一曲天地远，山水仍相逢

摘要： 分布式代码管理网站Github从2015年1月5日将停止对RC4的支持，RC4作为一种老旧的验证和加密算法易于受到黑客攻击。这意味着，用户在使用Windows XP系统上的IE浏览器时将无法进入github.com网站。 阅读全文

摘要： 远程服务接受使用TLS 1.0加密的连接。TLS 1.0具有许多密码设计缺陷。为了符合支付卡行业数据安全标准（PCI DSS）并符合行业最佳实践，PCI标准规定TLS1 .0安全通信于2018年6月30日不再生效。自2020年3月31日起，尚未启用TLS 1.2及更高版本的端点将不再与主流的Web浏览器和主要的供应商一起正常运行。 阅读全文

摘要： TRACE方法是HTTP（超文本传输）协议定义的一种协议调试方法。 启用TRACE方法存在如下风险： 1、恶意攻击者可以通过TRACE方法返回的信息了解到网站前端的某些信息，如缓存服务器等，从而为进一步的攻击提供便利。 2、恶意攻击者可以通过TRACE方法进行XSS攻击。 3、即使网站对关键页面启用了HttpOnly头标记和禁止脚本读取cookie信息，但是通过TRACE 方法恶意攻击者还是可以绕过这个限制读取到cookie信息。 阅读全文

摘要： 迄今为止，SSL/TLS已经阻止了基于SSL的无数次的网络攻击。1995年公开发布了SSLv2.0，该方案于2011年被弃用。1996年发布了SSLv3.0，被大规模应用，于2015年弃用。这之后经过几年发展，于1999年被IETF纳入标准化，改名叫TLS1.0，和SSLv3.0相比几乎没有做什么改动。 阅读全文

摘要： Etag是 Entity tag的缩写，可以理解为“被请求变量的实体值”，Etag是服务端的一个资源的标识，在 HTTP 响应头中将其传送到客户端。所谓的服务端资源可以是一个Web页面，也可以是JSON或XML等。服务器单独负责判断记号是什么及其含义，并在HTTP响应头中将其传送到客户端。 阅读全文