读普林斯顿盘算机公开课11万维网

[复制链接]
发表于 5 天前 | 显示全部楼层 |阅读模式

1. 万维网

1.1. 万维网的诞生于1989年

  • 1.1.1. 在日内瓦附近的欧洲物理研究中央(CERN)工作的英国盘算机科学家蒂姆·伯纳斯-李(Tim Berners-Lee),为便于通过互联网共享科学文献和研究效果而创建了一个体系
  • 1.1.2. 包罗URL、HTTP和HTML,以及一个只能用文本模式检察可用资源的客户端
1.2. 1990年以来,万维网从无到有,发展到如今成为我们生存中的关键一部分
1.3. 互联网最常见到的面貌就是万维网(World Wide Web),大概如今常简称为Web
1.4. 互联网是一种通讯底子办法或基板,它可以让全天下数百万台盘算机轻松地相互互换信息
1.5. 万维网毗连着提供信息和哀求信息的盘算机,提供信息的叫服务器,哀求信息的叫客户端
1.6. 万维网使用互联网创建毗连和承载信息,并为互联网支持的其他服务提供接口
1.7. URL

  • 1.7.1. Uniform Resource Locator,同一资源定位符
  • 1.7.2. 用于指定要访问信息源的名称
  • 1.7.3. URL自身编码了信息
  • 1.7.3.1. 第一部分“http”是协议名,大概接纳好几种协议
  • 1.7.3.2. https表现接纳颠末加密的HTTP协议的安全版本
1.8. HTTP(HyperText Transfer Protocol,超文本传输协议)

  • 1.8.1. HTTP客户端哀求某个特定的URL,而服务器返回客户端哀求的信息
1.9. HTML

  • 1.9.1. HyperText Markup Language,超文本标志语言​,形貌服务器返复书息的格式或体现情势
  • 1.9.2. HTML同样很简朴,你只需知道很少的知识就能使用它
  • 1.9.3. 服务器返回的通常是HTML文件,此中包罗了内容和格式信息
  • 1.9.4. HTML最初的筹划仅仅处置处罚纯文本从而体如今欣赏器中
1.10. 一种从客户端(你的欣赏器)向服务器转达信息的机制,叫作通用网关接口(Common Gateway Interface, CGI)
1.11. 欣赏器,即运行在你盘算机上的Chrome、Firefox、Safari大概Edge等步调,它使用URL和HTTP向服务器发送哀求,然后读取并体现服务器返回的HTML
1.12. 天下上第一个图形界面的欣赏器Mosaic是由伊利诺伊大学的一群门生开发的

  • 1.12.1. Mosaic的首个版本发布于1993年2月
1.13. 1994年第一个商业欣赏器Netscape Navigator面世

  • 1.13.1. Netscape Navigator是早期的乐成者,而当时微软对互联网的发达发展毫偶然识
1.14. Web技能的发展,由万维网同盟(World Wide Web Consortium,W3C,其网站为w3.org)这个非营利机构管理
2. cookie

2.1. HTTP协议是无状态的
2.2. 无状态的意思是,HTTP服务器不必记取差别客户端发送的哀求,只要向客户端返回了哀求的页面,它就可扬弃有关每次信息互换的全部记载
2.3. 1994年,Netscape公司发明白一种叫cookie的办理方案
2.4. 每个cookie都闻名字,一台服务器可以为一次访问存储多个cookie
2.5. cookie不是步调,也不包罗动态内容
2.6. 它是完全被动的,cookie只是一串存储在欣赏器中供以后返回服务器的字符,只有来自服务器的内容才气返回到该服务器
3. 动态网页

3.1. 万维网最初被筹划的时间并没有特别使用客户端是一台功能强大的盘算机、一个通用可编程装备这一毕竟
3.2. Netscape Navigator的早期版本提供了一种可以在欣赏器中运行Java步调的方法
3.3. 1995年,Netscape还推出了一种专用于其欣赏器的新语言JavaScript
3.4. 像NoScript和Ghostery如许的欣赏器插件可以控制JavaScript代码可实验的功能

