啥都甭說了,點下下面這個verisign的驗證圖標,鏈接到verisign的驗證頁面上,看看偶的blog也可以以某網站的身份通過verisign的驗證,只要再把頁面做的比較像某網站,出門詐騙的時候就可以扛上verisign的大旗了。
究起原因是VeriSign沒有從http鏈接中獲取Referer信息來判斷被校驗的網站,而是根據超鏈接里面傳過來的“dn”參數來校驗,正所謂的防君子不防小人。作為一個專門做信息安全的公司出這樣外行的錯誤已經讓人很無語了,被指出的時候表現出的推脫態度,更讓客戶寒心。
根據http://blog.csdn.net/VeriSign/archive/2005/11/27/537714.aspx ,微軟.Net戰略、瑞星、盛大網絡、中國萬網、阿里巴巴、新浪、搜狐、騰訊、上海電信、華為、清華同方、北大方正、廈新電子、TCL、中國工商銀行、招商銀行、昆侖證券、中國民航等都使用了verisign的服務。
此外根據 http://tag.csdn.net/Article/c0a75980-452e-4eaa-ac8e-467c5fc9966b.html VeriSign在中國的服務造成的安全隱甚至可能比它解決的多:
Verisign公司在中國設立的J根鏡像服務器,中方沒有絲毫的管理權限,對于服務器中的日志文件、程序文件,中方根本無法接觸,全部由美國公司直接管理。然而,真相卻與此大相徑庭:這個由美國商業公司Verisign所帶來的根域名鏡像服務器,對中國訪問境外域名提速有限,對中國互聯網安全的加強作用微乎其微,反倒為美國公司監控中國互聯網的訪問數據提供了便利。互聯網安全專家指出:"一旦發生國際沖突,境外機構掐斷中國的根服務器鏡像和COM域名鏡像,所有使用COM域名的網站都將無法訪問,中國的互聯網將陷入癱瘓,后果不堪設想。
寒一個。