slashdot什么是 CSRF攻击?

slashdot  时间:2021-01-09  阅读:()

网络中出现的“XX客”有何意思?

博客:原名weblog,后简化为blog,台湾译为部落格,也有直译为网志的。

公认是由Peter Merholz在1999年命名而成,blog简单说就是一个个人信息发布系统,文章按时间倒序排列,文章内容以超链接作为重要的表达方式,频繁更新。

它同日记不同的是,它是一个面向公众的个人媒体,它使得个人有了更多的机会面向大众,发表自己的观点和看法。

随着技术的不断发展,blog还延伸发展了移动博客(Moblog)、图片博客(Fotolog)、群体博客(Group blog)等多种形式。

维客:原名wiki,通常译为维基,来源于夏威夷语的“wee kee wee kee”,中文为“快点快点”的意思。

wiki的概念始于1995年,当时在PUCC(Purdue University Computing Center)工作的沃德·坎宁安(Ward Cunningham)建立了一个叫波特兰模式知识库(Portland Pattern Repository)的工具,其目的是方便社群的交流,他也因此提出了wiki这一概念。

Wiki 系统创造者的 Ward Cunningham,共同为 Wiki 下了定义:一群相互连接并可自由扩展的网页、一套用来储存与修改信息的超文本系统,所有的网页储存在一套数据库中,任何人透过具有表单功能的浏览器用户程序,皆可轻易加以编辑。

wiki最大的特色就是协同创作、版本控制以及独有的语法规则。

wiki通常用于知识管理系统、百科全书、使用手册等,目前最大的wiki系统是2001年开始运行的wikipedia百科全书系统,可惜在国内被封,无法访问。

奇客:原名“Geek”,也有叫极客的。

Geek也称原指那些性格古怪的人,或是在狂欢节进行奇怪表演的小丑。

在PC革命初期,“奇客”开始衍伸为一般人对电脑黑客的贬称,他们具有极高的技术能力、对计算机与网络的痴迷有时会达到不正常状态,将自己生活的大部份精力和时间都消耗在电脑和网络上。

给大众普遍的印象是:架着厚厚圈圈眼境、头发凌乱或发型古怪、衣着老土古怪,性格偏执离群等。

中文最接近的说法就是“发烧友”,但是比发烧友更富内涵……最近Geek的概念更加大众化,Geek通常指一些在业余时间沉迷在电脑网络上与人交往的人。

不过我更认同Geek是电脑网络的狂热爱好者,但并不一定是电脑高手。

其他比较认可的解释:ComputerGeek from The Jargon-The NewHacker’s Dictionary、ComputerGeek from FOLDOC、What is a geek? by omini。

典型网站:(英文)、(中文) 播客:原名Podcast或Podcasting,这个词是苹果电脑的”iPod”与”广播”(broadcast)构成的合成词,简单的说就是个人的网络广播。

Podcast是数字广播技术的一种,初期借助一个叫iPodder的软件与一些便携播放器相结合而实现。

播客录制的是网络广播或类似的网络声讯节目,网友可将网上的广播节目下载到自己的iPod、MP3播放器中随身收听,不必端坐电脑前,也不必实时收听,享受随时随地的自由。

更有意义的是,你还可以自己制作音频节目,并将其上传到网上与他人分享。

播客颠覆了被动收听广播的方式,使听众成为主动参与者。

播客于2004年下半年开始流行,如今发展迅速,而且也扩展到视频节目的录制。

P 不等于 NP……么?

他的证明目前只有初稿,本来只在私下里流传。

但是有人把它捅到了 Slashdot 那里,于是媒体闻风而动。

一夜之间,似乎人人都开始讨论这则新闻了。

大家这么激动的原因是这个问题实在太过于重要。

它既是数学上的顶尖难题(著名的七个百万美元悬赏的千年数学难题之首),也是计算机科学的基础性问题。

并且和许多别的著名数学难题(例如黎曼猜想或者庞加莱猜想)不同,它对于整个信息产业(从而也对于当今世界的方方面面)具有重要的现实意义。

简单的说,在这里 P 指的是「能够很快被解出的问题的集合」(这里「很快」的严格定义是所谓多项式时间内),NP 指的是「能够很快判定一个解是否正确的问题的集合」。

P/NP 问题一般表述为 P 是否等于 NP,即「是不是一个问题只要能够很快判定一个解是否正确,它就能很快被解出」。

关于这个问题的更详尽的解释,可以参看这篇文章。

人们目前并没有充分证据证明 P = NP 或者 P ≠ NP 两者中任何一个结论,但是大多数人相信 P ≠ NP。

如果 P = NP,整个计算机科学和信息技术都会迎来极为重大的变革。

关于 P = NP 的现实后果,可以参阅这篇笔调略显夸张的文章。

2002 年对该领域专家的一次调查显示,相信 P = NP 以及 P ≠ NP 的专家的比例是 9:61。

以上即为这则新闻的背景。

毫无疑问,人们离断言该问题已被解决还有极为遥远的距离。

众所周知,任何一个著名且重要的难题都会吸引无数人的关注,各种所谓的证明汗牛充栋,其中 99% 都来自没有受过专业训练的外行,没有任何实际意义。

当然这则新闻的主人公并不在此列,他是该领域内一位声名卓著的专家,曾经在这一方向作出过很多重要研究。

但是即便如此,他的证明仍然需要经过严格的审查,很可能它很快就被挑出一个细微然而重要的错误,然后迅速被人遗忘。

这样的故事发生过很多次,以至于专业人士大多对此新闻持以审慎的态度。

佐治亚理工大学的计算机科学家,美国工程院院士 Richard Lipton 在他自己的 blog 里讨论了这篇论文。

简而言之,他认为这是个严肃的,值得认真研究的证明,但是对其中一些证明思路颇为疑虑。

在接下来的一段时间里,他和很多该领域的专家一样会开始严格审阅这篇论文的细节。

即使小概率事件真的发生了,这篇论文最后被证明是正确的,我们的生活会有立竿见影的变化么?答案是不会。

一方面,他证明的是 P ≠ NP 而非 P = NP,这是个相对而言并不太令人惊讶的,冲击力也不算太强的结论(虽然也很困难)。

另一方面,一个理论成果的影响传递到现实世界会经历漫长的过程。

什么是 CSRF攻击?

