Monthly Archives: 12月 2021

12月 30th, 2021
0
comments

抗投诉服务器是什么意思

CATEGORIES: 服务器

一般的投诉指的是同行,或者购买你产品的人,以个人的形式通过ip投诉到机房,这属于一般投诉,下面提供各类海外抗投诉服务器租用,分布在亚洲、美洲、欧洲等地。推荐阅读:《 服务器怎么防止攻击? 》

1、亚洲抗投诉服务器机房

亚洲的机房很多,但是真正做到抗投诉的机房只有马来西亚机房,如果用户针对的群体是在国内,可以选择马来西亚服务器。

2、美洲抗投诉服务器机房

美洲机房中最为代表性的为美国机房,这也是国内市场中比较常见的机房,由于美国服务器带宽比较大,而且内容限制比较少,很多人都喜欢租用美国服务器进行仿牌网站等搭建仿牌网站。美国硅谷机房位于美国互联网高速发达的城市–洛杉矶,该机房不但抗投诉能力强,而且带宽充足、不限流量、访问速度快。推荐阅读:《可能错过的6个替代网络服务器》

3、欧洲抗投诉服务器机房

欧洲地区可供选择的抗投诉服务器比较多的,如荷兰服务器、瑞典服务器、立陶宛服务器、拉脱维亚服务器等都可以选择

需要了解清楚的那就是根本不存在有些商家所吹嘘的完全抗投诉的机房,有些服务商在宣传自己的仿牌服务器或抗投诉服务器时,宣城自己“完全不怕投诉,任何的投诉都不予理会”,这个是不存在的。只能是选择相对抗投诉能力强,效果好的服务器来租用。推荐相关阅读:《如何测试美国服务器带宽》

TAGS:
12月 28th, 2021
0
comments

购买的美国虚拟主机IP显示的位置是其他地区

CATEGORIES: 虚拟主机

有些时候在我们购买了一个美国虚拟主机之后会通过站长工具等查询该IP位置,有的美国虚拟主机查询后IP地理位置显示的不是对应的机房,比如购买的洛彬机机房的美国虚拟主机,站长查询工具显示的地址却是加拿大。推荐阅读:《怎样选择比较好的美国虚拟主机》

那么为什么会出现这种IP显示其他地区的情况呢?通常IP地址都是由ARIN发放的,在最原始的数据库中都是规定某些IP段是属于某个地区或国家,然后一些查询工具就获取这些数据库的信息。但是,由于机房的迁移,以及不同地区IP价格成本不同,很多提供商会使用早期储备的IP(早期IP便宜),上线服务器后,把原来归属于那个地区的IP拿过来使用。实际上是其他地区新的机房,但是查询的数据库没有更新,所以我们会看到IP显示位置并不是美国。

如何查询真实的IP地理位置呢?

我们在购买空间的时候,要查看他们的WinMTR路由追踪,这样才能看到IP的追踪是直连还是绕道 。例如购买一个香港主机,可以通过路由追踪查看是否是从香港出来绕道日本、美国和英国等海外节点后在回到中国内地。如是这种情况的话,那就不是直连,这会比直连内地的香港机房网络慢的情况。推荐相关阅读:《 美国虚拟主机使用时要注意什么 》

TAGS:
12月 24th, 2021
0
comments

选择WordPress主机网站建设的五大理由

CATEGORIES: Hostease资讯, 网站建设

如果想为您的企业寻找最好的服务器环境,WordPress主机应该在名单之首。WordPress有易于使用的界面、安全的平台和强大的社区。与专门为快速WordPress网站定制的主机环境搭配,您的企业已经准备好在网上获得成功。

今天就来了解一下选择WordPress主机的五大理由。请记住,hostease总是准备好与业务一起成长,所以没有必要担心在未来迁移网站。推荐阅读:《如何找到最快的WordPress主机》

WordPress是市场上最好的内容管理系统

谈到为网站选择内容管理系统(CMS)时,我们认为选择很明确,并且大多数网站都同意:WordPress是最好的选择。

易于定制

WordPress有一个中央”面板”,可以在那里管理网站的所有方面。无论是预建的主题,还是自己使用主题框架设计一个网站,都很容易做出改变。

安装网站后,可以通过点击按钮来定制它。

使用自定义器或块编辑器,很容易添加徽标或移动部分。

想给您的网站添加一个新功能吗?可能存在一个插件,而且只需点击几下就可以安装。从面板上添加在线商店功能、照片库或社交媒体工具。

开发者和设计师喜欢WordPress

WordPress主题框架为开发者设定了使用和遵循的标准。如果开发者或设计师不熟悉它,他们可以通过遵循WordPress的文档迅速上手。

但您会发现大多数开发者和设计师都会熟悉WordPress,并能提供您所要的东西。这比晦涩难懂的页面生成器或定制的网站要好,因为它更容易排除故障并与其他编码人员合作。

