啥都甭說了,點下下面這個verisign的驗證圖標(biāo),鏈接到verisign的驗證頁面上,看看偶的blog也可以以某網(wǎng)站的身份通過verisign的驗證,只要再把頁面做的比較像某網(wǎng)站,出門詐騙的時候就可以扛上verisign的大旗了。
究起原因是VeriSign沒有從http鏈接中獲取Referer信息來判斷被校驗的網(wǎng)站,而是根據(jù)超鏈接里面?zhèn)鬟^來的“dn”參數(shù)來校驗,正所謂的防君子不防小人。作為一個專門做信息安全的公司出這樣外行的錯誤已經(jīng)讓人很無語了,被指出的時候表現(xiàn)出的推脫態(tài)度,更讓客戶寒心。
根據(jù)http://blog.csdn.net/VeriSign/archive/2005/11/27/537714.aspx ,微軟.Net戰(zhàn)略、瑞星、盛大網(wǎng)絡(luò)、中國萬網(wǎng)、阿里巴巴、新浪、搜狐、騰訊、上海電信、華為、清華同方、北大方正、廈新電子、TCL、中國工商銀行、招商銀行、昆侖證券、中國民航等都使用了verisign的服務(wù)。
此外根據(jù) http://tag.csdn.net/Article/c0a75980-452e-4eaa-ac8e-467c5fc9966b.html VeriSign在中國的服務(wù)造成的安全隱甚至可能比它解決的多:
Verisign公司在中國設(shè)立的J根鏡像服務(wù)器,中方?jīng)]有絲毫的管理權(quán)限,對于服務(wù)器中的日志文件、程序文件,中方根本無法接觸,全部由美國公司直接管理。然而,真相卻與此大相徑庭:這個由美國商業(yè)公司Verisign所帶來的根域名鏡像服務(wù)器,對中國訪問境外域名提速有限,對中國互聯(lián)網(wǎng)安全的加強(qiáng)作用微乎其微,反倒為美國公司監(jiān)控中國互聯(lián)網(wǎng)的訪問數(shù)據(jù)提供了便利。互聯(lián)網(wǎng)安全專家指出:"一旦發(fā)生國際沖突,境外機(jī)構(gòu)掐斷中國的根服務(wù)器鏡像和COM域名鏡像,所有使用COM域名的網(wǎng)站都將無法訪問,中國的互聯(lián)網(wǎng)將陷入癱瘓,后果不堪設(shè)想。
寒一個。