请关闭浏览器的密码自动填充功能

前几天看到一片文章《XSS Hack:获取浏览器记住的明文密码》(抱歉因安全考虑无法提供链接,请感兴趣的朋友百度之),讲的是目前还在萌芽中的一种跨站攻击方式——密码填充劫持。花了点时间研究了一下,觉得这种方法是几乎所有人都很难防范的。我在《网络安全的基石 – 密码安全》一文中曾提到了三种密码攻击的方法,而这次出现的是一种全新的攻击方法,十分隐蔽,且完全不需要互动。 跨站脚本攻击(Cross-Site Scripting),简称XSS,是近几年来十分流行的攻击手段,对社交网站等用户参与的网站尤为有效。我还记得前几年人人网就出过一次攻击,那时所有受影响的人都会自动转发一个帖子,而看到帖子的好友会继续转发,病毒式的扩散开来。

关于防范淘宝诈骗的几点技巧

网络购物在中国十分流行,今天的支付宝交易额短短8小时就达到100亿。市场巨大,诈骗的机会就大,因为许许多多网购的人都对电脑并不熟悉,对于一些比较常见的骗术缺乏最基本的了解。网上有很多受骗案例,也零零散散地有一些防范手段,但授人与鱼不如授人以渔,了解这些诈骗背后的道理,才能从根本上防止自己陷入他人的圈套。 首先,我们要弄清楚为什么会有诈骗。诈骗不是请客吃饭,不是做文章,不是绘画绣花。诈骗的人明白失败的代价,所以他们会用一切手段伪装自己,但同时会提高攻击的目标性,而不是传统意义上的电脑攻击。说白了,骗子的目标就是你的钱,换言之,就是你手中的银行卡的账户和密码。这是终极目标。为了达到这个目标,它可以顺带着骗取你的支付宝账户和密码,淘宝账户和密码。没有其他的。又因为我们的用户名是可见的,那么他们唯一的目标就是密码。因为几乎所有人都不会傻乎乎地把密码明文存储在电脑里,又因为现代网络安全技术使用https杜绝了中途切断破解通讯,那么骗子的手段只有一个,那就是让你自己输入密码。 以上这一段啰啰嗦嗦,归结成一句话:你输密码的时候,就是你最脆弱的时候,是你最需要警惕的时候。