它更容易修复,因为可以通过遵循WordPress故障排除技术缩小大多数问题的原因。庞大的用户群意味着遇到问题时,有无数的人和资源可以联系到。只要以”WordPress”的方式进行修改,对下一个开发者来说应该很容易接受。

网站安全

hostease的系统架构团队积极保护网站免受恶意软件、黑客、漏洞和DDoS攻击。服务器环境得到了很好的保护。

使用WordPress就像有自己的开发人员和安全专家团队免费为自己工作。世界各地的开发人员的大规模合作意味着WordPress会经常更新错误修复和一般安全加固修复。

只要定期进行更新,并记得备份网站,就会为保护网站和防止黑客入侵做大量的工作。推荐阅读:《使WordPress主机变得更好的六件事情》

免费和高级主题

不确定网站到底想要什么布局?

这很容易解决。通过WordPress可以从数以千计的免费和高级主题中选择网站。主题控制着网站的外观和感觉;基本上,确定了访问者将如何查看网站并与之互动。如果不喜欢正在测试的那个主题,可以快速更换到一个新主题。只需从WordPress面板上切换到另一个主题即可。

如果您正在寻找更多自定义的东西,可以在网站后端编辑主题,或使用自己的”子”主题来修改它。但是,WordPress的主题也可以手工构建,以完全匹配特定需求。这就是WordPress主题开发者提供的服务。

通过免费和高级的主题,可以迅速改变网站,以匹配特定行业或电商风格。

WordPress主机附带支持

使用WordPress主机时,可以在任何时候与WordPress专家交谈,无论白天还是晚上。hostease的行业领先的支持团队是100%的美国人,在解决各种WordPress问题方面经验丰富。他们可以通过电话、电子邮件或聊天提供服务。

我们的支持中心包括数以千计的操作指南和视频,以帮助学习如何建立成功的在线存在。我们还有社区论坛,在那里可以发布问题,并从许多WordPress用户那里获得帮助。

不用担心。如果遇到网站问题,并不孤单。

WordPress网站将非常快

选择WordPress主机套餐,网站已经针对速度进行了优化。如果曾经听到有人抱怨有一个缓慢的WordPress网站,他们可能对网站的资源管理不善,或者有糟糕的主机。

有了免费的固态硬盘和高级缓存,就可以放心,当有人访问时,网站将快速加载。我们的系统架构团队承担所有的服务器调整,所以所需要做的就是建立和推广网站。

安全问题

我们负责服务器的安全,所以可以免受黑客、恶意软件和DDoS攻击。注册WordPress主机后,将为主域名和添加到主机的任何域名获得免费的SSL。会得到漂亮的SSL挂锁图标,以表示网站的安全。

这意味着访问者将能够安全地与网站互动,而不必担心数据被第三方窃取。

我们确保数据的安全,所以可以专注于建设和推广网站。

价格——不要为主机支付过多的费用

对于一些用户来说,技术是最重要的因素。但对许多人来说,价格将是决定性因素。

这就是为什么我们的WordPress主机包的价格很有竞争力,并提供WordPress的VIP体验,而所期望的成本只是VPS主机独立主机方案的一小部分。

最后的思考

无论是刚刚开始使用WordPress,还是已经使用了多年,WordPress主机都能提供所需要的一切:

1. WordPress内容管理系统本身的力量

2. 来自专家的支持

3. 优化的速度

4. 安全

5. 实惠的价格

现在就注册WordPress主机计划并开始建立在线业务。可以把其他事情交给hostease。推荐相关阅读:《WordPress主机和共享主机分别适合哪些网站呢?》

TAGS: ,
12月 22nd, 2021
0
comments

选择美国虚拟主机提供商时什么最重要?

CATEGORIES: Hostease资讯, 虚拟主机

在寻找美国虚拟主机提供商时,您可能知道要看存储空间和价格,但其他选项呢,如网站备份工具,或支持?在寻找虚拟主机时,有一些东西可能不会被放在首位,我们也想把它们带入讨论。

美国虚拟主机计划

不同的美国虚拟主机计划可用于所有规模和风格的网站。这些计划包括VPS、云、共享、专用、WordPress和其他一些计划。因此,在寻找美国虚拟主机提供商时,他们有多少个这样的选择?

