!
这就是传说中的 SSL MITM 攻击。以前这个攻击不重要是因为攻击的证书是假的,浏览器会告诉我们真相;现在,因为 CNNIC 有了 CA 权限,浏览器对它的证书完全信任,不会给我们任何警告,即使是造假的证书!
你信任 CNNIC (中国互联网络信息中心) 吗?你相信它有了权限,会安守本分,不会偷偷地干坏事吗?
我对此有3个疑问:
1. 某 party 对 GMail 兴趣浓厚,GFW 苦练 SSL 内功多年,无大进展。如今有了 CA,若 GFW 令下,CNNIC 敢不从否?
2. CNNIC 当年利用所谓官方头衔,制流氓软件祸害网民。如今有了 CA,如何相信它不会故伎重演?
3. 为了得到指定网站的合法证书,其它流氓公司抛出钱权交易,面对诱惑,CNNIC 是否有足够的职业操守?
影响范围
基本上所有浏览器的所有用户均受影响!
测试
如果你访问下面两个网站没有弹出提示则你已经中招了。
https://tns-fsverify.cnnic.cn/
https://www.enum.cn
解决CNNIC CA方法(IE):
工具–>Internet选项–>内容–>证书
先打开受信任的根证书发布机构
选择CNNIC ROOT和Entrust.net Secure Server Certification Authority这两个选择导出
导出时,一切选择默认。
导出完毕后,开始–>运行–>certmgr.msc–>不受信任的证书–>证书–>(右键)所有任务–>导入,把刚才导出的证书导入。
然后对着导入证书点击右键–>属性–>禁用此证书所有项目
解决CNNIC CA方法(Firefox):
* 菜单栏:工具/编辑->首选项->高级->加密->查看证书->证书机构(Authorites)
* 这是一个很长的列表,按照字母顺序,你应该能找到一个叫着 “CNNIC ROOT” 的记录,就是这个东西,告诉 Firefox,我们不信任它!
* 选中 CNNIC ROOT,点击下面的“编辑”按钮,弹出一个框,应该有3个选项,把所有选项的勾都去掉!保存。
* 还没有完,狡兔有三窟。
* 接着往下找,有一个叫着 Entrust.net 的组,这个组里应该有一个 “CNNIC SSL” (如果没有,访问一下 这个网站 就有了)
* 别急着下手,这回情况不一样,这个证书是 Entrust 签名的。我们信任 Entrust,Entrust 说它信任 CNNIC,所以我们就被迫信任 CNNIC SSL 了。找到 “Entrust.net Secure Server Certification Authority” 这一条,同上面一样,把3个选项的勾都去掉,保存(提示:取消了对 Entrust 的信任以后,可能会没法打开它签名的某些正常网站。至于哪个网站用了它的签名,随便试了一下,没找到例子)。
* 最后,让我们验证一下。重启 Firefox,打开 这个 和 这个 网站,如果Firefox 对这两个网站都给出了安全警告,而非正常浏览,恭喜,您已经摆脱了 CNNIC CA 的安全威胁!
测试环境 ie6/ie7, Win XP Pro SP3
代码:
1、
===========================================================
<script>document.createElement("li").value=3</script>
===========================================================
2、
===========================================================
<script>document.createElement("html").outerHTML</script>
===========================================================
感兴趣的TX可以把任意一段代码复制到记事本,另存为html再用IE打开…… 或者直接访问holmesian.org/exp/iecrash.html
结论:IE太那个什么了……
同时,您只需要在活动前后分别填写简单的在线活动问卷,就能获得两次上网本的抽奖机会哦(全国共50台)!问卷日期与链接如下:
* 活动前问卷:10月12日至10月22日
http://windows7-party.msn.ynet.com/questionnaire1/welcome.html
* 活动后问卷:10月24日至10月30日
http://windows7-party.msn.ynet.com/questionnaire2/welcome.html (10月24日开放,敬请关注)
用户可将搜索结果置顶或删除,这样就可以使搜索结果对用户来说最优化
目前这项服务仅在google.com可用
1 登录谷歌 (用账号登陆)
2 进入http://www.google.com/ncr 注意不是google.cn
3 点搜索框右边的“Preferences”按钮
4 在“Interface Language”项中选择”chinese simplified“(简体中文)
5 点击右下边的Save Preferences(保存使用偏好)
再次进入google.com进行搜索
在搜索结果的右边 出现一个“↑按钮”和一个“×按钮”
简单的说过程就是:你发送一个腾讯已经认定为非安全网站的网址给对方,因为是系统自动判定是非安全网站的时候,若对方隐身(在线也一样)系统就会自动给双方发出警告提示,如果对方不在线,那么自然当时你是收不到警告提示的,一句话就是用系统是否发出警告提示来判定对方是否在线,哈哈,不明白继续询问,打字很累的。
不明网站示例:http://holmesian.cn/qq-online
HP dv4 XP 驱动
-- 08.11.2 更新无线网卡驱动& N& }3 d! D5 r& u w
-- 08.11.12 新增各版本BIOS
-- 08.11.26 新增F.14版BIOS
-- 08.12.10 新增F.22版BIOS; I, v9 N& f- h$ @( O, n: k! ^
-- 08.12.22 更新指纹管理软件
-- 08.12.24 更新声卡驱动,解决麦克风不能使用的问题;更新网卡驱动
-- 09.1.20 新增F.24版BIOS
dv4需刷F.11C版BIOS才能完美安装XP,
详见:http://bbs.benber.com/thread-20113-1-1.html$ \! I) Y!
