企业网站建设

建站知识

今日已发布信息: 162531
累计注册用户: 52709242

网站制作公司总结

北京网站制作公司

概述: 客户在建站过程中往往比较关心的建站细节有哪些呢,专业北京网站制作公司今日推荐网的专业建站人员就总结多年实际建站情况,来为大家进行一个深入的分析和介绍。   首先,北京网站制作公司要重视对于页面展现形式的表现力,在实际的建站过程中,相信很多的人都会对于网站动画表现形式非常感兴趣,并且会被这样的形式所吸引。

  无论是哪一个北京网站制作公司,在提供网站建设服务时,都是要将客户的要求摆在首位,并且在这一基础上充分进行网站的建设。
我们知道,企业进行网站建设的最为本质的要求就是能够为企业带了一定的好处以及增强企业的宣传力。
因此对于北京网站制作公司来说,那么必须要将企业的需求作为出发点,并且要结合企业对于网站的需求从未进行相应的功能建设。
实际上按照通常的情况来说,客户在建站过程中往往比较关心的建站细节有哪些呢,专业北京网站制作公司今日推荐网的专业建站人员就总结多年实际建站情况,来为大家进行一个深入的分析和介绍。

  首先,北京网站制作公司要重视对于页面展现形式的表现力,在实际的建站过程中,相信很多的人都会对于网站动画表现形式非常感兴趣,并且会被这样的形式所吸引。
因此也客户往往都会在北京网站制作公司进行建站时提出要求,要求在进行建站过程中加上flash动画等的专业设计,实际上关于这一点,只有程序员才能够真正的了解,虽然这些特效比较好看,但是对网站会产生比较大的影响,实际上动画表现形式会大大的阻碍网站后期的打开速度。
因此,北京网站制作公司建站人员就需要结合专用知识情况对客户进行原因的解释。
另外就是对于网站后台管理权限要进行及时的交接,存在很多的企业都会选择将网站托管给专业的北京网站制作公司来进行管理,因此其对于权限没有比较多的要求。
但假如是北京网站制作公司内部有专业的网络工作人员,建站者就能够选择将全部权限交给客户处理。

 

  阿勒泰建网站  黄埔拖车报关   今日推荐免费建站   分类信息   包头网站建设公司

 

  最后,客户非常关注的一个问题就是围绕着售后服务的问题,我们知道对于网站来说,往往会受诸多因素的影响,因此难免存在不稳定性。
虽然这些问题对于北京网站制作公司专业人员来说只是小问题,但是对于没有建站知识的客户来说却常常让人非常的头疼,所以一旦出现问题,北京网站制作公司一定要充分的做好后期的客户维护工作。
这才是确保客户得到满意服务的关键。

 

草根网站推广之推广步骤

  做网站最主要的也是最难得就是推广网站了,推广网站的方法很多,简单的有贴吧推广、论坛推广、QQ推广、邮件推广等,难度高点的有流量交换、网站合作、网络炒作、软文推广、SEO等等。那么多的方法,该如何去做才能较快的推广你的网站呢?

  不同的推广方法适合网站发展的不同时期,不同的网站类型也有不同的推广方法,在这里本人按照自己的想法分了下类,如下:

  一、上线期:网站刚上线最迫切的就是让各大搜索引擎收录你的网站,方便网站推广的后续工作。然搜索引擎对网站的收录时间有长有短,短的刚上线就收录了,长的可以长到无法计算时间,所以网站上线期我们需要的就是缩短网站收录时间,节约推广时间。个人分析网站被收录时间的长短主要是关系到的是网站的曝光率(前提:网站结构合理,搜索引擎也是有爱好的!),也就是在搜索引擎上你网站的链接。综上,网站上线期就是增加网址在搜索引擎中的曝光率,也就是增加外链,而且是要快速的增加。

  增加外链最快的方法:

  1、软文推广,一篇高质量原创软文可以在很短的时间内增加几十几百个链接。

  2、问答类网站推广,据数据显示,百度、Google每天对百度知道、天涯问答的收录是10万以上,当然他们收录的快,剔除得也快,不过对于网站推广前期,短时间的链接就可以了。

  3、每天更新、每天快照的网站上找个链接,搜索引擎在访问这个网站时,通过链接,自然会光顾你的网站了。

  放个例子:朋友的一个新站,快播电影网:www.365128.com,至今天建站已经10天,上线后就是按照以上的方法推广的,现在的收录情况是百度200、Google300,Google的收录时间是建站的第5天,百度收录时间是建站第8天,虽说不是很快,但绝对不慢了。(注:这里的收录时间是指搜索引擎上可以查到网站首页时的时间,其实搜索引擎早已光顾这个网站,只是需要一段时间的整理确认,所以收录慢点的朋友也不要着急,链接有了,收录也肯定会有的。)

  二、流量期:网站收录以后就是开始做流量了,这里个人按照获取流量的效益性分为短期和长期。

  注:这里不讲钱的哈,也不详谈。

  短期流量获取方法 :

  1、QQ群推广 2、发帖推广 3、炒作推广 4、邮件推广 5、热点推广 6、诚信推广 7、流量交换

  长期流量获取方法:

  SEO,只此一法,却是一法抵万法,所以个人站在一定要会,至少最基础的要会。

  三、发展期:进入发展期后,个人站长也有些钱了,现在要做的就是以小钱换大流量,舍不得孩子套不到狼。

  1、做活动,调动用户的积极性,让用户生产用户,让用户给你推广。比如积分活动,以积分换礼品,放长线掉大鱼!