在一个网站的生命周期中,您很可能想扩大或吸引更多的访问者,能够保持在同一个美国虚拟主机上,是确保网站在需要改变计划时不受影响的一个很好方式。只有一个或两个计划的供应商将很难发展,因此可能需要更换供应商,这可能会导致网站中断。推荐阅读:《 怎样选择比较好的美国虚拟主机 》

计划层级

每个计划有不同的层级,这决定了一个供应商是否适合您。这需要能够从最适合的层级开始,并仍然提供成长的空间。提供不同层级的供应商对他们的服务有信心,并鼓励人们发展他们的网站。这也表明他们意识到,不是每个人都需要最大的存储空间、最高的安全性,或其他任何与顶级套餐有关的东西。另外,在花钱方面,谁不喜欢多个选择呢?

网站备份工具

备份网站是经常被忽视的事情。也就是说,供应商是否提供网站备份工具?备份网站将在任何问题导致网站瘫痪的情况下节省很多麻烦。

我们非常相信这一点,所以我们提供非常可靠和自动的网站备份工具。该工具甚至可以知道备份限额是否被超过,以便做出调整。推荐阅读:《 虚拟主机中Linux和Windows的区别 》

美国虚拟主机支持

支持一个网站不应该只是由客户来承担。好的美国虚拟主机会提供支持,更好的美国虚拟主机会提供24/7的最佳支持(那就是我们)。hostease在支持方面一直名列前茅。可以在任何时间通过聊天、电话或电子邮件联系我们。

选择了我们的计划,我们也会监测数据,确保网站仍然是最好的表现,没有任何问题未得到解决。

可能会注意到这里的一个模式,即我们不喜欢头痛或问题。但这些事情发生了,我们知道,所以我们想提供所能找到的最好支持。

价格

最后,每个美国虚拟主机计划的价格都会有所不同。计划的成本比以前低,这确实显示了这一点,但它们仍然可以是不同的。此外,如果资金不足,那么就买不起——我们理解。不要超过预算,因为这将无济于事。相反,要寻找一个能提供上述所有条件,并且最物有所值的美国虚拟主机。

网站备份工具、支持和选项是否已列入寻找美国虚拟主机的清单?我们希望如此。是否想知道一个优质的美国虚拟主机是什么样子?不妨看看hostease的备份工具和美国虚拟主机计划。推荐相关阅读:《 如何为博客寻找合适的虚拟主机? 》

TAGS: ,
12月 20th, 2021
0
comments

网站崩溃了应该怎么办?

CATEGORIES: 网站安全

事情最终还是发生了:网站瘫痪,您吓坏了,因为您不知道该怎么做,甚至不知道是否有最近的网站备份。别担心,我们在这里提供帮助!本文将讨论一些问题,并介绍一些导致网站崩溃的常见问题,该怎么做,以及如果再次发生,如何做好准备。

网站崩溃的常见原因

1. 插件。技术不断发展,对插件来说就不是这样了。一些插件的创造者要么放弃他们的创造,要么不更新它。如果使用的插件没有更新,那么就有可能出现问题并导致崩溃。

2. 编码。更新代码时,要确保它与网站在同一页面。添加与当前代码或插件冲突的代码,通常会导致崩溃。如果网站在添加新的代码后马上就崩溃了,这可能是罪魁祸首。

3. 流量激增。如果流量不足,这是个好问题。意思是说,网站虽然瘫痪了,但得到了更多的流量。但是,这仍然是一个需要解决的问题。推荐阅读:《 网站打开速度慢该怎么办呢 》

4. 缺乏主机空间。流量激增的一个常见问题——如果没有足够的主机空间,网站可能而且会崩溃。与流量激增不同,这里没有半满的杯子。除非保持网站非常小,并且不升级,否则开始的东西并不总是有效。

5. 黑客。有些人只想看着世界被烧毁,而网站恰好就在他们的世界里。蛮力攻击可以使一个网站极快地瘫痪,造成试图修复时压力和时间和金钱的损失。

6. 域名过期。在购买域名后可能不会想到这一点,但它对网站至关重要。如果域名过期了,而又没有续费,那就根本没有办法进入网站了。

如何修复崩溃?