,即在某个恶意站点的页面上,促使访问者请求你的网站的某个 URL(通常会用 POST 数据方式),从而达到改变服务器端数据的目的。

这一类攻击依赖于你的网页中的表单,脆弱的表单很容易受到攻击。

对于你网站中的访问者而言,可能会受到以下攻击: * 在你的网站之外记录受攻击者的日志(比如:Slashdot); * 修改受攻击者在你的网站的设置(比如:Google); * 修改你的硬件防火墙; * 使用受攻击者的登录信息在你的网站中发表评论或留言; * 将资金转移到另一个用户帐号中。

CSRF 攻击的典型是那些使用 cookie 记录登录信息的网站,但对于一些允许某个 IP 地址访问的页面(如内部网),这一类攻击也会奏效。

CSRF 攻击通常会使用到 JavaScript(但不仅限于 JavaScript)实现跨站点自动提交表单--表单数据可以隐藏,提交按钮可以伪装成链接或滚动条。

* 确定那些接受可改变服务器数据的 CGI 只接受 POST 参数,不接受 GET 参数,一些服务器端语言默认同时接受两种方式提交过来的参数; * 确定表单提交处理的是你自己的表单,可以使用一个隐藏字段中存放MD5字符串,此字符串是将登录 cookie 数据与服务器端存放的密钥进行 MD5 之后的结果,只有这个 MD5 字符串正确时才接受表单数据; * 另外还可以增加一个更为严格的方法:在表单中增加一个时间戳的隐藏字段,并将其包含到 hash 字符串中,如果时间戳超过某个时间,则认为表单已过期。

当表单过期时,给出一个方法可以让用户重新提交表单,比如将用户之前填写的数据依旧放入表单中,但使用一个新的 hash 字符串。

一个PHP的表单例子,表单代码:
); if (time() - $_POST[time] $expire) { //表单已经过期,生成新的时间戳和 hash 字符串,显示表单让用户重新提交。

(此处省略)//….}//表单验证通过,可以接受表单提交的数据,并进行其它操作。

//….?

企鹅小屋:垃圾服务商有跑路风险,站长注意转移备份数据!

企鹅小屋:垃圾服务商有跑路风险!企鹅不允许你二次工单的,二次提交工单直接关服务器,再严重就封号,意思是你提交工单要小心,别因为提交工单被干了账号!前段时间,就有站长说企鹅小屋要跑路了,站长不太相信,本站平台已经为企鹅小屋推荐了几千元的业绩,CPS返利达182.67CNY。然后,站长通过企鹅小屋后台申请提现,提现申请至今已经有20几天,企鹅小屋也没有转账。然后,搞笑的一幕出现了:平台账号登录不上提示...

legionbox:美国、德国和瑞士独立服务器,E5/16GB/1Gbps月流量10TB起/$69/月起

legionbox怎么样?legionbox是一家来自于澳大利亚的主机销售商,成立时间在2014年,属于比较老牌商家。主要提供VPS和独立服务器产品,数据中心包括美国洛杉矶、瑞士、德国和俄罗斯。其中VPS采用KVM和Xen架构虚拟技术,硬盘分机械硬盘和固态硬盘,系统支持Windows。当前商家有几款大硬盘的独立服务器,可选美国、德国和瑞士机房,有兴趣的可以看一下,付款方式有PAYPAL、BTC等。...

HostYun(月18元),CN2直连香港大带宽VPS 50M带宽起

对于如今的云服务商的竞争着实很激烈,我们可以看到国内国外服务商的各种内卷,使得我们很多个人服务商压力还是比较大的。我们看到这几年的服务商变动还是比较大的,很多新服务商坚持不超过三个月,有的是多个品牌同步进行然后分别的跑路赚一波走人。对于我们用户来说,便宜的服务商固然可以试试,但是如果是不确定的,建议月付或者主力业务尽量的还是注意备份。HostYun 最近几个月还是比较活跃的,在前面也有多次介绍到商...

slashdot为你推荐
笔记本1g内存条价格电脑1G的内存条价钱大概是多少左右?免费阅读小说app哪个好什么小说软件好用又免费985和211哪个好985和211哪个强?具体分析点。等额本息等额本金哪个好房贷是等额本金划算还是等额本息划算苹果手机助手哪个好iphone手机助手哪个好用?手机管家哪个好手机管家 用什么最好?网校哪个好市面上的网校,谁最好?播放器哪个好什么手机视频播放器比较好用?百度空间登录百度空间登陆空间登录页面怎样用网页登录到自己的QQ空间?
买域名 香港服务器租用99idc tk域名 智能骨干网 免费个人空间申请 架设服务器 帽子云 北京双线机房 idc是什么 qq云端 爱奇艺vip免费试用7天 免费高速空间 网通服务器托管 双线机房 无限流量 我的世界服务器ip 阿里云免费邮箱 华为云建站 photobucket 美国迈阿密 更多