网页设计教程与开发
提供各种常见网页效果
提供各种各样的设计教程
装扮QQ，让QQ变得更酷
设计参考，提高自升水平
学习服务器和操作系统
提供各种素材和工具
收藏学习资料
您现在的位置：&&>>&&>>&&>>&&>>&正文
新型漏洞：利用浏览器Cookie绕过HTTPS并窃取私人信息
近期，一个存在于主要浏览器的Web cookie中的严重漏洞被发现，它使安全的浏览方式（HTTPS）容易遭受中间人攻击。此外，大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。
美国计算机紧急响应小组（CERT）披露（9月27日补充：中国研究者xiaofeng zheng发现了这个安全问题，美国专业安全媒体thehacknews不知何因在报道中忽略了该研究人员的名字，FreeBuf已做补充），所有的主要浏览器厂商不恰当地实现了RFC 6265标准，也称为&浏览器Cookie&，这使得远程攻击者能够绕过安全的HTTPS协议，并能够泄露秘密的私人会话数据。
HTTPS Cookie注入漏洞
Cookie是Web网站发送到Web浏览器上的一小片数据，它包含用户识别用户身份的各种信息，或储存了与该网站相关的任何特定信息。当一个你访问过了的网站想要在你的浏览器中设置一个Cookie时，它会传递一个名为&Set-Cookie&的头、参数名称、它的值和一些选项，包括Cookie的过期时间和域名（它有效的原因）。
此外，同样重要的是要注意一点，基于HTTP的网站不以任何方式加密头信息，为了解决这个问题，网站使用带有&安全标志（secure flag）&的HTTPS Cookie，这表明Cookie必须通过一个安全的HTTPS连接发送（从浏览器到服务器）Cookie。然而，研究人员发现，一些主要的Web浏览器通过HTTPS接受Cookie，甚至没有验证HTTPS Cookie的来源（Cookie forcing），这使得在明文传输的HTTP浏览会话中，处于中间人攻击位置的攻击者将注入Cookie中，而这些Cookie将用于安全的HTTPS加密会话。
对于一个不受保护的浏览器，攻击者可以将HTTPS Cookie伪装成另一个网站（），并以这种方式覆盖真正的HTTPS Cookie，这样即使用户查看他们的Cookie名单，可能也不会意识到这是一个虚假的网站。现在，这个恶意的HTTPS Cookie由攻击者控制，因此他能够拦截和抓取私人会话信息。
在8月份华盛顿举办的第24届USENIX安全研讨会上，该问题首次被披露。当时，研究人员xiaofeng zheng展示了他们的论文，文中提到大部分Web网站和流行的开源应用程序中可能都含有Cookie注入漏洞，包括：谷歌、亚马逊、eBay、苹果、美国银行、BitBucket、中国建设银行、中国银联、京东、phpMyAdmin以及MediaWiki。此外，受影响的主流Web浏览器包括以下浏览器的早期版本：
1、苹果的Safari
2、Mozilla的Firefox
3、谷歌的Chrome
4、微软的IE浏览器
5、微软的Edge
然而，好消息是，这些供应商现在已经解决了这个问题。所以，如果你想保护自己免受这种Cookie注入、中间人攻击向量，那么就将这些浏览器升级到最新版本。
CERT和研究人员xiaofeng zheng还建议站长在他们的顶级域名商部署HSTS（HTTP Strict transport Security）。
转载请注明:破洛洛(谢谢合作)
上一篇文章： 下一篇文章：
网友评论：
[][][][][][][][][][]& 编程语言
&select name="site" class="left"&
&option value="网易" selected="selected"&新闻&/option&
&option value=""&网页&/option&
不过考虑到正在进行中的Oracle公司的诉讼，消息人士称Google觉得Swift比Java拥有更广阔的优势。正如TNW所指出，对于Google来说，采用Swift是一个挺重要的任务——毕竟需要打造一个面向Swift的运行时（runtime）、并将之整合到自家API和SDK中。
JavaScript基于和其他编程语言相同的“paradigm”（思维方式），但为何唯独它存在复杂性问题哪？这个答案是temporality（时间性）。JavaScript在软件开发历史中恰好处于非常独特的时期--在移动变革的浪潮中，大部分语言从后端编程迁移至前端。
“这实际上是一种细菌的编程语言，”麻省理工学院的生物工程教授Christopher Voigt说道。“您可以使用基于文本的语言，就像你在进行计算机编程。你得到程序文本后对它进行编译，之后它变成DNA序列被你放入细胞内，接着这个通路就在细胞内运行。
对于消费者和Linux用户来说这可能并不是什么新闻，在日苹果宣布这款创新的编程语言开源的同时，Swift 2.2已经研发长达数月时间。根据GitHub上的时间表，自今天也就是3月21日开始，Linux社区能够下载S...
