旻飞的私人网摘 - Minfy's Personal Digest

　　8月9日开庭审理的微软起诉东莞网吧动感网络侵权一案，近日在网吧行业内引起轩然大波，各地网吧在接受新浪科技调查时表示十分关注。而各方关注的焦点主要集中于微软是否会起诉其他网吧、软件采购价格以及微软定价是否涉嫌垄断等方面。

　　据东莞市动感网络法定代理人、董事长兼东莞市网吧行业协会副会长黄沛洪表示，此前与微软进行过3次谈判，均告破裂。微软要求其安装Windows XP专业版，采购价定在每套580元。黄沛洪认为，家庭版就已足够使用，且对价格难以接受。随后，微软将其告上法庭，并要求索赔158万元。

　　“东莞所有的网吧与我们的态度是一样的：绝不会妥协。”黄沛洪昨日对新浪科技表示。微软方面表示，因为案件还没有眉目，不方便发表任何评论。

　　谁会是下一个起诉对象

　　据新浪科技调查，该案在网吧业内反响很大。“我们是微软第一个诉讼的网吧，如果微软胜诉，就会把我们当作一个判例，拿到全国去用。”黄沛洪表示。

　　不少网吧业主也对动感网络颇有惺惺相惜之意。“这次东莞和微软打官司，我们全国所有的网吧都非常关注，因为今天的东莞可能就是明天的我们自己。”芜湖市网吧自律大联盟的蒋先生对新浪科技表示。

　　北京盛峰律师事务所主任律师于国富分析，微软一定会将这个官司复制到全国的。据其介绍，像微软、Adobe等国际大软件企业的背后，一直有个商业软件联盟的机构在进行反盗版和正版化的工作。但商业软件联盟采取的多非诉讼而是交涉行为，只是对一些“顽固的典型”才采取法律手段，其目的不仅在于诉讼本身，而是对该领域造成更多的压力。

　　据文化部统计，截至2009年底，全国网吧总量达到13.8万家。之所以，动感网络的案件受到如此的关注，正是因为其具有最早的典型性和参考性。

　　采购价多少算合理

　　黄沛洪曾表示，580元/套的软件价格压下来，东莞市至少1/4超过250家本来就亏损较严重的网吧将立即关门歇业。

　　“网吧如果必须收这个费，重庆将死掉至少1/3。”重庆网协王先生称。芜湖蒋先生也表示，按照微软的价格，全国将有一半的网吧无利可图，面临着关门的窘境。

　　黄沛洪认为，580元/套的优惠价格实质上涉嫌“歧视”，“市场上现在Windows XP的公开零售价是300元/套，给PC厂商预装价格，据我们所知不超过100元/套。”黄沛洪对新浪科技表示，他能接受的合理采购价是，在Windows XP家庭版公开零售价的基础上给个团购价，即在100元~200元之间。重庆网协王先生可接受的与之相近。

　　芜湖蒋先生接受能力稍高，为380元/台，大约占到网吧利润的15%~20%。深圳宝安网协某负责人则表示，“一个200台左右的网吧一年付几千元，我还是可以接受的。”

　　是否涉嫌垄断定价

　　就动感网络一案，于国富认为，该案目前不是定性而是定量的问题，即网吧侵权是毫无疑问的，关键在于赔偿金额是否合理，或者说软件定价是否合理。由于微软的定价与网吧的预期差额巨大，软件定价充满争议。不少网吧称微软的要求是“垄断性的、霸权性的漫天要价”。

　　于国富称，由于微软地位特殊，其在操作系统领域占据很大的份额，远超第二名，掌握了绝对的定价权，有可能涉嫌垄断定价。就由此带来的赔偿要求，被告方可合力抗辩，据理力争。

　　另外，黄沛洪在庭审自辩时还表示，微软前期故意纵容和支持他人盗版其操作系统，等企业取得更多的营业利润之后，再采取法律行动，以索取更为高昂的赔偿费用。芜湖蒋先生则表述为，“微软这种行为是‘钓鱼式维权’。”