一开始,请联系主机商。他们能够帮助解决这个问题。即使这不是他们的错,他们也有工具和经验来发现问题所在以及如何去解决它。

与他们保持联系,尽量保持冷静和耐心。每个问题的解决都不是立竿见影的,可能会有多个问题发生。如果主机商不能提供帮助,您可以开始寻找能帮助您的人。然后开始寻找一个新的主机。

从您的网站备份中启动和运行

是否还记得我们谈到的网站备份?希望有一个备份。如果没有,让我们来谈谈主机。

对于网站的备份,需要对主机商有绝对的信心。如果主机不提供这个,为什么还要选择他们?当网站发生故障时,备份可以大大减少停机时间。我们理解让网站尽快恢复的重要性,这就是为什么我们提供自动远程备份服务。

另一个步骤是在添加新代码或添加或更新插件之前做一些研究。正如我们提到的,这些东西可能在不知情的情况下过时或导致更多问题。一个简单的Google搜索就可以帮助拯救网站崩溃造成的头痛。

如果觉得我们对网站备份显得有些激进,那是因为它对网站崩溃非常重要。您可能无法防止网站崩溃,但您可以随时做好准备。确保您对主机有100%的信心,在网站崩溃时能够提供帮助。关于我们的自动备份服务的更多信息,请查看其他文章。推荐相关阅读:《 CDN对于网站的重要性 》

TAGS:
12月 16th, 2021
0
comments

Linux命令行教程:使用CD命令操作终端(一)

CATEGORIES: Hostease资讯

您在 PC 上执行的最常见任务是创建、移动或删除文件。让我们看看文件管理的各种选项。

要管理您的文件,您可以使用

终端(命令行界面 – CLI)

文件管理器(图形用户界面 -GUI)

为什么要学习命令行界面?

尽管世界正在转向基于 GUI 的系统,但 CLI 有其特定用途,并广泛用于脚本和服务器管理。让我们来看看它的一些引人注目的用途——

相比之下,Commands 提供了更多的选择并且很灵活。管道和标准输入/标准输出非常强大,但在 GUI 中不可用

GUI 中的某些配置多达 5 个屏幕深,而在 CLI 中它只是一个命令。推荐阅读:《 常见的Linux与命令行重定向 》

在 GUI 中移动、重命名 1000 个文件将非常耗时(使用 Control /Shift 选择多个文件),而在 CLI 中,使用正则表达式因此可以使用单个命令完成相同的任务。

与 GUI 相比,CLI 加载速度快且不消耗 RAM。在紧要关头,这很重要。

GUI 和 CLI 都有其特定的用途。例如,在 GUI 中,性能监控图提供系统健康状况的即时视觉反馈,而在 CLI 中查看数百行日志则令人眼花缭乱。

您必须学会使用 GUI(文件管理器)和 CLI(终端)

基于 Linux 的操作系统的 GUI 类似于任何其他操作系统。因此,我们将专注于 CLI 并学习一些有用的命令。

在 Ubuntu 上启动 CLI

有两种方法可以启动终端。

前往 Dash 并输入终端

2) 或者您可以按CTRL + Alt + T启动终端

启动 CLI(终端)后,您会发现上面写着 guru99@VirtualBox。推荐阅读:《Linux 独立服务器或 Windows 独立服务器:选择哪个?》

1)这一行的第一部分是用户名(bob、tom、ubuntu、home……)

2) 第二部分是计算机名或主机名。主机名有助于识别网络上的计算机。在服务器环境中,主机名变得很重要。

3) ‘:’是一个简单的分隔符

4) 波浪号’~’ 表示用户在主目录中工作。如果您更改目录,此标志将消失。

我们已使用’cd’ 命令从 /home 目录移动到 /bin 。在 /bin 目录中工作时不显示 ~ 符号。它在移回主目录时出现。

5) ‘$’ 符号表明您是 Linux 中的普通用户。以 root 用户身份工作时,会显示“#”。推荐相关阅读:《 虚拟主机中Linux和Windows的区别 》

TAGS:
12月 14th, 2021
0
comments

什么是 SQL 注入

CATEGORIES: Hostease资讯

SQL 注入,也称为 SQLI,是一种常见的攻击媒介,它使用恶意 SQL 代码进行后端数据库操作来访问不打算显示的信息。此信息可能包括任意数量的项目,包括敏感的公司数据、用户列表或私人客户详细信息。

SQL 注入对业务的影响是深远的。一次成功的攻击可能会导致未经授权查看用户列表、删除整个表,在某些情况下,攻击者可能会获得对数据库的管理权限,所有这些都会对企业造成极大危害。

在计算 SQLi 的潜在成本时,重要的是要考虑到电话号码、地址和信用卡详细信息等个人信息被盗时客户信任度的损失。

虽然此向量可用于攻击任何 SQL 数据库,但网站是最常见的目标。

什么是 SQL 查询

SQL 是一种标准化语言,用于访问和操作数据库,为每个用户构建可定制的数据视图。SQL 查询用于执行命令,例如数据检索、更新和记录删除。不同的 SQL 元素执行这些任务,例如,基于用户提供的参数使用 SELECT 语句检索数据的查询。

典型的 eStore 的 SQL 数据库查询可能如下所示:

选择项目名称,项目描述

发件人

WHERE ItemNumber = ItemNumber

从中,Web 应用程序构建一个字符串查询,该查询作为单个 SQL 语句发送到数据库:

sql_query=”

选择项目名称,项目描述

发件人

WHERE ItemNumber = ” & Request.QueryString(“ItemID”)

用户提供的输入 http://www.estore.com/items/items.asp?itemid=999 然后可以生成以下 SQL 查询:

选择项目名称,项目描述

发件人

WHERE ItemNumber = 999

从语法中可以看出,此查询提供了物料编号 999 的名称和描述。

SQL 注入的类型

SQL 注入通常分为三类:带内 SQLi(经典)、推理 SQLi(盲)和带外 SQLi。您可以根据 SQL 注入类型用于访问后端数据的方法及其潜在损害进行分类。

带内 SQLi

攻击者使用相同的通信渠道发起攻击并收集结果。带内 SQLi 的简单性和效率使其成为最常见的 SQLi 攻击类型之一。此方法有两个子变体:

基于错误的 SQLi — 攻击者执行导致数据库产生错误消息的操作。攻击者可能会使用这些错误消息提供的数据来收集有关数据库结构的信息。

基于联合的 SQLi——该技术利用了 UNION SQL 运算符,它融合了数据库生成的多个选择语句以获得单个 HTTP 响应。此响应可能包含攻击者可以利用的数据。

推理(盲)SQLi

攻击者将数据负载发送到服务器并观察服务器的响应和行为以了解有关其结构的更多信息。这种方法被称为盲SQLi,因为数据没有从网站数据库传输给攻击者,因此攻击者无法在带内看到有关攻击的信息。

SQL 盲注依赖于服务器的响应和行为模式,因此它们通常执行速度较慢,但​​可能同样有害。SQL 盲注可以分为以下几类:

布尔值——攻击者向数据库发送 SQL 查询,提示应用程序返回结果。结果将根据查询是真还是假而有所不同。根据结果​​,HTTP 响应中的信息将修改或保持不变。然后,攻击者可以确定消息生成的结果是真还是假。

基于时间——攻击者向数据库发送 SQL 查询,这使数据库等待(以秒为单位的一段时间)才能做出反应。攻击者可以从数据库响应的时间中看出查询是真还是假。根据结果​​,将立即或在等待一段时间后生成 HTTP 响应。因此,攻击者可以确定他们使用的消息是返回 true 还是 false,而无需依赖数据库中的数据。

带外 SQLi

只有在 Web 应用程序使用的数据库服务器上启用了某些功能时,攻击者才能执行这种形式的攻击。这种形式的攻击主要用作带内和推理 SQLi 技术的替代方法。

当攻击者无法使用同一通道发起攻击并收集信息时,或者当服务器太慢或不稳定而无法执行这些操作时,会执行带外 SQLi。这些技术依赖于服务器创建 DNS 或 HTTP 请求以将数据传输给攻击者的能力。

SQL注入示例

希望执行 SQL 注入的攻击者操纵标准 SQL 查询来利用数据库中未经验证的输入漏洞。可以通过多种方式执行此攻击向量,此处将展示其中几种方式,以便您大致了解 SQLI 的工作原理。

例如,上述用于提取特定产品信息的输入可以更改为 http://www.estore.com/items/items.asp?itemid=999 或 1=1。

结果,相应的 SQL 查询如下所示:

选择项目名称,项目描述

来自项目

WHERE ItemNumber = 999 OR 1=1

并且由于语句 1 = 1 始终为真,因此查询将返回数据库中的所有产品名称和描述,甚至那些您可能没有资格访问的产品名称和描述。

攻击者还能够利用错误过滤的字符来更改 SQL 命令,包括使用分号分隔两个字段。

比如这个输入 http://www.estore.com/items/iteams.asp?itemid=999; DROP TABLE 用户 将生成以下 SQL 查询:

选择项目名称,项目描述

来自项目

WHERE ItemNumber = 999; 删除表用户

因此,可能会删除整个用户数据库。

另一种操作 SQL 查询的方法是使用 UNION SELECT 语句。这结合了两个不相关的 SELECT 查询以从不同的数据库表中检索数据。

例如,输入 http://www.estore.com/items/items.asp?itemid=999 UNION SELECT user-name, password FROM USERS 生成以下 SQL 查询:

选择项目名称,项目描述

来自项目

WHERE ItemID = ‘999’ UNION SELECT Username, Password FROM Users;