也许有人由此推测未来十年没有什么实际变化，也不会有新的编程语言。但事实并非如此，真正的变化是前十的编程语言为了发展借鉴新的编程语言的特性不断自身迭代。例如Java8，C++11，Python3，PHP7等。
TIOBE 编程语言社区排行榜是编程语言流行趋势的一个指标，每月更新，这份排行榜排名基于互联网上有经验的程序员、 课程和第三方厂商的数量。排名使用著名的搜索引擎（诸如 Google、MSN、Yahoo!、Wikipedia、YouTube 以及 Baidu 等）进行计算。
Roche表示：“上周在阳光明媚的帕萨迪纳(Pasadena)，我非常荣幸的能够在UbuCon峰会上宣布新版Ubuntu Make版本。该工具达到了16.01.2里程碑，这个版本能够成功发布还要感谢社区提供了三个全新的支持框架。
至打造了一款能够模仿特朗普行为的编程语言—“TrumpScript”。我想大概可以用“川普脚本”来称呼吧，这语言基于Python开发，开发人员已经在Github上分享了该语言的库，该语言的logo还传神地配上了一抹特朗普标志性的金发。
Java的上涨齐头并进，Objective-C的跌幅（-5.88％）。苹果公司宣布Swift替换Objective-C的前一段时间是今年秋天的主要原因。据预计，Swift将获得尽可能多的普及将Objective-C甩在身后，但不会出现这种情况。
TIOBE 编程语言社区排行榜是编程语言流行趋势的一个指标，每月更新，这份排行榜排名基于互联网上有经验的程序员、 课程和第三方厂商的数量。排名使用著名的搜索引擎（诸如 Google、MSN、Yahoo!、Wikipedia、YouTube 以及 Baidu 等）进行计算。
在今年召开的WWDC 2015发布会上，苹果就曾宣布Swift会开源并会发布Linux版本。在新上线的Swift.org上苹果公布了关于该编程语言和开源项目的最新信息，此外还为软件编程者提供了丰富的文档和教学资源。
Java在TIOBE指数仍然持续上涨，现在已打败了20%。因为10月底成功召开的JavaOne大会，它的受欢迎程度有可能进一步上升。目前Java和C两大语言和其余的包之间的差距现在超过10%。本月前50排名上升幅度较大的是OpenE...
指数最高下跌10。脚本语言Ruby利用这一下降，进入前10名。Ruby的小复兴有点令人惊讶。这种语言在2006年到2008年之间是一种真实的炒作。
我（文章作者）从事软件开发的相关工作已经有15年了。目前的工作主要集中于Web和移动应用方面。在这么多年里，我对JavaScript的态度可能比较能代表一大群程序员的看法：从一开始对js的不屑一顾到最后惊奇它的表现和潜力。
需要说明的是，本排行榜所统计的数据，全部来源于和网站120多万注册用户的实际访问数据，具有非常高的真实性与实时性，有很大的参考价值。对比CodeForge 2015年...