　　对此，于国富称，这种行为在业内被称为“知识产权屠宰”，即俗称“养肥了再杀”。“它不符合商业道德，但不违反任何法律规定，因为企业可以放弃行使自己的权利。”

　　政府扮演何种角色

　　“微软可以对他的商品自由定价吗？它涉及垄断资源，国家应出面对商品定价作出说明，提交物价部门备案。”重庆网协王先生的观点代表了一大批网吧业主的心声，希望国家相关部门能为他们做主。

　　于国富认为，政府在这类事件中应扮演裁判员的角色，不仅要保护微软的知识产权，同时也要保护国内的企业。“商务部的反垄断机构应加强调查，执法必严，对垄断行为一定要打击。”

来源：互联网络（新浪科技）

　　卫星图像技术有“天眼”之称，可以拍摄地球上任何一地的实景照片，为用户提供便利。

　　近来，美国民权人士担心，“天眼”技术大范围用于监控社会活动可能对公民隐私权等民事权利构成侵犯行为。美国一些政府部门近来将卫星图像技术开发出许多新用途。许多城市当局参考卫星照片提供信息，更新财产估价表，用于核查缴税真实性。警方执行调查任务时，利用这项技术协助确认犯罪嫌疑人身份和实施搜捕。

　　纽约市警察局犯罪活动实时监测中心利用卫星图像和电子化地图系统，确定犯罪现场地形，推测罪犯可能的逃跑路线。

　　刑事司法学教授乔·波利尼说：“许多部门用它来做初步判断，但他们也用自己的飞机实施动态监控。”

　　在一些小城市，卫星照片信息对执法者有一定参考价值。

　　内珀维尔市负责执法检查的检查官安·米查尔森说，卫星照片保证他们在行动时不走错路。

　　在美国一些大城市，地方政府对卫星照片的使用较为审慎。

　　芝加哥城建部门发言人比尔·麦卡弗里说，他们只是针对某些个案将其当作参考，“我们不反对采用新技术，但在这一技术完善之前，我们不打算使用它。”

　　卫星图像技术新应用，引来广泛争议。民权人士担心，这侵犯到个人隐私权。

　　纽约里弗黑德镇居民托尼·维勒说，这就像“‘老大哥’在上面看着你一样”。“老大哥”是英国作家乔治·奥威尔讽刺小说《1984》中的独裁者。

　　“政府可以用打击恐怖主义的名义窃听你的电话，”维勒说。

　　纽约民事自由联盟负责人唐纳·利伯曼说，这种做法也许在技术上合乎法律，但在道德上缺失标准。

　　不过，也有人支持用于安全目的的卫星图像技术。

　　来自纽约里弗黑德镇的律师肖恩·沃特说，他坚定支持保护个人隐私权，《美国宪法第四次修订案》反对无理由的搜查，但他同意把这项技术用于安全目的。

来源：互联网络

　　近日，媒体曝光了国内机票网站半数存在欺诈的现象。其实，不光是网站购票存在欺诈，拨打400电话同样也让消费者蒙受了欺骗和损失，这背后到底隐藏着怎样的利益关系？请关注——

　　有关400电话业务被违法分子利用进行诈骗的新闻已经多次曝光，但据笔者调查，这一犯罪现象并未得到有效制止，甚至有愈演愈烈的趋势。

　　今年夏天刚从中国科技大学少年班毕业的汤先生申请到了去美国达拉斯市留学的机会，在拨通韩亚“400官方预订电话”时，发现接线员的普通话非常不标准，并且提供的价格与官方最便宜价格差了1000多。当问到具体航线时，发现报出来的航线在韩亚航空官网根本找不到。“本以为是400电话应该不会有问题，结果却是这样。”汤先生在讲述最近的遭遇时，仍心有余悸。