  2、购买流量,包括购买广告位,大的广告你投不了,投个小的总可以吧。这边记住一点,一定抓住通过广告来的用户,不然你就亏了。

  3、淘客推广,体验下一呼百应的感觉。

  4、请人做SEO,自己没搞定就让别人帮你吧。

  以上为个人小结,不好勿怪!善于动脑的人,事半功倍;懒得用脑的人,事倍功半。

阿里妈妈广告产品研讨

阿里近几年广告应收的增速非常迅速,在2012年,为站长和淘宝客带来的分成收入突破了30亿元,比2011年翻了一番,非常大的成就。那么阿里是如何做到这一成就的呢?

一、阿里妈妈的重生

阿里妈妈第一次出现是在2007年,定位是全网的广告交易平台,使命是“让天下没有难做的广告”,没错,和我们很耳熟的一句话让天下没有难做的生意很像,是阿里战略在广告市场的延续。当时阿里妈妈把广告位作为一种商品来销售。在阿里妈妈上,网站主把自己的广告位列出来,广告商来挑挑拣拣,看到合适的就买下来,明码标价,各取所需。

阿里妈妈的初衷是一个看起来美好,实际上却没有前途的事情。与商品不一样,商品的销售通路(4P中的place)是没有增值价值的部分,仅仅是因为生产厂家的地域限制而不得不依赖销售通路,在互联网时代,厂家可以通过减少通路,直接与消费者沟通,直销模式给买卖双方都带来了实惠。

但广告市场和商品却不一样。广告市场的买卖双方之间的通路4A及各种代理等,却是为双方提供增值服务的,没有这种服务,广告主就不可能进行有效的广告投放,除非每个企业都成立自己的广告投放及策略研究部门。因此,阿里妈妈在2008年即停用,与淘宝进行合并,加入到淘宝的“大淘宝”战略中。阿里妈妈转型为以淘宝商家为主的联盟广告业务,并且在原有域名基础上采用淘宝联盟品牌名。

经过几年的蛰伏,大淘宝战略下的广告产品布局日趋完善,在2012年底,淘宝联盟宣布在2013年重新启用“阿里妈妈”品牌名,联盟平台将从以服务淘宝系商家为主转向面向全网所有广告主开放的广告交易平台。淘宝联盟将不再作为平台名,而只是平台中的一个业务线。在阿里巴巴集团的管理架构中,阿里妈妈将隶属于一淘事业部。

新的阿里妈妈包含三条业务线:以“淘宝客”按成交计费业务为主体的淘宝联盟;以“橱窗”展示广告为主体的TANX平台;移动广告联盟业务。

阿里妈妈名称的重新回归不算什么大的事件,阿里妈妈体系里的广告产品才是我们应该关注的对象。

二、阿里妈妈的广告产品布局

阿里妈妈承袭的是原来“大淘宝”战略下的广告产品布局,主要分为展示营销和搜索营销两大类,计费方式涵盖了CPT、CPM、CPC三种,并且有固定价格和竞价价格两种价格计算方式。

其中展示广告、定价CPM是我们通常意义上说的硬广;

钻石展位为CPM竞价广告,广告展现在淘宝、天猫优质广告位上及淘宝外优质站点的广告位上;

超级卖霸是淘宝针对不同类型的卖家推广需求,制定不同的主题活动;

直通车为CPC搜索广告,现在包括淘宝和天猫两个站点;

淘宝客是CPS分成广告,当外部网站(淘宝联盟)引入流量并形成成交后,卖家会按比例为流量分成;

在2011年,淘宝推出了基于RTB模式的广告交易平台Tanx营销平台(http://www.365128.com),由以前基于广告位流量售卖模式向实时竞价售卖人群方式转变。同样,淘宝内部的几个广告平台也转变为DSP,通过Tanx参与竞价,分别是淘宝客CPS,直通车CPC,钻立方CPM,网销宝B2B。但需要注意的是,这些平台原有的业务并没有抛弃掉,而仅仅是升级后支持RTB模式。

三、阿里妈妈的规模

根据淘宝提供的数据,淘宝联盟平台目前拥有50多万合作网站及伙伴,数百万卖家会员,日均PV覆盖超45亿,2011年分成金额为15亿元,2012年为30亿,占据国内联盟市场39.6%的市场份额,稳居第一位。

