| Ingrian Networks推出防篡改Cookie平台 |
 |
|
|
2002-10-09 12:59
转自:
日经BP社
|
| |
【日经BP社报道】美国Ingrian Networks公司于当地时间10月2日,发表了可以使WWW站点免受“Cookie Poisoning(Cookie篡改)”攻击的平台“Active Application Security”。
Cookie是提供电子商务的WWW服务器等生成的小型数据,用户访问WWW站点时Cookie被写入用户电脑里,以后会根据用户喜好更新网页内容。在Cookie里含有用来识别用户的信息。当用户浏览WWW站点时,会向WWW服务器提交Cookie信息,因此可用来认证用户及记录用户的浏览行为。
Ingrian Networks公司的企业&产品开发副总裁Rod Murchison解释说:“由于任何人都可以读写Cookie,因此如果在向用户发送之前不采取适当的加密措施,很有可能成为安全上的重大隐患”。“怀有恶意的骇客经常会以Cookie为攻击目标。他们通过自有电脑搜索特定WWW站点的Cookie,破解其内容和访问目的,然后通过编辑用户信息等方法侵入WWW站点”。
Active Application Security平台能对Cookie内部的重要信息进行加密处理,并附上电子署名。而且,每次WWW服务器和用户的WWW客户端进行通信时,将利用电子署名对Cookie的内容进行确认。如果恶意用户删除了电子署名或者更改了信息内容,会使电子署名和Cookie的内容无法再匹配。这时Active Application Security便会阻止这条Cookie并拒绝向WWW站点返回信息。
另外该平台还对Cookie内容进行了3DES加密,解密需要口令,通过这种方法安全地保存Cookie。
WWW服务器和WWW客户端之间的通信还全部利用了SSL连接方式,以确保通信路由的安全。
“通过综合运用电子署名、加密、SSL连接等方法组成新的强有效的方法,可以完全排除通信路由及数据存贮两方面存在的脆弱性,完全杜绝对Cookie的篡改”(Ingrian Networks)。
这套针对篡改Cookie推出的解决方案可以直接投入使用。
|
| |
|
|
|
