116电子商多 Chinaopub coM 下载 个状况就发生变化了。 1.活动内容 活动内容是指在页面上嵌入的对用户透明的程序,它可完成一些动作。活动页面可显示 动态图像、下载和播放音乐或实现基于WwW的电子表格程序。电子商务中使用的活动内容 涉及将你选中的商品放入购物车并计算发票总额(包括销售税和送货费)。开发人员非常欢迎 活动内容,因为它扩展了HTML的功能,使页面更为活泼。它还将原来要在服务器上完成的 某些辅助性处理任务转给大多数情况下处于闲置状态的客户机来完成, 活动内容有多种形式,最知名的活动内容形式包括Java小应用程序、 ActiveX控件 JavaScript和 VBScript(从本书在线版的 Java applet Central和 Java security链接可找到因特网上 Java小应用程序和Java安全方面的信息)。脚本语言 JavaScript和 VBScript可用来构造脚本(即 可执行的命令)。 VBScript是微软公司 Visual basic程序设计语言的子集,可用作WWW浏览器 和其他 Microsoft activeX控件与Java小应用程序的应用上的快速、轻便和可移植的解释程序 小应用程序是可在另一个程序中执行的程序,但它不能在计算机上直接执行。小应用程序通 常是在WWW浏览器中运行。 Cool applets网站上有许多很好的小应用程序,图5-4所示为从 Cool applets上下载的一个小应用程序。 Example of a Bar Graphic UFE ON THE FARM INDEX a dog eat chicken Number d esten objects he source of the Bar Graphic applet This Bar Graphic applet is wrtten by: Stebe Brouwer 图5-4Java小应用程序的例子 还有些不知名的为wwW提供活动内容的方式,其中包括图形和WwW浏览器插件。图形 文件中可包含一些隐含的嵌入指令,当图形下载到客户机后就可执行这些指令。如果运行可 执行图形文件或其他文件格式中所嵌入指令的程序,可能会导致隐藏在合法图形指令中的有
个状况就发生变化了。 1. 活动内容 活动内容是指在页面上嵌入的对用户透明的程序,它可完成一些动作。活动页面可显示 动态图像、下载和播放音乐或实现基于 W W W的电子表格程序。电子商务中使用的活动内容 涉及将你选中的商品放入购物车并计算发票总额(包括销售税和送货费)。开发人员非常欢迎 活动内容,因为它扩展了 H T M L的功能,使页面更为活泼。它还将原来要在服务器上完成的 某些辅助性处理任务转给大多数情况下处于闲置状态的客户机来完成。 活动内容有多种形式,最知名的活动内容形式包括 J a v a小应用程序、 A c t i v e X控件、 J a v a S c r i p t和V B S c r i p t(从本书在线版的Java applet Central和Java security链接可找到因特网上 J a v a小应用程序和J a v a安全方面的信息)。脚本语言J a v a S c r i p t和V B S c r i p t可用来构造脚本(即 可执行的命令)。V B S c r i p t是微软公司Visual Basic程序设计语言的子集,可用作 W W W浏览器 和其他Microsoft ActiveX控件与J a v a小应用程序的应用上的快速、轻便和可移植的解释程序。 小应用程序是可在另一个程序中执行的程序,但它不能在计算机上直接执行。小应用程序通 常是在W W W浏览器中运行。 Cool applets网站上有许多很好的小应用程序,图 5 - 4所示为从 Cool applets上下载的一个小应用程序。 图5-4 Java小应用程序的例子 还有些不知名的为W W W提供活动内容的方式,其中包括图形和 W W W浏览器插件。图形 文件中可包含一些隐含的嵌入指令,当图形下载到客户机后就可执行这些指令。如果运行可 执行图形文件或其他文件格式中所嵌入指令的程序,可能会导致隐藏在合法图形指令中的有 1 1 6 电 子 商 务 下载