　　事实上，俗称的“400电话”，是一种针对企业用户的主被叫分摊付费业务，机主拥有一个全国统一的、以400开头的十位数号码，呼叫者在任何地方拨打都不用考虑区号。对企业来说，分摊费用的方式，让400电话可以有效避免骚扰，因而400电话被称为800电话的升级版，不少知名企业都选择用它作为消费者热线。

　　400电话本身旨在为消费者提供更加完善的售后和咨询服务，是企业重视品牌形象、客户感受的重要象征和举措。但不法分子正是利用了消费者对之的信赖，恶意注册办理400电话业务，冒充为某些企业的官方电话进行诈骗活动。由此，不仅对消费者的权益造成了损害，同时，给被冒充的知名企业的声誉也造成难以挽回的损失。

　　疑问：不法分子如何注册成400业务

　　本该是知名企业或者至少是合法企业才能办理的400电话业务，如何变成了不法分子的诈骗工具？笔者带着这样的疑问走进了中国移动位于中关村大街上的营业厅。

　　据营业员介绍：“理论上说，办理此项业务时必须要经办人带本人身份证，单位加盖红章的组织机构代码证复印件或营业执照副本，有的还需要公章、财务章。如果这些证件不齐，就无法办理。”

　　当笔者表示证件手续并不齐全时，营业员介绍笔者去联系网上代理。

　　他说，这几年运营商的主要业务是宽带和移动通讯，400电话是固话业务利润小，因此基本上都分给了各级代理商经营。

　　当笔者从网上众多的400电话业务代理中随机挑选了一家，并表示手续证件不全时，代理商却答复可以办理。

　　“拉一个客户预存1000元，返你200元。电信的提成可能高一点，超过一千块可以提成30%。你没有执照吗，那我们就想想办法，总不会失去一笔生意吧。”代理商介绍道。

　　据笔者了解，一线代理为了发展更多客户，就把这个业务转给二三线代理，下线代理公司再组织业务员发展客户，业务员就靠提成增加收入，结果可想而知。关乎到经济利益的事，就会有人违规做事，让骗子钻了空子。

　　监管：多方监管导致难以监管

　　400电话业务到底由谁来监管？笔者就“400业务代理商”相关问题给中国联通发去采访函，至今仍未收到答复。但经过了解，笔者发现所谓代理运营商有两种，而这两种运营商的确给监管带来了难度。

　　一种是拥有400电话授权官方认证，即是前面提到的一线代理商，有着合法身份；另一种是没有官方授权认证的。第二种的客服人员表示：因为官方授权收费很高，他们只相当于“中间人”，有人想办理400电话业务，他们就帮助客户完善资料拿去审核，收的费用比营业厅低。

　　据了解，需要办理400电话的人只需提供身份证认证等手续就能办理。也就是说，在运营商那里被卡得很严的“个人用户不得办理”，到了各级代理商那里都被变相放宽了：只要有一张身份证，花几百元，两三天内就能拥有一个400号码。

　　北京邮电大学教授阚凯力表示，追究运营商的责任是不现实的，“有这么多号码，这么多代理商，证件也可能造假，不一定靠得住，运营商哪里管得过来”。在他看来，消费者应加强警惕，他建议：“不用400开头的电话买飞机票。”

　　北京邮电大学教授曾剑秋也认为，代理商并非运营商的下属公司，因此运营商不需要为诈骗行为负责。相关监管工作应由工业和信息化部通信管理局来完成，还可以找消协、工商或公安执法部门。

　　“这种事情和以前出现的群发诈骗短信相似，多头监管，导致难以监管。”律师李方平表示，400电话毕竟有一定的公信度，当利用400电话行骗的事件多起来时，运营商应该有相关补救措施，毕竟运营商掌握资源，应该可以从源头上加强监管。

