VeriSign:专门做信息安全的公司有这么外行的错误

啥都甭说了，点下下面这个verisign的验证图标，链接到verisign的验证页面上，看看偶的blog也可以以某网站的身份通过verisign的验证，只要再把页面做的比较像某网站，出门诈骗的时候就可以扛上verisign的大旗了。





究起原因是VeriSign没有从http链接中获取Referer信息来判断被校验的网站，而是根据超链接里面传过来的“dn”参数来校验，正所谓的防君子不防小人。作为一个专门做信息安全的公司出这样外行的错误已经让人很无语了，被指出的时候表现出的推脱态度，更让客户寒心。

根据http://blog.csdn.net/VeriSign/archive/2005/11/27/537714.aspx ，微软.Net战略、瑞星、***网络、中国万网、阿里巴巴、新浪、搜狐、腾讯、上海电信、华为、清华同方、北大方正、厦新电子、TCL、中国工商银行、招商银行、昆仑证券、中国民航等都使用了verisign的服务。

此外根据 http://tag.csdn.net/Article/c0a75980-452e-4eaa-ac8e-467c5fc9966b.html VeriSign在中国的服务造成的安全隐甚至可能比它解决的多：

Verisign公司在中国设立的J根镜像服务器，中方没有丝毫的管理权限，对于服务器中的日志文件、程序文件，中方根本无法接触，全部由美国公司直接管理。然而，真相却与此大相径庭：这个由美国商业公司Verisign所带来的根域名镜像服务器，对中国访问境外域名提速有限，对中国互联网安全的加强作用微乎其微，反倒为美国公司监控中国互联网的访问数据提供了便利。互联网安全专家指出："一旦发生国际冲突，境外机构掐断中国的根服务器镜像和COM域名镜像，所有使用COM域名的网站都将无法访问，中国的互联网将陷入瘫痪，后果不堪设想。

寒一个。

原文链接