续《关于网络冲浪的误解》
发表于 : 2021-01-22 8:37
现在我也理解为啥钓鱼网站如何能成为可能了。以前我认为克隆别人的网站好难的,估计跟造假钞差不多,要扒人家的图,要测量和分析别人网页的布局和字体,真是个细致的功夫活儿。现在才知道随便哪个浏览器都有对象网站发过来的最终详细html代码,图片、字体、字号、行距、列距、缩进和加粗等等,极尽详尽,克隆一两级页面有何难度可言?可能有人会说,那别人的后台数据库数据和动态网页的实现逻辑不知道,其实搞钓鱼网站的人就是为了行骗,如果他把数据和逻辑搞得和真网站一样那还咋行骗呢,他就是要偷换成自己的逻辑和数据啊。
我可以理解42年前为什么搞的是现在这个实现方式,因为当时的服务器算力不行,当时的网络带宽也不行,网络服务器没法为众多的用户生成网页,也没法畅通地将生成好的网页通过网络发给客户端。但现在不同了,我们的算力已经从只能挖挖雷,变成可以玩赛博朋克和虚拟现实了,民用带宽都从28k变成300M了,是万倍的提升,如果网页技术还是抱着42年前的模式不改,如此这般刻舟求剑会把我们这些非IT人士蠢哭的。
虽然现在https的协议在大力推,那也只是解决了网站仿冒问题,而别人点个菜,你就直接送详细、真实菜谱的做法没变。最近网上在搞程序员真人秀,有选手一看到竞赛的网页就马山按F12看网页代码,主办方立即叫停,把选手架开了,可笑不,呵呵。现在网站安全几乎唯一的屏障就是账户和密码,一旦这个屏障被奸人攻破,他们就会像进了自己家一样熟门熟路,因为公开的网站已经给了他们相当多的架构信息了。如果心怀叵测的人入职了某个公司,他作恶的难度完全没有我们想象的那么大。比如,我们都熟知不要用root用户登录,可网站代码已经清楚地写着你在用哪个用户名登录,你的心思全白费了。我在本博客中说伽利略扔铁球的一个帖子里用过一个大网站的配图,它在原网站是动图,我只是抓了一个截图用了。今天无意中翻到这个帖子时发现,这个图不见了。我只能认为是别人通过F12知道了这个截图附件的名字,和它被放了哪个文件夹,然后通过什么手段就给你远程删了,无痛维权,没毛病。
现在这个模式还有一个让我诟病的问题,那就是客户端必须有和服务器端设计时采用的一样的字体,否则就乱码!这大大地限制了网页设计师的灵感发挥,因为他们没法使用自创的字体,也没法利用字体中隐含的一些东西进行防伪(比如用一种保密的算法锐化后某些字母或笔画会出现隐含特征等)。
我建议今后的发展应该是这样的:
1、网站服务器生成图像页面,只留下文本、菜单、按钮和选择框等交互组件的接口,网站内部信息全部屏蔽。
2、现有的模式不变,只是在传给客户端的最后一刻,做一个封装,屏蔽或随机生成网页元素的名称,去掉他们在网站上的路径地址等信息。
我可以理解42年前为什么搞的是现在这个实现方式,因为当时的服务器算力不行,当时的网络带宽也不行,网络服务器没法为众多的用户生成网页,也没法畅通地将生成好的网页通过网络发给客户端。但现在不同了,我们的算力已经从只能挖挖雷,变成可以玩赛博朋克和虚拟现实了,民用带宽都从28k变成300M了,是万倍的提升,如果网页技术还是抱着42年前的模式不改,如此这般刻舟求剑会把我们这些非IT人士蠢哭的。
虽然现在https的协议在大力推,那也只是解决了网站仿冒问题,而别人点个菜,你就直接送详细、真实菜谱的做法没变。最近网上在搞程序员真人秀,有选手一看到竞赛的网页就马山按F12看网页代码,主办方立即叫停,把选手架开了,可笑不,呵呵。现在网站安全几乎唯一的屏障就是账户和密码,一旦这个屏障被奸人攻破,他们就会像进了自己家一样熟门熟路,因为公开的网站已经给了他们相当多的架构信息了。如果心怀叵测的人入职了某个公司,他作恶的难度完全没有我们想象的那么大。比如,我们都熟知不要用root用户登录,可网站代码已经清楚地写着你在用哪个用户名登录,你的心思全白费了。我在本博客中说伽利略扔铁球的一个帖子里用过一个大网站的配图,它在原网站是动图,我只是抓了一个截图用了。今天无意中翻到这个帖子时发现,这个图不见了。我只能认为是别人通过F12知道了这个截图附件的名字,和它被放了哪个文件夹,然后通过什么手段就给你远程删了,无痛维权,没毛病。
现在这个模式还有一个让我诟病的问题,那就是客户端必须有和服务器端设计时采用的一样的字体,否则就乱码!这大大地限制了网页设计师的灵感发挥,因为他们没法使用自创的字体,也没法利用字体中隐含的一些东西进行防伪(比如用一种保密的算法锐化后某些字母或笔画会出现隐含特征等)。
我建议今后的发展应该是这样的:
1、网站服务器生成图像页面,只留下文本、菜单、按钮和选择框等交互组件的接口,网站内部信息全部屏蔽。
2、现有的模式不变,只是在传给客户端的最后一刻,做一个封装,屏蔽或随机生成网页元素的名称,去掉他们在网站上的路径地址等信息。