在30亿元分成金额中,个人站点从阿里妈妈获得的分成最多,占比31%,近10亿元;其次是蘑菇街、美丽说、返利网、51返利等分享导购网站,占比21%;入口型媒体、垂直网站、门户视频、第三方代理分别占比19%、15%、12%和2%。

从广告主的主营类目来看,服装鞋帽类的卖家最多,尤其女装类占比18.8%,接近广告主总数量的五分之一。2012年,女装的成交金额居阿里妈妈成交类目首位,占比20.7%,其次为男装7.1%和女鞋4.9%。和BAT三巨头的其他两家相比,广告主的构成非常符合阿里的业务特点。

值得注意的是,30亿的分成中有1亿分给了无线移动端,其中美丽说、蘑菇街、果库、口袋购物等APP运营商分成近5000万元。此次将移动广告联盟业务列为阿里妈妈的三大业务之一,也能看到阿里对移动端广告业务的重视。

在4月25日,阿里妈妈宣布今年将以提升商家和消费者体验为主要方向,升级整个广告营销平台,加强以”橱窗”展示广告为主体的TANX平台,以及移动广告联盟,预期今年阿里妈妈整体分成有望达到50亿,同比增长将超六成。

四、国内联盟市场的情况

根据艾瑞数据,在过去的三年中,广告联盟分成的形式越来越受到广告主和互联网媒体的青睐,2010-2012年中国广告联盟分成金额分别为29.8亿、46.4亿、75.8亿,占中国互联网展示广告市场的比重从2010年的17%提升至2012年的21.7%。

按照上述广告联盟分成金额的数据,2011年、2012年的增速分别为55.7%、63.4%,那么2013年增速如果为70%,则2013年广告联盟市场的分成金额大概为128亿元左右。如果淘宝2013年的分成金额达到50亿元,则占国内联盟市场的39%的份额。

从这个计算看,淘宝2013年的分成预测比较中规中矩,但能否实现,年底就可见分晓。

那些年你被你忽视的360综合搜索

  在搜索引擎的世界里面,百度一直是作为“鼻祖”存在的,无论是喜不喜欢它,你都得对它顶礼膜拜,因为你需要它,即使现在有诸多人对百度不满,但是百度就像你的恋人一样,你已经习惯了它的存在,哪怕它有很多的缺点,你还是舍不得离开它。360搜索是一个后来推出的搜索,但是依赖其360自身强大的用户群体,一出世就一鸣惊人,和百度、搜狗掀起轰轰烈烈的“3B大战”,大战的结果是无疾而终,但是360综合搜索这个在襁褓中的孩子终于出世了。

  

 

  上面就是360综合搜索的主页了,比较简洁大气,相对于现在百度的新首页来说,其实搜索引擎这种比较简单的画面还是受用户的青睐的,比如谷歌,谷歌的画面一直都是简单干净,没有太多的东西去点缀,360延续了搜索引擎的这种简单,而这种简单,估计被你忽视了吧,百度新首页功能是多,但是这和搜索引擎的功能就有点背道而驰了。虽然说我也基本上不用360综合搜索,不过偶尔看看,它还是有可取之处的。

  新闻栏目

  360的新闻栏目分三个搜索板块的,自身的新闻搜索、谷歌新闻、百度新闻,确实不负“综合”之名,三种选择可供用户去选择,不像百度那么霸道地只允许用户使用百度,当然这和各自的定位有关系。不过360此举更显得亲民一些,用户多重选择。

  相对于之前百度新闻页的穿插广告来说,360搜索的新闻栏目更显整洁大气,新闻栏目就是新闻,没有多余的广告,这一点应该更得用户欢心吧,毕竟如果只是看个新闻都要受到广告的侵扰,我想,用户还是没必要遭这份罪。

  网页栏目

  在网页栏目也是融合了360综合搜索、百度、谷歌三种搜索,多种选择让用户自己去选,这是示弱还是亲民呢?估计后者的意味居多。

  360综合搜索改正了刚出世的不遵循robot协议的诟病之后,第一个率先推出在搜索医疗类型网站的结果里出现网站的相关备案信息,之后百度和搜狗都继续跟进,也在相关的搜索结果里出现网站的备案信息,提醒用户注意网站安全。能在一出世便看出网站安全的重要性,其创新意识也是一大亮点。

  微博栏目

  在这个微博泛滥的年代,微博控早已泛滥成灾,360综合搜索在其首页放上微博搜索,极大地方便了微博控们。不过目前只有新浪微博加入其中,还是略有不足,但是如果和百度相比的话,这一点比百度还是强一点,百度的基本上所有栏目都是其自身产品这一点虽然利己但是不利民,所以微博栏目也算是一大特色。