　　笔者从有关部门了解到，400电话如果涉嫌诈骗，须先通过公安部门认定犯罪事实，立案侦查；消费者如果发现诈骗，要及时向公安部门报案，公安部门得到有关部门配合会积极调查，实行监管职责。但换句话说，没有立案，犯罪行为几乎无法在发生之前被监管。

　　措施：“四条”技巧防诈骗

　　据联通400电话受理中心提供的相关资料报告，400电话诈骗主要存在以下几种形式，并提出了防范措施：

　　首先，对不论是通过何种方式通知的“中奖”消息，一定要提高警惕，通常诈骗信息涉及各种机构，尤其是腾讯、非常6+1等。

　　第二，通过短信通知“电话欠费”、“购车退税”、“银行卡消费”等的通知，不要立即进行汇款，要认真辨别是否为正规的通信公司、银行，如遇到陌生号码，一定要提高警惕。

　　第三，如遇到相关400电话是提供订票等消息不要轻信，在打电话前，请先核实此电话是否为该公司电话，可以去该公司网站进行查询。在汇款时注意，若对方提供的账户为个人账户，就该小心了。

　　第四，正规公司，接听400电话的多为客服人员，若您听到接线员有口音，就一定要保持警惕。

　　以上四条归结为：任何时候都不要相信天上会掉馅饼。以“不相信、不回应、不泄露、不转账”的“四不”防范技巧应对，不让犯罪分子有机可乘。一旦发现可疑情况，应当及时报警。

来源：互联网络（科技日报）

　　德国政府当地时间周一表示，部长和高级公务员禁止使用iPhone和黑莓手机。德国内政部长托马斯·德梅齐埃（Thomas de Maiziere）警告称，电脑攻击“大幅”增加。

　　德梅齐埃发言人说，鉴于联邦IT安全机构BSI的“紧急”建议，部长和高级公务员被要求使用德国电信提供的Simko手机。RIM对数据和电子邮件提供了加密服务，但有媒体报道称，德国对黑莓服务所有数据都通过英国和加拿大的数据中心不满。

　　德梅齐埃向德国财经类日报《Handelsblatt》表示，恶意软件可能通过手机感染政府和企业IT网络，“政府必须有效地保护其网络。黑莓服务的基础架构属于RIM，但访问其基础架构的标准必须由政府，而非一家公司设定”。

　　德国政府早在2009年就提出了这一建议，但沙特和阿联酋对黑莓服务安全的担忧使得这一建议引起德国媒体关注。

　　德梅齐埃表示，在德国，网络攻击——特别是针对政府网络的攻击大幅增长。

来源：互联网络

　　因追加赔偿数额而延期两次的微软状告东莞市动感网络通信有限公司（以下简称“动感网吧”）侵权案，今天上午9时30分在东莞市中级人民法院开庭。

　　2005年动感网吧成立时注册资金为1000万元，目前拥有8家连锁分店，是东莞市最大的网吧分司，其法人代表代表黄沛洪是东莞市网吧行业协会副会长。

　　2009年9月，微软状告动感网络使用盗版Windows XP软件以及Windows Server服务器软件，今年5月上旬，微软将赔偿金由60万元追加至158万多元。东莞网吧大哥大被诉，一直被外界理解为微软公司终于要让享用免费午餐的国内网吧业“血债血偿”，也有称微软索要高额赔偿把网吧逼入死巷。

　　今天庭审中，微软代理律师的诉讼请求简单明了，要求动感网吧删掉盗版系统软件，赔偿经济损失148万元，外加10万元调查和律师费用。

　　动感网吧的答辩显得力不从心，开庭后花了许多时间质疑微软的原告主体资格，并且坚称网吧中使用“带有Windows XP标识的系统软件”。被告代理律师称动感网吧前后只有10台电脑使用了盗版系统软件，“而且只是做测试之用”。

