蠕虫与SSL的战争

网络服务即使采取SSL的认证、加密手段，它也许还会面临另一个问题：蠕虫工具的存在。利用“蠕虫工具”或者“蠕虫病毒”，可以监听并记录访问者的所有通话，这种方式更难以对付。

“蠕虫病毒”从大名鼎鼎的“爱虫”、“欢乐时光”，到“Sircam”、“圣巴巴拉蠕虫”、“新加坡蠕虫”等，具有很强的破坏力，其实“蠕虫病毒”又称“脚本病毒”，是很容易制造的，它们利用了Windows系统的开放性特点，特别是COM到COM+的组件编程思路，一个脚本程序能调用功能更大的组件来完成自己的功能。利用蠕虫病毒截取信用卡信息的通常做法是通过一些简单设置或执行一些简单代码来改变Javascript网页，链接一个几乎不可见的窗口（甚至可以只由一个像素构成），这个窗口在访问其他网站时始终是打开着的，从而在网页被访问之后，能够将用户的浏览、输入任何信息传送出去。即便网站用SSL保护，它们照样可以窃取网站的信息。

黑客还可以利用“蠕虫病毒”在网页上建立的一个几乎不可见帧（Frame），当访问者浏览这个网站时，一个JavaScript程序就开始读取访问者硬盘，借助文件共享技术，任何文件名已知的文件都可以被上载到互联网上的任一网站。在这里，文件名必须是事先已知的。在安全方面需要注意的问题是，电脑驻留着许多普通文件，而类似“Cookie.Txt”的文件可能会自愿地供出储存在其中的未经加密的口令数据，当然，口令数据未经加密的储存是很少有的。只有文本文件、映像文件以及HTML文件才能够被外人浏览并上载。这些文件虽可以被浏览和上载，但当它们仍在访问者硬盘上时，是不能够被改动的。黑客还可以通过蠕虫工具，利用网络浏览器软件中的文件上传功能，在用户访问网页时，从访问者硬盘中上载文件。