  视频栏目

  视频栏目就更强悍了,融合了360影视、百度、谷歌、优酷的搜酷四个视频搜索,用户的选择就更多了,这一点百度真是没得比,百度的霸权主义确实是发挥的淋漓尽致,不允许任何其它的搜索渗透,而360综合搜索就是大杂烩,喜欢谁,就用谁。

  MP3栏目

  在音乐栏目里面则是融合了搜狗、百度、谷歌三大主流搜索引擎,因为它自身没有音乐产品,所以使用综合性的搜索也无话可说,这是必然。

  图片栏目

  图片栏目就更怪异了,即刻搜索、百度、谷歌三大产品的选择权,即刻搜索虽然也是比较成熟的搜索引擎了,但是使用它的用户应该不是很多吧,所以这一点就有点怪异了。

  地图栏目

  地图栏目则是百度和谷歌的综合体,目前两大主流地图,百度、谷歌的综合相对于单一性的地图来说,综合搜索就更精准了。

  问答栏目

  问答栏目有其自身产品奇虎问答和百度知道两种,要知道百度的产品里面可是不允许任何其它产品的加入呀,不过奇虎问答的不成熟是显而易见的,加入百度知道也是为了完善搜索结果。

  购物栏目

  双十一“191亿”的天价传说,把电子商务推向了一个新高,网络购物不但是趋势,也是时尚,购物栏目的推出肯定会让很多喜爱网购的用户喜欢。淘宝、京东商城、凡客的融合体对于网购的比拼来说,确实比较方便。

  360综合搜索无愧于综合之名,大杂烩究竟是有利有弊,还有待用户自己去体验。目前用户对于百度的这种依赖性是否会改变也无人得知,但是你确实忽略了360综合搜索,不是吗?总有一天,你会发现它的闪光点。

  在搜索引擎的世界里没有谁对谁错,你爱谁,就依赖谁吧,若爱——请浅爱,就算你爱上了百度,也别忽视了360的美丽。

杀毒软件可能令企业用户陷入更大危机

杀毒软件可能令企业用户陷入更大危机

2016-01-14 09:39 核子可乐译 51CTO.com 字号:T | T

 

自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。

 

【51CTO.com快译】

安全研究人员担心,杀毒产品中的关键性安全漏洞往往极易被发现及利用。

想象一下,如果贵公司的IT部门来电称我们的工作站受到了入侵,我们必须立即停止正常业务运作,这时大家肯定相当愤怒:我们已经顺利通过了企业设置的安全培训,也确定自己从来没有打开过任何可疑的电子邮件附件或者点击任何恶意链接; 另外,我们也清楚自己的企业拥有强大的修复策略并始终保持计算机上的软件处于最新版本; 与此同时,我们也绝不是那种会在工作时间内浏览非工作类网站内容的家伙。那么,到底是哪里出了问题?

几天之后,一项惊人的结论被摆在我们面前——企业雇用的安全调查厂商调查出了事故的源头:黑客利用到了被安装在我们计算机上的企业杀毒程序中的某项缺陷,而该程序的作用恰恰是保护我们免遭攻击侵害。纵观整个过程,攻击者不过是向身为受害者的我们发送了一份邮件消息——而我们甚至根本没有将其打开。

这种威胁场景听起来可能有些牵强,但需要强调的是,其绝对真实存在。根据漏洞研究人员对以往杀毒程序进行的分析,这种攻击活动非常有可能成为现实,甚至可能已经在无声无息中出现。一部分研究人员多年来一直在试图发出警告,从而强调端点杀毒产品当中关键性缺陷被发现及利用的便捷性与可行性。

自去年6月开始,研究人员就发现并报告了来自各类杀毒产品中的数十项严重缺陷,其相关厂商包括卡巴斯基实验室、ESET、Avast、AVG Technologies、英特尔Security(原McAfee)以及Malwarebytes等等。其中相当一部分安全漏洞会允许攻击者以远程方式在目标计算机上执行恶意代码,进而滥用杀毒产品自身提供的功能,最终在受影响系统中实现权限提升甚至压制住其它第三方应用中的反恶意防御机制。

其中一部分安全漏洞的利用方式甚至完全无需涉及用户界面,使得目标计算机创建蠕虫病毒——即拥有自我传播能力的恶意程序。在多数情况下,攻击者倾向于单纯向潜在受害者发送经过精心设计的特定邮件消息,从而将恶意代码注入至由此类设备访问的合法网站或者通过U盘将恶意文件传播到受害者的计算机当中。

即将在未来全面袭来的攻击活动

有证据表明,对杀毒产品者攻击的行为——特别是在企业迂阔发中——既具备可能性又具备可行性。一部分研究人员认为,此类攻击活动也许已然发生,甚至杀毒产品厂商尚未意识到这一点——因为受害者数量仍然非常有限。