　　庭审中，黄沛洪透露东莞网吧行业协会一直在与微软谈判更换正版系统软件，但是谈判的阻力来自于微软“硬不松口的高价格”。

　　黄沛洪说，网吧通过测试微软Windows XP家庭版（300元/套）已能完全满足网吧需求，而微软则要求网吧盈利场所要购买专业版，优惠价为580元/套。不料，东莞网吧行业协会再与微软就价格优惠再谈判，专业版竟涨价为630元/套，此举为诟病为微软谈判诚意不够。黄沛洪还说，之前云南各别城市和广州的网吧也遭微软起诉，最后专业版都是以327元左右谈下来的。

　　据了解，去年5月，东莞市互联网服务业协会与微软（中国）有限公司联合发布了《东莞市网吧行业微软产品正版化统一采购方案》。根据方案，东莞市网吧将分5年完成“正版化”，不愿意合作的网吧将面临微软公司的诉讼。

　　今天中午庭审结束证据调查和辩论，该案未作当庭宣判。

来源：互联网络

　　安全专家日前表示，尽管RIM公司不愿向各国政府开放其黑莓网络服务，却忽略了政府可能会自行侵入黑莓数据库的可能。

　　RIM表示，阿联酋一电信公司一年前正是采取此种措施攻击黑莓用户。专家表示，可能也有其他恶意软件已被准备好，随时可以出击。印度、黎巴嫩、沙特和阿联酋政府表示，出于国家安全的考虑，他们需要RIM公司的合作，让政府破解受黑莓专利技术保护的加密讯息。上述国家威胁称，如果RIM不满足他们的要求，他们会限制RIM的运营。但如果RIM不让步，各国政府可能会选择自行侵入黑莓网络。

　　加拿大RIM公司的官员没有就此质询作出回应。

　　安全专家表示，黑客几乎肯定会攻击黑莓网络最薄弱的环节：黑莓智能手机本身和黑莓服务器。

　　阿联酋去年发生的黑莓攻击事件就能很好地说明黑客的侵入手段。RIM表示，当时黑客利用美国安全公司SS8的一款间谍软件，伪装成一次软件更新，籍此攻击黑莓用户。

来源：互联网络（DoNews）

　　此前曾报道微软针对在校大学生推出的低价正版Windows 7和Office软件被倒卖，微软校园先锋计划合作方负责人日前向记者透露，目前正对倒卖上述软件的人进行调查取证，并计划对其起诉，而非大学生用户通过非法渠道购买的校 园版Windows 7和Office软件也可能会失效。但微软中国对此事保持沉默，其公关人员向记者透露微软中国法务部正在评估对倒卖者起诉的可行性。

　　微软中国从今年7月13日起，推出校园先锋计划，向在校大学生销售199元的Windows 7和149元的Office 2010，该价格相当于正常市场价的1.5折，由于存在巨大的价格差，部分符合购买资格的在校大学生通过C2C网站低价倒卖上述软件。校园先锋计划的合作方赛尔新概念网络有限公司执行总裁匡鹏告诉记者，目前发现的倒卖者有两种情况：如果倒卖者是符合校园版软件购买资格的在校大学生，其倒卖软件的行为已经违反了购买软件时签订的用户协议；如果是社会人士通过互联网搜索、大量盗用了学生信息，并以此通过校园先锋官方网站的自动系统识别，从而购买了校园版软件， “这属于倒卖信息罪，是触犯刑律的行为”。

　　匡鹏表示，目前已经开始采用法律手段，希望能震慑倒卖者；同时还设立安全工作岗，堵塞校园先锋网站自动系统识别的漏洞，将被列入敏感学校名录的申请者的申请转为人工验证审核，申请者需要提交身份证、学生证、团员证、党员证等多种证件信息；此外，还在校园先锋网站上发布了公告，警告用户不要通过非法渠道购买校园先锋产品。