使用 UNION SELECT 语句,此查询将对项目 999 的名称和描述的请求与另一个为数据库中的每个用户提取名称和密码的请求组合在一起。

TAGS:
12月 10th, 2021
0
comments

什么是MITM攻击

CATEGORIES: Hostease资讯

MITM攻击是当犯罪者将自己置于用户和应用程序之间的对话中时的通用术语 – 窃听或冒充其中一方,使其看起来好像是正常的信息交换进展中。

攻击的目标是窃取个人信息,例如登录凭据、帐户详细信息和信用卡号。目标通常是金融应用程序、SaaS 业务、电子商务网站和其他需要登录的网站的用户。

在攻击期间获得的信息可用于多种目的,包括身份盗用、未经批准的资金转移或非法更改密码。

此外,它还可以用于在高级持续威胁 (APT) 攻击的渗透阶段在安全边界内获得立足点 。

从广义上讲,MITM 攻击相当于邮递员打开您的银行对帐单,写下您的帐户详细信息,然后重新密封信封并将其送到您家门口。

MITM攻击进展

成功的 MITM 执行有两个不同的阶段:拦截和解密。

拦截

第一步是在用户流量到达预定目的地之前拦截通过攻击者网络的用户流量。推荐阅读:《虚拟主机如何防止黑客攻击》

最常见(也是最简单)的方法是被动攻击,攻击者向公众提供免费的恶意 WiFi 热点。通常以与其位置相对应的方式命名,它们不受密码保护。一旦受害者连接到这样的热点,攻击者就可以完全了解任何在线数据交换。

希望采取更积极的拦截方法的攻击者可能会发起以下攻击之一:

IP 欺骗 涉及攻击者通过更改 IP 地址中的数据包标头将自己伪装成应用程序。结果,尝试访问连接到应用程序的 URL 的用户会被发送到攻击者的网站。

ARP 欺骗 是使用虚假 ARP 消息将攻击者的 MAC 地址与局域网上合法用户的 IP 地址链接的过程。结果,用户发送到主机 IP 地址的数据反而被传输给攻击者。

DNS 欺骗,也称为 DNS 缓存中毒,涉及渗透 DNS 服务器并更改网站的地址记录。结果,试图访问该站点的用户会被更改后的 DNS 记录发送到攻击者的站点。

解密

拦截后,任何双向 SSL 流量都需要在不警告用户或应用程序的情况下解密。有多种方法可以实现这一点:

一旦向安全站点发出初始连接请求, HTTPS 欺骗就会向受害者的浏览器发送虚假证书。它拥有与受感染应用程序相关的数字指纹,浏览器会根据现有的受信任站点列表对其进行验证。然后,攻击者可以访问受害者输入的任何数据,然后再将其传递给应用程序。

SSL BEAST (针对 SSL/TLS 的浏览器漏洞利用)针对 SSL 中的 TLS 1.0 版漏洞。在这里,受害者的计算机感染了恶意 JavaScript,该 JavaScript 拦截了 Web 应用程序发送的加密 cookie。然后应用程序的密码块链接 (CBC) 被破坏以解密其 cookie 和身份验证令牌。

当攻击者在 TCP 握手期间将伪造的身份验证密钥传递给用户和应用程序时,就会发生SSL 劫持。这建立了看似安全的连接,而实际上,中间人控制了整个会话。

SSL 剥离 通过拦截从应用程序发送给用户的 TLS 身份验证将 HTTPS 连接降级为 HTTP。攻击者向用户发送应用程序站点的未加密版本,同时保持与应用程序的安全会话。同时,攻击者可以看到用户的整个会话。推荐阅读:《病毒攻击给虚拟主机带来的危害有哪些》

中间人攻击预防

阻止 MITM 攻击需要用户的几个实际步骤,以及应用程序的加密和验证方法的组合。

对于用户来说,这意味着:

避免没有密码保护的 WiFi 连接。

注意报告网站不安全的浏览器通知。

不使用时立即注销安全应用程序。

在进行敏感交易时不使用公共网络(例如,咖啡店、酒店)。

对于网站运营商而言,安全通信协议(包括 TLS 和 HTTPS)通过对传输数据进行稳健的加密和身份验证来帮助减轻欺骗攻击。这样做可以防止拦截站点流量并阻止敏感数据(例如身份验证令牌)的解密。

应用程序使用 SSL/TLS 来保护其站点的每个页面,而不仅仅是需要用户登录的页面被认为是最佳实践。这样做有助于减少攻击者从浏览不安全的用户那里窃取会话 cookie 的机会登录时的网站部分。推荐相关阅读:《网站如何防止DDoS攻击》

TAGS:
12月 8th, 2021
0
comments

SSL和TLS是如何工作的

CATEGORIES: Hostease资讯

SSL代表安全套接字层,它指的是一种用于加密和保护 Internet 上发生的通信的协议。尽管前段时间SSL 已被称为TLS(传输层安全性)的更新协议所取代,但“SSL”仍然是该技术的常用术语。

SSL/TLS 的主要用例是保护客户端和服务器之间的通信,但它也可以保护电子邮件、VoIP 和不安全网络上的其他通信。推荐阅读:《 什么是 SSL和TLS 》

SSL/TLS 是如何工作的?