各国政府的情报机构对于杀毒软件中的缺陷一直抱有很大兴趣。新闻网站The Intercept早在去年6月就报道称,英国政府通信总部(简称GCHQ)曾于2008年提出申请,要求更改相关要求以允许该机构对来自卡巴斯基实验室的杀毒产品进行逆向工程并从中寻找薄弱环节。美国国家安全局亦致力于研究杀毒产品,从而规避其检测,该网站援引由爱德华斯诺登披露的部分国安局文件内容称。

某疑似由国家提供赞助的间谍活动组织Careto——也称The Mask——明确试图利用卡巴斯基杀毒产品中的一项安全漏洞以回避检测。该组织于2014年2月对归属于数百个政府机关及私营机构的计算机设备进行了入侵,影响范围跨越超过30个国家。

尽管这里提到的主要是利用杀毒软件中的安全漏洞规避检测的例子,但事实上受感染杀毒产品遭遇远程代码执行状况的案例也时有发生,甚至有某些特定中间商会通过不受监管的地下市场对此类漏洞进行大量出售。

去年意大利监控厂商Hacking Team有大量邮件泄露,其中一份文档显示某家名为Vulnerabilities Brokerage International的机构出售大量漏洞信息。这份文档列出了一系列针对多种杀毒产品的权限提升、信息泄露以及绕过检测机制等安全漏洞,其中某个ESET NOD32杀毒软件中的远程代码执行漏洞被标记为“已售出”状态。

根据入侵检测方案供应商Vectra公司首席安全官兼安全研究企业IOActive公司前任首席技术官Gunter Ollmann的说法,这种状况在过去十年中一直存在。目前已经有多家厂商专门对来自不同国家的主流桌面杀毒产品者逆向工程,从而满足客户们的具体要求,他在电子邮件采访当中解释称。他们还会对现有恶意软件者逆向设计,从而保证其具备对已受感染系统的劫持能力,他表示。

根据Ollmann的解释,中国奇虎360杀毒产品当中的一项远程安全漏洞在美国及欧洲的情报机构处能够卖出数万美元的价格。

“从国家的角度来看,从事这种勾当显然不是什么光彩的事,所以其会将目标范围进行严格控制与精心挑选,”Ollmann指出。

如果来自美国与欧洲的情报机构对此类安全漏洞抱有兴趣,那么无疑俄罗斯、中国以及其它网络力量自然也已经涉入其中。事实上,中国与俄罗斯的网络间谍集团已经多次证明了自己的强大能够以及对流应用内未知漏洞的敏感嗅觉,因此利用同样的技能从杀毒产品中寻求漏洞自然也非难事。

甚至一部分杀毒产品供应商广泛认为,专门针对杀毒产品进行的攻击活动具备很高的可行性——尽管截至目前尚无此类事件出现。

“在我们的2016年预测当中,我们特别提到针对安全研究人员与安全厂商的攻击活动很可能成为信息安全领域的未来发展趋势; 但是,我们认为这类活动不太可能表现为广泛攻击,”卡巴斯基实验室反恶意软件研究项目负责人Vyacheslav Zakorzhevsky在采访邮件当中表示。“举例来说,安全研究人员可能会通过受感染研究工具遭遇攻击,而且由于一切软件皆存在着安全漏洞,因此安全软件本身也很可能在一定程度上成为受影响目标。”

杀毒软件供应商Bitdefender公司亦在邮件当中表示,针对商战安全项目的指向性攻击活动“显然具备可行性”,但这类活动很可能针对的是企业环境而非普通消费者。

渗透测试人员也早已意识到杀毒产品当中所存在的可乘之机。某位效力于一家大型技术企业的安全研究人员指出,他的团队常常会在渗透测试工作当中尝试利用杀毒管理服务器中的安全漏洞,因为此类服务器拥有覆盖全部商战系统的高权限,且可被作为企业网络内部的横向移动平台。他不愿透露自己的姓名,因为他的雇主并未批准其对此事发表评论。

对企业杀毒管理服务器加以利用的作法已经被列入Hacking Team所泄露出的漏洞经纪国际公司产品清单,亦可从某些公共漏洞数据库中找到。

杀毒方案供应商似乎并不担心针对其消费级产品的潜在攻击活动。在大多数情况下,研究人员认为这种攻击活动不太可能出现,因为典型的网络犯罪团伙有着其它更受欢迎的攻击目标选项,例如Flash Player、Java、Silverlight、IE或者微软Office。

然而,这类普及度极广的应用程序的开发商们近年也已经开始想办法缓解其产品遭遇攻击的可能性。而随着更多用户将产品升级至更新、更具保护能力的版本,攻击者们可能被迫寻求新的利用目标。因此,未来针对杀毒产品的攻击活动可能开始面向由数千万甚至数亿普通用户所使用的常规产品,特别是在网络犯罪分子开始将魔爪伸向未知——也就是零日安全漏洞领域之后。事实上,这类情况此前已经出现过。