Cringleg在制作《书呆子的胜利》时曾和乔布斯有过一段完整的访谈，乔布斯建议每个人都应该去学习或者了解一门编程语言，轻松的完成工作的同时更重要的是教会另一种思考方式。
Yarwood发现类似于Sibelius这样的GUI工具在实际谱曲的时候并不是那么方便。Alda摒弃了这样的缺陷，通过一些简单的语法就能在文本编辑器里编写MIDI乐谱，完全不需要花时间成本去学习新的软件界面。
在这种方式中，只有真正的异常值不见了，从而避免了恼人的尖峰。编程语言的位置几乎不受影响，但总的印象是，结果是更好的。例如，Scala现在是接近顶部20，再次进入前50，Clojure是闯入前50，Julia在前100。
的，这主要得益于函数式编程加入到这个版本。在2010年的时候，Oracle收购Java，Java出现下降，因为几个Java大神离开公司，导致大家认为Java走向衰落。
Liang的出发点是为了“让中国与世界同步发展”，以改变当前国内在编程现代化进程与现状。目前国际主流的仍然是基于英语的自然语言编程协议，而苹果iOS操作系统的市占率也非常之高。除了基于英语的自然语言编程套件，国内也有对中文使用者更加...
&select name="site" class="left"&
&option value="网易" selected="selected"&新闻&/option&
&option value=""&网页&/option&
热门搜索：当前位置： >
> 编程语言那么多，为什么Google独爱JS？(2)
　　由于网络带来的低成本信息交互以及更低的开发、部署成本，越来越多的产品基于浏览器做为界面。js在应用开发上当仁不让。业界出于需求，制定了几版相关的技术标准，比如HTML、CSS、JS便都有了自己的位置和开发标准规范，它们相互紧密协作，融为一体。Web应用开始侵蚀以往的桌面应用。
　　时间证明了JavaScript的价值，它并没有被淹没在历史的发展里。只要应用领域有足够的渴求，原本有很多不足的东西也会获得强大的推动力，把它改造的更好。
　　Brendan Eich在今年年5月份做了一个PPT，回顾了js语言的创造过程和这20年的发展、前景。(观看地址： )
　　那么我也借用他的话来结尾吧：
　　My advice：always bet on JS.
　　快播关闭P2P播放已经有几天的时间了，而昨天快播公司警察来访，据说还查封了快播的电脑和服务器。...
　　兔子在各大搜索网站搜了下有关BAE安装discuz论坛的方法，至今还没发现到有效成熟的解决方案，都是些 百度BA...
　　易通企业网站系统cmseasy如何去页面内的Powered by CmsEasy版权...
　　为了应对主图重复的问题，给大家分享一下解决方案。 大家都知道，地球上任何人都有自己独一无二的指纹，这...
　　吸纳开发者建议，CrossApp推出“一键部署”工具...
　　万众期待的baocms系统6.4 已经在圣诞震撼发布了，小伙伴又有福了，此次系统更新不仅增加了很多精美的城市模...
　　图片alt标签是网站优化中的一个细节，因视觉效果不明显，所以很容易被忽略掉，从而降低搜索引擎对整站的评...
　　对于做过SEO的人来说，深知网站首页的重要性，不管是新站还是老站，首页都是着影响排名的重要因素，通常我...
　　最近大家在使用百度、谷歌或淘宝的时候，是不是注意浏览器左上角已经全部出现了一把绿色锁，这把锁表明该网...