　　匡鹏进一步表示，非在校大学生购买并使用校园版Windows 7和Office相当于使用了盗版软件，“因为用户协议里面明确了用户是在校大学生，既然不是在校大学生，那就不是我们校园先锋计划的用户”，微软可以通过倒卖者追踪到这些非法使用校园版软件的用户，并将其密钥取消，使软件失效。

　　不过，微软中国尚未就上述起诉计划表态，微软中国公关人员向记者表示其法务部正在评估对倒卖者起诉的可行性。有分析人士则认为，微软可能并不愿意完全堵住校园版软件的倒卖；因为微软面向个人零售市场的彩盒包Windows 7和Office销量一直不好，正版软件通过校园先锋计划变相低价流向个人用户对微软并不会造成实质性的伤害，反而会增加个人用户使用正版软件的积极性。

　　校园先锋计划网站的统计显示，截至8月4日上午，已向10733名在校大学生销售了Windows 7或者Office软件。匡鹏对这一销售数字表示满意，并表示微软中国推出该计划是希望通过降低大学生购买正版软件的门槛提高他们的正版意识，“如果软件被倒卖了，那这个计划就失去意义了”。

来源：互联网络（新快报）

　　根据Secunia公布的2010 年上半年最多软件漏洞的十大公司显示，苹果跃居榜首。

　　该报告称，苹果的软件漏洞超过了甲骨文（Oracle）排名第一，微软则是排在第三。根据Secunia的报告，苹果软件漏洞最大的并不是Mac OS X，而是Safari、iTunes等其它软件；值得注意的是，报告内容主要是依据漏洞的数量来排名，单一漏洞对于系统执行的影响程度、安全性威胁，并没有实际的量化去计算，也因此排名高并不代表该公司的软件在实际使用上，最容易受到侵犯。

　　报告中提到一项最值得苹果软件使用者提防的漏洞，也就是Safari的AutoFill功能；发现这个漏洞的安全专家，来自WhiteHat Security的Jeremiah Grossman表示，这个漏洞能让恶意网站窃取使用者的通讯簿数据，而使用者却浑然不觉，要避免这样的状况发生，使用者只要将Safari的AutoFill这项功能停用即可。

　　Jeremiah Grossman在发现该问题并且公布之前，也曾经联络过苹果公司，但并没有得到任何响应，因此，他不确定苹果是否知道这个漏洞的存在，以及未来是否有要解决的意向。

　　另外，报告中还指出五年前Windows PC发现的软件漏洞，有超过一半以上都是微软的软件所有，从2007年开始，则是以第三方软件最多，到今年上半年，Windows PC发现的漏洞数目，微软跟第三方的软件相比为1:2。

　　不过Secunia也指出，第三方软件提供者，要定时提供安全性漏洞的修补，在实际操作上比大公司要难，特别是大多数软件都要使用者自行下载更新的情况下。

来源：互联网络

　　微软的反应速度还是可以的。这个漏洞异常严重，请及时安装此补丁。

　　不久前微软曾发布了安全公告KB2286198，指出Windows Shell中存在的一个0day安全漏洞，该漏洞可以通过本地的USB驱动设备或是远程的网络共享、WebDAV执行远程代码攻击，包括Windows 7 SP1 Beta在内的各版本均受此漏洞影响。

　　这个漏洞相当严重，即用户在浏览目录内的问题快捷方式时（.lnk），该漏洞即会发作。也就是说，不需要执行该文件，看一下即会出问题。在巴西和美国，针对该漏洞的攻击已经大量出现。（这句是我自己写的，如果不对，安全专家们可以修改哈。）

　　该漏洞的详细请移步这里：http://www.microsoft.com/technet/security/advisory/2286198.mspx

　　临时解决方案在这：http://support.microsoft.com/kb/2286198
　　（这个修复工具会造成icon变白）

　　最终修复公共及下载在这里：http://www.microsoft.com/technet/security/bulletin/MS10-046.mspx

来源：互联网络

　　HTTPS（安全HTTP）和SSL/TLS（安全套接层/传输层安全）协议是Web安全和可信电子商务的核心，但Web应用安全专家Robert "RSnake" Hansen和Josh Sokol在昨天的黑帽大会上宣布，Web浏览器的基础架构中存在24个危险程度不同的安全漏洞。这些漏洞基本上使HTTPS和SSL能够提供的浏览器保护荡然无存。