但单纯立足于当下,企业在杀毒产品方面所面临的攻击风险仍然要远高于普通消费者,特别是那些频繁遭受网络间谍活动侵扰的敏感行业。

入侵杀毒产品难度极低

杀毒软件是由人类所创造,而人类总会犯错误。当然,我们不可能要求此类程序完全不存在任何bug,但正常来讲杀毒产品中的安全缺陷较其它软件类型要更少,其利用难度也相应更高一些。

我们也有理由认为各企业成为IT安全行业中的组成部分,包括严格遵循安全编程指南以在自家产品当中实现常见的反漏洞防御机制,并定期执行代码审计与漏洞测试。

然而遗憾的是,以上观点只是我们的一厢情愿——杀毒业界的实际情况并非如此。

这些杀毒产品亦由大量组件所构成,旨在实现多层级保护效果:负责拦截网络流量的驱动程序、负责与浏览器及邮件客户端相集成的插件、图形用户界面、执行基于签名、行为以及云环境的杀毒引擎扫描子系统等等。

对于安全研究人员来说,这种丰富的功能与定位意味着庞大的攻击面,也就是说攻击者能够以多种方式从其中找到大量潜在漏洞代码。另外,在对杀毒软件进行审视时,我们会发现其中有大量代码拥有极高的运行权限,而这一直是安全研究人员应该尽可能避免的作法。

研究结果显示,杀毒产品会提供“易于被利用的攻击面,并显著增加目标遭受针对性攻击的机率,”谷歌公司安全研究员Tavis Ormandy在去年9月的一篇博文当中指出。在这篇文章中,他同时对自己在过去几个月内所发现的杀毒软件漏洞做出了分析。“出于这个原因,各安全产品供应商有责任尽可能提升安全开发标准,从而最大程度降低其软件造成危害的可能性。”

自去年6月以来,Ormandy先后从来自ESET、卡巴斯基实验室、AVG以及Avast等厂商的杀毒产品当中发现并报告了超过25种安全漏洞。而在此之前,他还曾经从Sophos以及微软的产品中发现类似的安全缺陷。

Ormandy所发现的大部分安全缺陷源自对文件及数据的解析操作,而这也是历史上此类漏洞的一种惯有来源。

“未来,我们将看到更多杀毒软件拆包工具、模拟器以及沙箱解析方案,从而保证其无需以SYSTEM权限加以运行,”Ormandy指出。“Chromium沙箱属于开源项目且为众多主流产品所使用。请不要坐等网络蠕虫将矛头指向我们的产品,或者执行面向用户的针对性攻击,马上行动将沙箱机制加入到各位的发展路线图中来。”

Ormandy并不是第一位对杀毒产品中缺少沙箱等安全应对机制,且各组件以系统级别权限加以运行这一现状发出警告的专家。

2014年,一位名为Joxean Koret的安全研究人员就曾发现14款杀毒产品及其扫描引擎中存在着远程与本地可利用安全缺陷。他给出的建议与Ormandy大致相同。

根据Koret的说明,杀毒行业至少应当采取权限隔离以及沙箱机制等技术手段提供较高的安全水平,同时也需要尽可能对杀毒产品本身进行保护。

目前有很多此类程序中存在着可被中间人攻击所利用的漏洞,因为它们并未使用SSL/TLS进行通信,而其下载的各组件往往亦不具备签名。它们没有采用任何现代浏览器所广泛拥有的反漏洞机制,也没有使用模拟方式扫描可执行文件或者选择内存安全语言,他通过邮件告诉我们。

更糟糕的是,有证据表明很多杀毒产品甚至根本没有针对安全缺陷进行过适合的合规审计,Koret表示。“举例来说,着眼于Tavis Ormandy所发现的各安全漏洞,我们明显可以发现其从未对软件本身进行过审计,因为此类安全漏洞完全可以在每周一次的固定评估过程中被审计工具所发现。”

为了避免潜在的扩散可能性,杀毒软件厂商应当尽可能降低产品运行所采用的权限级别,添加沙箱敏感性功能并确保其代码拥有理想的安全水平与成熟度,漏洞情报企业Risk Based Security(简称RBS)公司首席研究官Carsten Eiram指出。

自2010年1月1日开始,已被正式报告的安全软件与设备内安全漏洞已经多达1773个——其中2015年曝出的有372个,而且大部分都可通过输入篡改的方式被实际利用,RBS公布的数据显示。

“安全供应商应当承担起提高安全编码标准的责任,”Eiram表示。“从安全产品解析功能中发现这么多安全漏洞确实令人觉得非常尴尬,因为这长久以来一直被视为主要安全威胁之一。而当上述解析功能以SYSTEM权限运行时,其造成的后果自然更加严重。”