  • 3.4.1. 有点讽刺的是,插件自己就是用JavaScript编写的
3.5. 恒久以来Flash不绝存在庞大的安全毛病,如今已不再使用
3.6. HTML5为欣赏器带来了新功能,可以淘汰对插件的依靠,尤其是在视频和图形方面
3.7. 网页信标

  • 3.7.1. 1×1的透明像素
4. 病毒、蠕虫和木马

4.1. 在互联网广泛使用之前,软盘是在PC之间互换步调和数据的标准介质
4.2. 许多年来,病毒一样寻常是通过被感染的软盘传播
4.3. 2010年底,一个叫“震网”​(Stuxnet,也称为“超等工厂”​)的复杂蠕虫出如今过程控制盘算机中,它的告急攻击目标是伊朗的铀浓缩装备
4.4. 特洛伊木马(在网络安全的语境中,通常简称木马)是伪装成有益或至少无害的,但现实上有害的步调
5. Web安全

5.1. 对客户端的攻击

  • 5.1.1. 对你的攻击不光包罗垃圾邮件、跟踪等惹人讨厌的攻击,更严峻的是还包罗走漏你的名誉卡和银行账号,大概暗码等私密信息,这使得别人可以假冒你
  • 5.1.2. 通过禁用第三方cookie​,以及使用欣赏器插件来克制跟踪步调、关闭JavaScript等,就可以淘汰跟踪攻击
  • 5.1.3. 垃圾邮件
  • 5.1.3.1. 垃圾邮件过滤是呆板学习(machine learning)的一个告急应用
  • 5.1.3.2. 垃圾邮件(Spam)是不请自来的邮件,其内容通常是发家致富筹划、股票信息、身材部位改善、性能改进以及大量其他不必要的商品和服务
  • 5.1.3.3. 垃圾邮件仿佛是军备角逐,由于当防御者学会怎样对付一种垃圾邮件时,攻击者就会找到新的方法
  • 5.1.4. 网络垂纶
  • 5.1.4.1. phishing
  • 5.1.4.2. 通过骗取收件人的信托,让他们自动奉上窃贼必要的信息
  • 5.1.4.3. 尼日利亚骗局
  • 5.1.5. 鱼叉式网络垂纶(spear phishing)
  • 5.1.5.1. 鱼叉式网络垂纶是一种社会工程:谎称有一个共同的朋侪如许的私家关系,或声称在同一家公司工作,来诱使受害者做一些愚笨的事变
  • 5.1.6. 特工软件
  • 5.1.6.1. spyware
  • 5.1.6.2. 指运行在你的盘算机上、把你的信息发往别处的步调
  • 5.1.7. 僵尸(zombie)步调
  • 5.1.7.1. 寻常埋伏着,一旦控制者从互联网发来指令,就会被唤醒并实验诸如发送垃圾邮件等恶意举动
  • 5.1.7.2. 由它们构成的具有共同控制的网络被称为僵尸网络(botnet)
  • 5.1.8. 打单软件
  • 5.1.8.1. ransomware
  • 5.1.9. 吓唬软件
  • 5.1.9.1. scareware
  • 5.1.10. 在手机上,最大的风险是下载会导出你个人信息的应用步调
  • 5.1.10.1. 一款应用步调可以获取手机上的全部信息,包罗接洽人、位置数据和通话记载,并可以很容易地使用这些信息来对付你
5.2. 对服务器的攻击

  • 5.2.1. SQL注入(SQL injection)就是一种常见的针对服务器的攻击
  • 5.2.2. 拒绝服务攻击(Denial of Service, DoS)
  • 5.2.2.1. 发起者把大量网络流量引导到一个网站,使用麋集的访问使其制止相应
  • 5.2.2.2. 拒绝服务攻击通常经心策划,使用僵尸网络来完成
  • 5.2.2.3. 在2020年2月,亚马逊的AWS云服务乐成地应对了它所说的有史以来最大的DDoS攻击,峰值流量速率为2.3Tbps
5.3. 对传输中信息的攻击