这些是理解 SSL/TLS 工作原理的基本原则:

安全通信始于TLS 握手,其中两个通信方打开安全连接并交换公钥。

TLS握手期间,双方生成会话密钥,会话密钥对TLS握手后的所有通信进行加解密

不同的会话密钥用于加密每个新会话中的通信

TLS 确保服务器端的一方或用户与之交互的网站实际上是他们声称的人

TLS 还确保数据未被更改,因为传输中包含消息验证码 (MAC)

使用 TLS,用户发送到网站的HTTP数据(通过点击、填写表格等)和网站发送给用户的 HTTP 数据都被加密。加密数据必须由接收者使用密钥解密。

TLS 握手

TLS 通信会话以 TLS 握手开始。TLS 握手使用称为非对称加密的东西,这意味着在对话的两端使用两个不同的密钥。这是可能的,因为有一种称为公钥加密的技术。

在公钥密码学中,使用了两个密钥:一个是服务器公开可用的公钥,一个是保密且仅在服务器端使用的私钥。用公钥加密的数据只能用私钥解密,反之亦然。

在 TLS 握手期间,客户端和服务器使用公钥和私钥交换随机生成的数据,这些随机数据用于创建新的加密密钥,称为会话密钥。

与非对称加密不同,在对称加密中,对话中的两方使用相同的密钥。TLS 握手后,双方使用相同的会话密钥进行加密。一旦使用会话密钥,就不再使用公钥和私钥。会话密钥是临时密钥,一旦会话终止就不再使用。将为下一个会话创建一组新的随机会话密钥。

非对称加密对称加密

验证源服务器

来自服务器的 TLS 通信包括消息身份验证代码或 MAC,这是一种数字签名,用于确认通信源自实际网站。这对服务器进行身份验证,防止路径上攻击和域欺骗。它还确保数据在传输过程中没有被更改。

什么是 SSL 证书?

SSL 证书是安装在网站源服务器上的文件。它只是一个包含公钥和网站所有者身份以及其他信息的数据文件。如果没有 SSL 证书,则无法使用 TLS 加密网站的流量。推荐阅读:《 SSL 证书的类型:您应该选择哪一种? 》

从技术上讲,任何网站所有者都可以创建自己的 SSL 证书,此类证书称为自签名证书。但是,浏览器并不认为自签名证书与证书颁发机构颁发的 SSL 证书一样值得信赖。

网站如何获得SSL证书?

网站所有者需要从证书颁发机构获取 SSL 证书,然后将其安装在他们的 Web 服务器上(通常 Web 主机可以处理此过程)。证书颁发机构是外部方,可以确认网站所有者就是他们所说的那样。他们保留一份他们颁发的证书的副本。

HTTP 和 HTTPS 有什么区别?

“HTTPS”中的 S 代表“安全”。HTTPS 只是带有 SSL/TLS 的 HTTP。具有 HTTPS 地址的网站具有由证书颁发机构颁发的合法 SSL 证书,进出该网站的流量使用 SSL/TLS 协议进行身份验证和加密。

为了鼓励整个 Internet 转向更安全的 HTTPS,许多 Web 浏览器已开始将 HTTP 网站标记为“不安全”或“不安全”。因此,HTTPS 不仅对于确保用户安全和用户数据安全至关重要,而且对于与用户建立信任也变得必不可少。推荐相关阅读:《如何给WordPress站点安装并启用SSL证书》

TAGS:
12月 6th, 2021
0
comments

可能错过的6个替代网络服务器

CATEGORIES: 服务器

选择网络服务器的意义远远超过选择可以生成HTML的东西。网络服务器可以做各种有趣的事情。最终,它们都为请求网站的人提供一个网站。但是,在这个过程中,有很多事情可以发生。想一想需要从网络服务器上得到什么,这可能会使网站编程和维护更容易,然后找出网络服务器可以提供帮助的位置和方式。有可能会发现一些符合特定要求的替代网络服务器。而且它们都是免费的,所以看一看、试一试、测一测也无妨。这些替代网络服务器的大多数应用在容器环境或虚拟机中运行得很好。

但在继续学习其他网络服务器之前,建议首先考虑服务器环境。为了安装不同的软件包,必须至少是私人主机级别。这种服务器环境提供了对文件系统的完全控制,并允许安装任何需要的东西。推荐阅读:《Linux 独立服务器或 Windows 独立服务器:选择哪个?》