在大多数情况下,杀毒软件供应商往往认为沙箱机制并不适用于杀毒产品,因为这会对性能造成一定影响。一部分厂商甚至宣称,他们会采取其它一些可行方式——例如降低运行权限、执行路由安全评估并开发出其它能够实现等同于沙箱之效果的技术方案。

赛门铁克公司正致力于降低其产品及服务的攻击面。根据该公司的说法,其方案旨在以尽可能低的权限级别运行安全组件,从而降低攻击活动的实现可能性。

而根据卡巴斯基实验室的说法,实际解决安全漏洞的复杂程度要远比单纯使用某种技术手段更高。该公司推出了一系列技术成果,并宣称其能够为客户带来最理想的保护效果。举例来说,其使用多种机器学习算法以使用公司收集到的大规模安全情报与专业知识。

“尽管使用‘沙箱’方案似乎是种更为简单的办法,但其存在着诸多严重缺点,包括影响性能、执行效率以及兼容性,”卡巴斯基公司的Zakorzhevsky解释称。

英特尔Security/McAfee公司则表示当得知存在某项潜在问题时,其会立即进行调查以验证其有效性、性质以及严重程度,并据此制定修复策略。

我想可能没有人会质疑杀毒软件厂商对安全缺陷的发现速度以及尽快发布修复补丁的能力。事实上,其中一些厂商拥有惊人的响应速度,其产品在配置中也默认提供自动更新设计。然而真正的问题在于,相当一部分安全缺陷类型其实自开发阶段起就一直存在于此类产品当中。

赛门铁克与英特尔Security双方都拒绝解决与沙箱技术相关的具体问题、杀毒产品面临攻击行为的可能性、此类产品在检测目标攻击时的具体成效或者其它安全研究人员们所提出的批评意见。

杀毒方案供应商Bitdefender公司指出,谷歌公司推出的类沙箱解决方案不太可能成为安全产品中的有效技术选项。“反恶意软件解决方案每秒都需要拦截数千个系统事件并对其进行沙箱处理,这会给系统整体带来可观的性能影响,甚至远远超出操作系统供应商的可容忍限度。”

Bitdefender公司同时宣称,其大部分产品组件——例如反恶意引擎主动威胁控制子系统——已经以等同于当前所登录用户的权限水平加以运行,且正在利用代理进程来限制其中以系统权限运行的组件数量——包括该公司的消费级产品。

在企业级产品方面,该公司开发出了一套名为Gravity Zone的解决方案,允许管理员在网络上的不同设备运行扫描服务,而非像过去那样面向端点——另外,其最近还推出了HVMI(即基于虚拟机管理程序的内存审查)技术,能够通过在操作系统之外部署Type 1虚拟机管理程序的方式彻底对反恶意解决方案加以隔离。

“这类隔离机制能够将反恶意引擎同rootkit或者其它运行在用户环境下的漏洞区分开来,”该公司强调称。

Avast公司并没有就此做出评论,而Malwarebytes、AVG以及ESET等厂商则明确拒绝在本文发布之前给出回应——虽然我们提供了充足的反应时间。

风险与回报

由杀毒产品所带来的规模可观且易被利用的攻击面在与针对性攻击相结合之后,又带来了新的问题:我们是否有必要在企业环境之下安装此类保护程序?

部分研究人员质疑端点杀毒产品在应对高复杂性及高针对性恶意程序时的实际作用,特别是那些来自网络间谍集团的攻击手段。在他们看来,与由其带来的风险相比,端点杀毒产品带来的回报实在太过有限,特别是对于那些处于经常遭遇针对性攻击侵扰的行业之内的企业而言。

“在我看来,杀毒软件产品只适合用于保护那些小型企业以及家庭用户,”Koret指出。“杀毒产品无法检测到那些未知的威胁——无论具体是什么。杀毒产品的检测功能往往流于形式,而且大多数恶意软件开发人员都会在发布其恶意代码之前首先在主流产品中进行测试,”他解释道。

而作为端点杀毒产品的长期反对者,Ollmann认为安全保护方案越来越多被内置于操作系统当中的趋势将使得这种独立产品形式最终过时。

事实上,即使是在当下,部分杀毒软件供应商也需要侵入操作系统安全机制,从而保证自己的产品能够如设计思路般正常运行——这也进一步证明了其对系统的破坏能力,他补充称。

作为此类状况的一项实例,最近以色列数据泄露预防企业enSilo公司报告称,来自英特尔Security、卡巴斯基实验室以及AVG等厂商的产品中存在一项安全漏洞,能够禁用操作系统内置反漏洞防御机制对其它应用的保护。

这些杀毒产品会为用户模式的读取、写入与执行权限分配一个内存页,而具体权限则同Adobe Reader以及网络浏览器等其它应用相关联,enSilo公司的研究人员在一篇博文当中解释称。这有可能使得攻击者得以绕过Windows系统中的安全防御机制,例如面向第三方应用程序的地址空间布局随机化(简称ASLR)以及数据执行预防(简称DEP),从而帮助自身更轻松地利用这些应用中所存在的安全漏洞。