　　昨天在查看网站日志时，发现百度抓取了我乱操作时，百度抓取的一些错误页面，当然这些页面时百度对用户监控...10月10日在丹麦举行的Goto会议上，谷歌Dart语言项目的领导人Lars Bak宣布推出编程语言Dart。Lars Bak表示，Dart是一种“结构化的Web编程”语言，Dart编程语言在所有现代的浏览器和环境中提供高性能。结构化的Web编程语言Dart代码可以用两种不同方式执行：一是通过一个原生的虚拟机;另一种则是JavaScript引擎，使用编译器将Dart代码转换为JavaScript代码。也就是说，你可以使用Dart编写一个Web应用程序，并在任何现代浏览器上编译及运行它。虽然目前Dart VM尚未集成至Chrome中，但已在研究计划之中。498)this.width=498;& class=&fit-image& /&Google欲通过Dart取代JavaScript谷歌表示，新的语言将帮助开发人员创建一个结构化的和灵活的Web编程语言，使Dart语言成为程序员熟悉和自然的语言并且很容易学习，谷歌已经在开源软件库dartlang.org网站上提供其语言和开发工具，详细介绍这个平台如何适合一个人的小型团队到大型项目，通过本地虚拟机执行的代码或者在JavaScript引擎上执行代码。JavaScript引擎可以把Dart代码翻译为JavaScript。延伸：Google强推Dart语言替代JavaScript 意欲何为？Dart的设计目标：◆ 创建一个结构化又富灵活性的Web编程语言。◆ Dart对编程人员应该是熟悉而自然的，易于学习。◆ 在所有现有浏览器和各种环境(从小型的手持设备乃至服务器端实现)中确保实现高性能。Dart考虑了一系列的开发场景：从没有太多架构的个人项目至代码中需要加入正式类型以便说明程序员意图的大型项目。为了支持这些广泛的大型项目，Dart提供了许多可选的类型，在编码时你可以先不用考虑类型而在需要的时候添加它们。究竟，Google推出编程语言Dart，能否在这百家争鸣时代打造一片艳阳天呢?来看看大家对它的评价.Google工程师Bracha的博客：其先表达了对Javascript的不满，然后提出互联网需要继续进化，另外就是需要能够利用上多核心处理器的性能。他还说：Javascript依然是一个对平台部署来说有着严重限制的语言。Reddit上有人评论：我不理解为什么人们非要跟着Google帮他们用自己的技术去取代现有的技术。他们总是承诺“我们必须尝试新标准”，但他们自己的技术目前为止没有任何一样成为标准：Google不喜欢MPEG，于是推出了VP8。但打一开始他们就没在将其打造成一个真正的开放标准上做任何努力。Google不喜欢HTTP，于是推出了SPDY。但现在只有Chrome和Google的网页应用支持，目前也没有任何迹象能成进入标准组织。你可以想象微软的IE自己鼓捣了一套HTTP标准然后只和微软自己的IIS服务通讯吗?Google不喜欢所有非IE浏览器的NPAPI插件模型，于是推出了完全不兼容的插件API和原生代码的Native ClientGoogle不喜欢JPG和PNG，于是推出了WebP图形格式而现在Google又开始不喜欢Javascript了，于是推出了Dart估计接下来Google还会不喜欢CSS甚至是HTML。ITeye社区专家：Web技术日新月异，HTML5/CSS3是一个全新的春天，但JavaScript则已近20年，没有很大的变化。如果Dart真是神器，有着JavaScript难以匹配的应用场景，那么Web完全可能再次加速，推枯拉朽，一个新的时代可能加速到来。只是，Dart到底是什么?Google也搞得太神秘了，从目前的网络信息来看，什么有价值的信息也没有透露出来。我倒是很期望Dart能够如同Smalltalk一样，能够在网页开发中提供一个完全交互的、增量式的开发模型，我想对开发效率的提升将无与伦比。反之，纯粹从语言的角度来看，实在想不出能够有什么革命性的突破。CSDN技术专家：在近几年出现的JavaScript引擎， 如TraceMonkey，谷歌V8，还有微软在IE 9中使用的Chakra引擎，其图形渲染，底层API调用的能力已经到达了峰顶，浏览器再次效率的提升已经接近了性能优化的极限，在效率上可以提升的空间已经不多。