ia°e0 第5章电子商务的安全 117 载 恶意指令的运行。前面讲过插件是用于解释或执行嵌入在下载图形、声音或其他对象中的指 令。所有形式的活动页面都支持WWW页面完成一些特定的任务。例如,表上的按钮可激活 嵌入的程序来计算和显示信息,或将客户机上的数据发给WWW服务器。活动内容为静态页 面带来了生机 对于一个在一台计算机上花十年才能完成的计算任务,可用分而治之的方法将它分布多 台计算机上并行运行,可能只花几个月就可完成。WWW页面上的活动内容为将计算强度大 的活动分布到多台计算机上执行提供了一个理想的方式。从宇宙搜索可识别的信号就是使 这种技术的例子。志愿者从因特网上下载联邦政府从太空中接收到的宇宙信号,然后用自己 的计算机分析这些信号。当志愿者的计算机空闲(也就是这些计算机处于等待状态,不执行 任何程序)时,这些计算机就可用来过滤从太空中接收到的无线电波,以便从噪音中发现智 慧生命所发出的信号。当志愿者下载了模式识别的程序后,就可以不断地下载和处理这些信 号数据,以便确定太空中是否有人在试图与地球联系 活动内容是如何启动的呢?你用浏览器就可查看一个带有活动内容的WWW页面。小应 用程序会随你所看到的页面自动下载下来,并开始在你的计算机上启动运行。这时就存在 个问题。由于活动内容模块是嵌入在WWW页面里的,它对浏览页面的用户是完全透明的 企图破坏客户机的人可将破坏性的活动页面放进表面看起来完全无害的WWW页面中。这种 技术称作特洛伊木马,它可立即运行并进行破坏活动。特洛伊木马是隐藏在程序或页面里而 掩盖其真实目的程序。特洛伊木马可窃听计算机上的保密信息,并将这些信息传给它的 WWW服务器,从而构成保密性侵害。更糟的是,特洛伊木马还可改变或删除客户机上的信 息,构成完整性侵害。 在www页面里加入活动内容,就为电子商务带来了多种安全危胁。通过WWW页面潜入 的有恶意的程序可使通常存在 cookie里的信用卡号、用户名和口令等信息泄密。因为因特l 无状态的,它不能记忆从一个页面到另一个页面间的响应,用 cookie可帮助解决需要记忆关于 顾客订单信息或用户名与口令等问题( Cookie central网站主要讲述有关因特网 cookie方面的 知识)。有些恶意的活动内容利用 cookie可将客户机端的文件泄密,甚至破坏存储在客户机上 的文件。不久前,一个计算机病毒成功地检测到用户电子邮件通讯簿上的信息,把病毒发给 了因特网上的其他人。在这个案例中,这个破坏性程序通过浏览器成功地得到了进入电子邮 件的权利。虽然 cookie本身并没有恶意,但有些人不喜欢让自己的计算机存储 cookie。当你浏 览因特网时会积累下大量的 cookie,而有些 cookie可能包含一些敏感的个人信息。幸好有很多 免费程序或自由软件可帮你识别、管理、显示或删除 cookie,如 Cookie crusher(可在 cookie 存进硬盘前对其进行控制)和 Cookie pal 2.Java、Java小应用程序和 JavaScript Java是Sun微系统公司开发的一种高级程序设计语言。Java以前称做OAK,当初是为嵌入 式系统开发的。许多Java支持者认为Java代码可嵌入在家用电器的芯片里,为家用电器带来智 能。但今天Java最普遍的应用是在WWW页面上,数以千计的Java小应用程序可实现各种各样 的客户机端应用。这些小应用程序随页面下载下来,只要浏览器兼容Java,它就可在客户机 上运行。 Netscape Navigator和 Microsoft Internet Explorer都兼容Java。图5-5为Sun公司的Java 小应用程序页面,上有到许多Java小应用程序的链接