  替代网络服务器

这份替代网络服务器的清单当然不是详尽无遗的,但本文试图汇编一个合理的流行选项集合,以满足各种需求。在这里,会发现从最简约的(有人为简单的网站寻找非常轻量级的服务器)开始,然后进行到更高级的(有人需要Java运行环境)应用程序的清单。

可能会想,”在这个名单上没有看到NGINX?” NGINX现在非常流行,几乎不认为它是”替代品”,但由于它值得认可,可以考虑提到它。

  Lighttpd

Lighttpd,正如它的名字所暗示的,是一个轻量级的网络服务器,专注于在小的配置文件中包含大量的速度,并且不会对系统造成太多负担。一个小的内存占用是这个想法,这也是成为轻量级网络服务器的目标的一部分。

然而,有了Lighttpd,并没有牺牲运行应用程序时需要的任何现代功能,比如:Auth, FastCGI, SCGI, URL-Rewriting等。Lighttpd做到了所有这些,并把符合标准和易于使用作为首要任务。

最近的一次更新包括以下内容:

默认启用HTTP/2,

mod_deflate zstd support,

mod_ajp13 (new), and

bugfixes

当然,Lighttpd是开源的,在修订的BSD许可证下提供,可用于UNIX/Linux和Windows操作系统。而且在Ubuntu中与PHP一起安装Lighttpd也很容易。

  Caddy Server

想要自动提供HTTPS服务,不需要额外配置,也没有额外依赖性的轻量级网络服务器?Caddy网络服务器可能符合要求。

是的,您没有看错。Caddy提供自动的HTTPS,并且没有任何依赖性,这意味着可以在短时间内将其安装在容器或测试服务器上,并有完整的网络服务器可供指挥。

相对于其他流行的用C语言编写的服务器,Caddy用Go编写。他们声称,这提供了更多的内存安全。为什么不自己试一试?可以在自己的云计算VPS上用one-liner来安装它。

Caddy提供对静态文件服务以及反向代理的支持。因此,如果有一个用Markdown写的静态网站,实际上可以用Caddy来做Markdown的渲染。Caddy提供可以处理内容的即时转换的模板系统。所以不需要在上传到服务器之前把Markdown转换为HTML。

  Apache Tomcat

很多年前,一个朋友说,他在个人服务器上的传统Apache安装基础上安装了Apache Tomcat。为什么?他说这样更快。许多高级的服务器管理员会有不同的理由来使用不同的网络服务器。而且,取决于他们正在运行什么样的其他应用,或者进行什么样的项目,一个服务器可能比另一个快。

运行Apache Tomcat的一个特殊用例是,是否想在服务器中原生运行Java程序。因此,如果知道如何编写Java代码,就可以马上开始编写网络应用。如果这是现状,那么Tomcat可能就是要找的网络服务器。也可能对WildFly网络服务器感兴趣。推荐阅读:《关于Apache服务器下的虚拟主机设置》

  Cherokee

可能不知道有一个拥有可以用来配置的图形用户界面的网络服务器。如果对此感兴趣(为什么不?),Cherokee网络服务器可能值得再三查看。Cherokee服务器提供了一个名为Cherokee-Admin的网络界面,可以在那里进行所有的配置。对于那些想避免命令行配置的人来说非常方便。还可以给自己买一件漂亮的Cherokee衬衫。

  Yaws

Yaws网络服务器,代表”另一个网络服务器”,是精通Erlang编程语言的人的理想选择,因为Yaws就是用这种语言编写的。但即使不是特别精通这种语言,Yaws仍然是一个能够提供高水平的服务的强大的多线程服务器应用。但就像这里列出的其他替代网络服务器一样,它需要更高层次的系统知识,可能不适合初学者使用。但请关注它。

  WildFly

和Tomcat一样,WildFly为Java程序员提供了一些特殊的待遇。WildFly为Java程序提供了完整的应用运行环境。(这基本上意味着它非常适合于为运行Java应用提供硬件和软件配置)。WildFly由RedHat赞助,用来构建一些企业应用。(可能对Jetty也感兴趣)。)

  试用新的服务器

从长远来看,没有理由坚持使用一个网络服务器。可以尝试这里列出的其中一个,或者保持一个运行列表,以便在想实验的时候使用。

为了轻松尝试不同的网络服务器,hostease主机有可用的私有云选项,所以可以根据需要快速启动和拆除尽可能多服务器集群。推荐相关阅读:《 衡量服务器网络性能的四大指标 》

TAGS:
Older Entries