  • 5.3.1. HTTPS是HTTP的一个版本,它对TCP/IP通讯举行双向加密,这使得窃听者不大概读取内容或伪装成此中一方
  • 5.3.2. 中央人攻击
  • 5.3.2.1. 攻击者拦截传输中的消息,并按自身必要加以修改后发出去,该消息看起来是直接来自源头的
  • 5.3.3. 假造专用网络(Virtual Private Network, VPN)在两台盘算机间创建起加密的通道,以包管其间双向通讯的安全
  • 5.3.4. 全部通讯举行端到端的加密,也就是说,它是在发送端举行加密,在吸收端解密,使用的密钥仅存在于两个端点,不是在服务提供者的手中,以是原则上没有人可以偷听或举行中央人攻击
  • 5.3.4.1. Signal是开源软件
6. 自我防御

6.1. 审慎选择暗码,让别人不会猜出来,纵然用电脑反复实验也不至于立刻就被破解

  • 6.1.1. 由几个单词构成的短语,包罗巨细写字母、数字和特别字符,是安全性和易用性之间的一种适当折衷
  • 6.1.2. 频仍的更改大概会拔苗助长,尤其是在不方便的时间强加给你
  • 6.1.2.1. 显然会鼓励公式化的更改,好比增长末了一个数字的巨细
  • 6.1.3. LastPass如许的暗码管理器,可以为你的全部网站天生和存储安全的随机暗码,你只必要记取一个主暗码
  • 6.1.3.1. 如果你忘记了暗码,大概持有暗码的公司或软件被走漏或被胁迫,就会出现单点故障标题
6.2. 双因子身份验证

  • 6.2.1. 双因子不光必要用户知道某些信息(暗码)​,还必要拥有某些实物(装备)​
  • 6.2.2. 制造出被广泛使用的双因子认证装备SecurID的RSA公司在2011年3月遭遇入侵,安全信息失贼,从而使某些SecurID装备不再安全
6.3. 不要用开放的无线网络做告急的事

  • 6.3.1. 包管用HTTPS毗连无线网络,但别忘了HTTPS只加密内容
  • 6.3.2. 数据传输路径上的每个人都知道发送者和吸收者;这种元数据在确定职员身份时非常有用
6.4. 安装防毒软件并保持更新
6.5. 定期将你的信息备份到一个安全的地方

  • 6.5.1. 定期备份数据是一个明智的做法,如果一个硬盘坏了,大概恶意软件粉碎了磁盘,大概被加密打单,提前做了备份会让你开心得多
6.6. 审慎行事

  • 6.6.1. 关闭第三方cookie
  • 6.6.2. 使用像Adblock Plus、uBlock Origin和Privacy Badger如许的插件来拒绝广告和跟踪,以及它们大概植入的恶意软件
  • 6.6.3. 打开隐私欣赏或隐身模式,并在每次会话竣事时删除cookie,不外这只会影响你自己的电脑,你仍旧大概在网上被跟踪
  • 6.6.4. ​“克制跟踪”的设置没有多大用处,反而会让你更容易被辨认
  • 6.6.5. 关闭手机的定位服务,除非你必要舆图或导航
  • 6.6.6. 在邮件阅读器中禁用HTML和JavaScript
  • 6.6.7. 关掉不消的操纵体系服务
  • 6.6.8. 打开你盘算机中的防火墙
  • 6.6.8.1. 防火墙是一个步调,监视传入和传出的网络毗连,并制止那些违背访问规则的毗连
  • 6.6.9. 使用暗码锁定你的手机和条记本电脑
6.7. 给多疑者的发起

  • 6.7.1. 在欣赏器中使用NoScript来淘汰JavaScript的使用
  • 6.7.2. 关闭除显式列在白名单中的网站外的全部cookie
  • 6.7.3. 使用假的电子邮件地点暂时注册
  • 6.7.4. 当你不使用手机的时间,关闭它
  • 6.7.5. 使用Tor欣赏器举行匿名欣赏
  • 6.7.6. 使用Signal、WhatsApp或iMessage举行安全通讯

免责声明:如果侵犯了您的权益,请联系站长及时删除侵权内容,谢谢合作!qidao123.com:ToB企服之家,中国第一个企服评测及软件市场,开放入驻,技术点评得现金.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

登录后关闭弹窗

登录参与点评抽奖  加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表