恶意指令的运行。前面讲过插件是用于解释或执行嵌入在下载图形、声音或其他对象中的指 令。所有形式的活动页面都支持 W W W页面完成一些特定的任务。例如,表上的按钮可激活 嵌入的程序来计算和显示信息,或将客户机上的数据发给 W W W服务器。活动内容为静态页 面带来了生机。 对于一个在一台计算机上花十年才能完成的计算任务,可用分而治之的方法将它分布多 台计算机上并行运行,可能只花几个月就可完成。 W W W页面上的活动内容为将计算强度大 的活动分布到多台计算机上执行提供了一个理想的方式。从宇宙搜索可识别的信号就是使用 这种技术的例子。志愿者从因特网上下载联邦政府从太空中接收到的宇宙信号,然后用自己 的计算机分析这些信号。当志愿者的计算机空闲(也就是这些计算机处于等待状态,不执行 任何程序)时,这些计算机就可用来过滤从太空中接收到的无线电波,以便从噪音中发现智 慧生命所发出的信号。当志愿者下载了模式识别的程序后,就可以不断地下载和处理这些信 号数据,以便确定太空中是否有人在试图与地球联系。 活动内容是如何启动的呢?你用浏览器就可查看一个带有活动内容的 W W W页面。小应 用程序会随你所看到的页面自动下载下来,并开始在你的计算机上启动运行。这时就存在一 个问题。由于活动内容模块是嵌入在 W W W页面里的,它对浏览页面的用户是完全透明的。 企图破坏客户机的人可将破坏性的活动页面放进表面看起来完全无害的 W W W页面中。这种 技术称作特洛伊木马,它可立即运行并进行破坏活动。特洛伊木马是隐藏在程序或页面里而 掩盖其真实目的程序。特洛伊木马可窃听计算机上的保密信息,并将这些信息传给它的 W W W服务器,从而构成保密性侵害。更糟的是,特洛伊木马还可改变或删除客户机上的信 息,构成完整性侵害。 在W W W页面里加入活动内容,就为电子商务带来了多种安全危胁。通过 W W W页面潜入 的有恶意的程序可使通常存在 co o k i e里的信用卡号、用户名和口令等信息泄密。因为因特网是 无状态的,它不能记忆从一个页面到另一个页面间的响应,用 c o o k i e可帮助解决需要记忆关于 顾客订单信息或用户名与口令等问题( Cookie Central网站主要讲述有关因特网 c o o k i e方面的 知识)。有些恶意的活动内容利用 c o o k i e可将客户机端的文件泄密,甚至破坏存储在客户机上 的文件。不久前,一个计算机病毒成功地检测到用户电子邮件通讯簿上的信息,把病毒发给 了因特网上的其他人。在这个案例中,这个破坏性程序通过浏览器成功地得到了进入电子邮 件的权利。虽然c o o k i e本身并没有恶意,但有些人不喜欢让自己的计算机存储 c o o k i e。当你浏 览因特网时会积累下大量的 c o o k i e,而有些c o o k i e可能包含一些敏感的个人信息。幸好有很多 免费程序或自由软件可帮你识别、管理、显示或删除 c o o k i e,如Cookie Crusher(可在 c o o k i e 存进硬盘前对其进行控制)和 Cookie Pal。 2. Java、J a v a小应用程序和J a v a S c r i p t J a v a是S u n微系统公司开发的一种高级程序设计语言。 J a v a以前称做O A K,当初是为嵌入 式系统开发的。许多J a v a支持者认为J a v a代码可嵌入在家用电器的芯片里,为家用电器带来智 能。但今天J a v a最普遍的应用是在W W W页面上,数以千计的 J a v a小应用程序可实现各种各样 的客户机端应用。这些小应用程序随页面下载下来,只要浏览器兼容 J a v a,它就可在客户机 上运行。Netscape Navigator和Microsoft Internet Explorer都兼容J a v a。图5 - 5为S u n公司的J a v a 小应用程序页面,上有到许多 J a v a小应用程序的链接。 第5章 电子商务的安全 1 1 7 下载