Eiram还进一步强调称,杀毒产品已经没有立足之地。当然,他认为相当一部分用户——包括家庭用户以及企业环境内用户——仍然需要具备一定程度的操作保护手段,例如避免下载高风险软件或者点击恶意链接。

端点杀毒程序确实能够降低此类基础性威胁。然而杀毒产品本身带来的攻击风险是否更加严重?这取决于此类威胁的具体类型以及所安装杀毒产品的整体安全水平,他指出。

人们应当认真考虑怎样的安全软件真正适合自己的环境,特别是其中是否具备他们最为需要的功能。杀毒产品买家亦应当检查自己的现有选项,了解它们能够快速应对与自身产品相关的安全漏洞,同时通过供应商安全记录审查了解这些缺陷的具体类型及严重程度,Eirams建议称。

“人们不该出于更安全的印象而盲目安装安全软件,”他表示。“实际情况并非如此。”

“我们永远不能低估恶意软件在复杂性层面的发展速度与前进步伐,”卡巴斯基公司的Zakorzhevsky指出。“但与此同时,我也不同意杀毒产品毫无效果这种说法。在出现一套能够检测出全部高复杂性威胁以及针对性攻击活动的解决方案之前,杀毒软件仍是保护业务并对普通恶意软件进行过滤与阻断的整体安全战略中的必要组成部分。”

一项多层次战略应当将传统杀毒软件同下一代保护工具、情报共享、安全服务、IT专业技能培训以及路由安全性评估等方案相结合,同时适用于软件、硬件以及应用程序本身,而这也是我们能够降低企业及个人数据泄露机率的惟一可行方案,他表示。

Bitdefender公司承认,有时候杀毒产品确实会漏掉一些恶意软件样本,但他们表示这种状况在全部威胁事件当中只占约1%比例。

“因此,这最终还是要归结为对攻击可能性的过滤与排查——这项工作基于已知安全漏洞或者已知恶意软件的变种特征——而后将反恶意解决方案同安全意识培养计划作为相互补充,”该公司指出。

能够在高风险环境下实现或者取代杀毒程序的技术方案正是应用程序白名单机制,其只允许预先经过批准的应用程序在计算机上运行。美国国家标准与技术研究所最近鼓励用户使用这种已经被默认内置在部分操作系统当中的保护机制,甚至发布了与之相关的推荐用法指南。

网络边界的保护对于捍卫企业环境免受内部与外部威胁方面亦非常重要,例如阻止数据泄露尝试。不过,用户在思想意识层面不应先入为主地认定网络级安全设备不存在安全漏洞。事实上,安全研究人员在过去几年中已经发现相当一部分此类产品存在漏洞,其中一部分甚至在不受监管的地下市场中进行公开出售。

有热情地坚持是建站成功的基础

  不知道大家做网站的时候有没有考虑这样几个问题呢?

  1.我为什么要做这个站?

  2.做这个网站的市场在哪里?

  3.做这个网站你时候你的热情来自哪里?

  4.你准备把网站做到什么程度?

  我想说,如果你能把这4个问题想明白了,你已经离成功不远了。我为什么这么说呢,因为做网站和平时做工作一样,一些潜在的东西如果你能把握了,你会做的很好。

  也许有人会问:“你说的这些谁都明白,做网站需要优化技巧,需要推广,需要SEO” OK,当遇到这样的问题的时候我只有一句话回答:“这些技巧上的东西是可以去学的,推广是可以用钱买的。”

  就拿www.kvov.com这个站做例子说明一下吧。

  1.我做这个站,原因很简单因为我要用它挣钱。(别骂我,这个是最实在的答案,也有人为了别的)

  2.这个站的市场就是QQ周边,非主流。玩QQ的有1亿多人,搞非主流的至少1千万,这就是市场。

  3.其实要做好一件事,最需要的就是热情。万事开头难,做网站也一样,1个月快过去了GOOGLE收录文章133篇,而百度为0。(当然在中国GOOGLE 收录再多用处也不大)。我不知道别人的新站是怎么样的,这样也算是种打击吧。可是如果因为这个就失去做站的热情了,那我告诉你趁早还是别做的好。热情一定坚持,但坚持不一定是热情。没有热情的坚持,是不会创新,不会去学习推广技巧的。

  4.也许你会说,不就是QQ周边的站么,做不大的。呵呵,说到这里我真正做站的目的是想通过这个站的流量实现货物交易,打造一个QQ周边交易平台,这样我才能挣大钱。

  说了那么多,其实最主要的是告诉站长们,我们做站是要带着热情去一步一步做好的,在一步一步中实现自己最终目标,革命还为成功,同志仍需努力!

http://alt.kvov.com.cn/jzxx8042.html