　　HTTPS对HTTP协议进行了加密，以保护用户的页面请求和Web服务器返回的页面不被窃听。SSL及后来的TLS协议允许HTTPS利用公钥加密验证Web客户端和服务器。

　　Hansen和Sokol指出，攻击者要利用这些漏洞，首先需要发起中间人攻击。攻击者一旦劫持了浏览器会话，就可以利用这些漏洞中的大多数对会话进行重定向，从而窃取用户凭据或者从远程秘密执行代码。

　　然而，两位研究人员强调，中间人攻击并不是攻击者的终极目的。

　　Hansen指出，“利用中间人攻击，攻击者还可以实现许多更加容易的攻击。你不得不‘执行’中间人攻击，并被迫成为一个十分坚定的攻击者……然而，这还不是最坏的情况。对于电子商务应用来说，这些攻击简直是毁灭性的灾难。”

　　实际上，Hansen怀疑HTTPS和SSL/TLS中可能有数百个安全问题有待发现。他说，由于要准备这次黑帽大会的演讲，他们还没来得及对此进行深入研究。

　　中间人攻击并不是什么新技术。由于各种原因，攻击者可以设法在一个浏览器会话过程中的多个时刻加入会话。一些攻击者能够使用包括MD5冲突在内的各种方法伪造或窃取SSL证书。由于在会话到达认证协商的加密端口之前，SSL协议是采用明文传输DNS和HTTP请求的，所以攻击者还可以在这些步骤中的任一时刻劫持会话。另外，攻击者还能够利用中间人攻击修改HTTPS链接，将用户重定向到恶意HTTP网站。

　　对任何攻击者来说，重复Hansen和Sokol所说的工作并不容易，它需要耐心和资源。两位专家强调，中间人攻击得逞之后，攻击者可能发动两种高度危险的攻击。

　　第一种是cookie篡改（cookie poisoning）攻击，即攻击者利用浏览器在用户会话期间不更改cookie的情况，将同一个cookie反复标记为有效状态。如果攻击者能够提前劫持来自网站的cookie，然后再将其植入用户的浏览器中，则当用户的认证信息到达HTTPS站点时，攻击者就能够获得用户凭据并以用户身份登录。

　　第二种是重定向攻击。许多银行网站会将用户的会话从一个HTTP站点重定向到一个HTTPS站点，该会话通常是在另一个浏览器选项卡中打开，而不是在一个新的浏览器窗口中打开。由于攻击者仍然控制着旧的选项卡，所以攻击者可以在URL中注入Javascript脚本并修改新选项卡的行为。受攻击者可能会下载可执行文件，或者被重定向到一个恶意登录页面。

　　Hansen和Sokol解释说，利用针对SSL Web浏览器会话的攻击，攻击者可以观察和计算用户在一个网站的特定页面上停留的时间。这可能会泄漏处理数据的页面。此时，攻击者可以在该网页上采用相关技术强迫用户退出登录并重新进行身份认证，从而获得用户凭据。

　　Hansen指出，“有必要对SSL进行修改，比如添加填充和抖动代码”。他解释说，通过在Web请求中添加无意义的编码，可以延长攻击者完成攻击的时间，也许足以阻止攻击者采取进一步的行动。他说，“要避免此类攻击，必须采取适当的选项卡隔离和沙箱技术。安全专家也许能够避免此类情况的发生，但普通用户却不得不面临这种威胁。我们真的很难阻止这种攻击，我不知道有没有简单的办法可以解决这个问题。”

来源：互联网络（TechTarget）