如今可以说：JavaScript语言的性能已经足够快了，已经达到了极根了，如果想要再次提升效率，必须要用传统的的像Java,C#,C++这类静态语言，JavaScript这类动态语言的运行速度完全胜任不了未来Web的主流，看来Google是早早地就想到了，这与谷歌称霸Web是相悖逆的，所以大家趁早归附&新的Web编程语言Dart&，这才是明智之举。微博网友PPTV宋嵬：Google正式正式发布了Dart语言，貌似是JavaScript的替代品。看看下面的代码，是不是很熟悉：整个就是一个Java框架，C++小局部混搭的MINI版JAVA。很看好这个语言。几乎没有任何障碍，一般的java程序员花1个小时看看语法，就几乎能够无障碍的上手开发了。498)this.width=498;& class=&fit-image& /&微博网友Eleven_vv评论：想当初Google发布Go语言时，也认为Go可应用到服务器软件外的其他领域，包括在浏览器内执行软件，取代目前JavaScript的角色。而从其力推HTML5、一再发布Go、Dart来看，Google志在成为Web革新者的目的不言而喻。CSDN博主：简单的看了一下官网的说明，给我初步体验的感觉是Dart是Java和javascript结合体的样子，然后又围观了一下他的core library，给自己带来了不少的惊喜，很好的封装了Queue Collection等强大的集合以及数据结构，而且有match这样的匹配表达式的类，总之，就是一个开发Web程序的利器。结束语：Google Dart旨在取代JavaScript，JavaScript确实有着不能修复的技术问题，因此需要一个真正完善的语言来取代它。但是Google的单边主义、非协商方式表明了Dart必然要受到一些怀疑，在说服应用开发人员拥抱Dart上的挑战是不可避免的。Dart如果真的像是解释性Smalltalk语言的话，它几乎将直接与JavaScript和Python竞争。如果将“Go”语言作为衡量标准，Dart其实更像是一个新奇小玩意，而不是什么开拓性的工具。它可能只是为了解决“以谷歌为中心”的问题，而不是旨在成为一种流行的编程语言。目前，人们还不清楚它的定位，还是让我们拭目以待吧。web前端快速开发(gh_15d32a71b93c)　
　文章为作者独立观点，不代表微头条立场
的最新文章
什么是bowerBower是一个客户端技术的软件包管理器，它可用于搜索、安装和卸载如JavaScript、H每一个行业都有自己的"潜规则", "黑话", "共识", 软件行业也不例外, 来测一测你对软件行业了解多少?前言前两天看到 Polymer 1.0 发布了，出于好奇，来试试水，体验下，感受下 WebComponent在HTML中，在文件上传的过程中，很多情况都是没有任何的提示，这在体验上很不好，用户都不知道到时有没有在上传背景前端任务打包工具选用的是 gulp, 当时选用 gulp 也是偶然，在使用 grunt 初期，翻阅 daExpressJS入门指南（二）作者：chszs，转载需注明。博客主页：http://blog.csdn.n响应式布局响应式布局Phones and HandheldsiPhonesGalaxy PhonesHTC 真的就3件事？如果构造函数有返回值呢？new至少做了4件事new的不足再说一点关于constructor的参
大约是三月初吧，在网上看到一道面试题，怎么判断一个变量类型是不是数组。然后从犀牛书以及查阅一些资简介Web 应用程序越来越关注于前端，使用客户端脚本与 Ajax 进行交互。由于 JavaScript 应用　　GIF/PNG/JPG/WEBP/APNG都是属于位图（位图 ,务必区别于矢量图）；　　GIF/PNG和bowerBower 是 twitter 推出的一款包管理工具，基于nodejs的模块化思想，把功能分散到各Flux is the application architecture that Facebook use和properties一样,state(状态)影响着一个组件的行为和渲染. 但与properties不同的是Properties(属性)对于React就像Attribute对于HTML.事实上, 在JSX中, proComponents(以下称为&组件&)是React最小但是最重要的组成部分.在概念上类似于&模块&,&插件事实上 React 用称之为Component 的来代替了View层. Component包括了两种对象: props (存储当创建对象实例时传递的不会变化的参数) 和 state (包括了Component当前状态React is “A JavaScript library for building user interfaces”. 前一篇：JS模块化工具requirejs教程(一)：初识requirejs 我们以非常简单的方式引入了re随着网站功能逐渐丰富，网页中的js也变得越来越复杂和臃肿，原有通过script标签来导入一个个的js文件这种JSZip 是一款可以创建、读取、修改 .zip 文件的 javaScript 工具。在 web 应用中，免起因深入解析Page Visibility APIPage Visibility API使用方法起因最近浏览起因深入解析Page Visibility APIPage Visibility API使用方法起因最近浏览WebRTC是争取开放和无阻碍Web的漫长战争中一条新战线题记：JavaScript中有很多令人困惑的地方，或者叫做机制。但是，就是这些东西让JavaScript显得由于同源策略的限制，Javascript跨域的问题，一直是一个比较棘手的问题，为了解决页面之间的跨域通信，大家煞费苦心，研究了各种跨域方案。今天要讨论的话题是TypeScript。之前在微博上转载过一篇《The Rise of TypeScript之前在博客上写了一篇装逼的博客《我是如何同时拿到阿里和腾讯offer的》，在文章上面本着学习和共享的精神分享了自己的简历，无意中暴露了不少个人隐私，结果这几天不少认识的和不认识的朋友都加我QQ或微信，请叫我怎么学习Web。对于前端开发人员，在开发过程中经常需要监控某些表达式或变量的值，如果使用用 debugger 会显得过于笨重最近两年前端圈子犹如春秋战国：群雄并起，中原未定，就连各路大神也纷纷感叹最近两年技术选型难做。10月10日在丹麦举行的Goto会议上，谷歌Dart语言项目的领导人Lars Bak宣布推出编程语言Dart。Lars Bak表示，Dart是一种“结构化的Web编程”语言，Dart编程语言在所有现代的浏览器和环境中提供高性能。\n\nCSS3 大大强化了制作动画的能力，但是如果要做出图案比较复杂的动画，选择 GIF 依然是一个不错的选择。真的就3件事？如果构造函数有返回值呢？new至少做了4件事new的不足再说一点关于constructor的参 一、聊天室简单介绍　　采用nodeJS设计，基于express框架，使用WebSocket编程之 sock响应式布局响应式布局Phones and HandheldsiPhonesGalaxy PhonesHTC node中文社区Node.js专业中文社区：https://cnodejs.org/ node文档node.ExpressJS入门指南（二）作者：chszs，转载需注明。博客主页：http://blog.csdn.n先来简单介绍nodeJS　　我们知道JavaScript是运行在浏览器中的，浏览器为它提供了一个上下文(coExpressJS入门指南作者：chszs，转载需注明。博客主页：http://blog.csdn.net/JS 中的最大安全整数是多少？为什么是这个值?如何处理大整数大整数与数据库如何处理要求精度的运算?延伸阅读J本文假设你之前没有用过任何任务脚本（task runner）和命令行工具，一步步教你上手Gulp。不要怕，它为了体现高大上，CoffeeScript重新给JavaScript的运算符起了别名，更加语义化。简介CSS（层叠样式表）是一门历史悠久的标记性语言，同 HTML 一道，被广泛应用于万维网（World Wi1、HTML/HTML5基础：2、高健壮性CSS3、深入学习JS4、性能5、http及TCP协议族6、安全性React - Facebook开源Javascript库
公众号调出关键词:&react1&Reagh_15d32a71b93c介绍各种前端技巧，帮助提高前端开发的速度，逐渐做到分分钟完成开发。热门文章最新文章gh_15d32a71b93c介绍各种前端技巧，帮助提高前端开发的速度，逐渐做到分分钟完成开发。