企业网站建设

建站知识

今日已发布信息: 340369
累计注册用户: 77819578

5个技巧教你建网站SEO

搜索引擎

概述: 站在客户的角度选择关键词,有相关性,或者参考同类网站的竞争小而实用的关键词,不要使用热门关键词。2,关键词密度,它是用比例的方式衡量出在网页的总和与其他文字,采用百分比表示。在同一页面关键词出现越高,密度越大,单页面关键词密度在2%-8%之间最为合适。3,关键词分布,关键词一般都在导航、文章、友情链接、url、标签里出现。

  大家好,我是咕咚网商城编辑,近期的搜索引擎调整频繁导致许多站排名纷纷下降,最为著名的就是利伟汇的被K以及狼雨的借机上位,但是最终还是对SEO的了解程度有所不同。
所谓SEO即是通过对搜索引擎排名技术,对网站的SEO优化,从而提高网站在搜索引擎的排名情况,下面小编为大家分享一下网站怎么SEO优化。

  一:关键词选择

  网站要运营推广,关键词是最好的代言形象,当你有几个不错排名到百度首页的关键词时,你的代表名字就为用户多了几个选择,但是关键词的选择以及敲定也有几个重要重点。
1,关键词敲定,站在客户的角度选择关键词,有相关性,或者参考同类网站的竞争小而实用的关键词,不要使用热门关键词。
2,关键词密度,它是用比例的方式衡量出在网页的总和与其他文字,采用百分比表示。
在同一页面关键词出现越高,密度越大,单页面关键词密度在2%-8%之间最为合适。
3,关键词分布,关键词一般都在导航、文章、友情链接、url、标签里出现。
标题中布超过3个为好。

 

  彭州手机建站  古董   今日推荐免费建站   分类信息   林芝网站建设公司

 

  二:网站原创内容

  很多站长都新站上线猛一顿外链狂发,随着搜索引擎的算法不断更新,以前许多靠外链提高排名的网站几乎都纷纷排名跌落,所以真正还是需要原创文章,等网站度过了过渡期,相对于小站来说,每周2-3篇原创就行,吸引蜘蛛经常的光顾。

  三:反链跟友链

  许多人把反链跟友链混淆一谈,比如A一个链接指向B网站,而B网站却没有指向A,这就是B导入的反向链接。
而友链就是A跟B网站互相的文字或者图片链接,互相设置一个超链接指向对方网站,一般就是跟同类性质,比如行业网跟行业网,商城跟商城,门户跟门户网,只有内容相关,PR值又比自己高,那么网站的综合值会到谷歌PR更新时有个满意的答案,但是切记跟医药或者养殖,甚至JS骗子互相链接。

  四:内链通顺

  内链虽然局限在网站内部,其实不然,它也可灵活运用,通常的做法就是A页面链接到B页面,他不但讷能让用户进到想去的页面,而且PV跟权重都会有相应的提升。

  五:高质量外链


外链有3个普遍的做法就是博客+论坛+软文,而博客一般普选新浪,搜狐,网易,论坛可参考SEO,落伍者,推一把,软文最好就是投稿到目前的软文老大哥今日推荐网网。
因为这么网站都在搜索引擎占有非常权威的地位,咱所作的工作也比较容易收录。

 

何苦砸钱抛售到手的点击率

  网络时代的经济模式已经变成attention economy。用白话文来说,点击率是珍贵的资产。对成功的媒体及网络公司来说,点击率是商品,可以卖钱的,Google就是一个最显眼的例子。

  不过这帖的标题有点不合逻辑:既是「抛售」(就算是「贱售」或「赔售」),应该是交出商品,收回金钱,却为何又说是「砸钱」呢?我也不懂。

  但的确有公司做这样的事:辛苦地提高自己的点击率,却又砸钱请人将已经到手的珍贵点击率送给微软。

  我真的辞穷,不知该用「买」还是「卖」来形容这种奇特的商业行为。奇特,但是并不少见。事实上,在台湾,这种花钱自残的行为到处可见。新闻媒体朋友们,请您千万不可忽略这篇,观光旅游业、外贸业,还有任何与外国客户有来往的企业/机关/组织/学校,您也是权益最可能因此大受影响的单位。

  事实上,任何人,任何产业,只要您正在花钱或花力气宣传行销自己,您都不可错过行销贵的这篇文章。您付薪水给自家电脑工程师,或付钱给网页制作公司,但收钱的人是否正在把已经送到您手上的点击率硬是带走,转送给微软呢?

  

 

  您投资人力、采购软体、请资讯部门做网页、或者您自己花很多力气做网页、或者您付钱请网页行销公司做网页,或者您花钱在知名媒体的首页刊登广告。总之,您投入一些资源,希望换取一些点击率/曝光率。您希望越多人看到您的电话/传真/型录/业务/网站,越好。

  什么人?任何人。

  您不会因为自己是男性,就拒绝女性朋友来看您的网站。

  您不会因为自己是天蝎座,就拒绝金牛座的朋友来看您的网站。

  您不会因为自己是的血型是O型,就拒绝AB型的朋友来看您的网站。

  您不会因为自己信仰佛教,就拒绝基督教的朋友来看您的网站。

  别说是这些无关痛痒的标签了,就算您有坚强的意识形态,就算您是国民党(民进党)的死忠支持者,一提到民进党(国民党)就有气,您也不会因此而拒绝民进党(国民党)的支持者来看您的网站。

  请不要谈论为什么国民党(民进党)比民进党(国民党)好,那离题了,那不是重点。不论谁好谁不好,您的目的就是花钱提高点击率。

  那么,为什么要花很多力气/金钱,【自己,或放任收您钱的人】拒绝微软IE浏览器以外的任何用户参访。

  广告买主亏到了:2007年,他们付钱,点击率却被转到微软去。 2009年,他们付钱,却仍然没有得到该得的点击率。

  某大媒体公司亏到了:2007年,客户付他们钱,却把这个珍贵的版面拿来替微软广告。 2009年,客户付他们钱,在本来应该刊出广告的地方,他们却把珍贵的版面空着没有利用。

  看到这篇文章而知情的人,以后就会改找其他媒体公司刊广告。制作网页的网络行销公司,亏到了。收人钱财却不忠于事,看到这篇文章而知情的公司行号,以后就会改找其他网络行销公司制作网页。

  某公营银行的就学贷款网页被微软绑架。某县市家具行的联合网页也被绑架…还有很多、很多。 【欢迎使用非IE浏览器的读者留言提供更多这样的网站,并在留言中加一个关键词"错误示范"。但是留言时请不要太凶狠,因为这些人多数也都是被害者。这篇文章的目的是要让这些公司觉醒,而不是要与他们为敌。要让他们想清楚:替他们制造问题的,到底是我们这些小众,还是微软。至于少机关组织里面的少数人,刻意在制造这样的问题,例如TQC的某几张证照,这些积极的加害者,我另文再来处理。 】

  擅自没收您的点击率,将它转送给微软,这样的网页公司,不该收您的钱,而应该去收微软的钱。

  如果制作网页的,是您自己的资讯人员,那么这样的资讯人员,不该领您的薪水,而应该去领微软的薪水--而且应该领微软行销部门的薪水,而不是技术部门的薪水。

  这样的资讯部门,正在伤害您公司(尤其是行销部门)的业务。更深一层地看,这些电脑公司、这些资讯人之所以沦落到今天这个地步,其实也不能怪他们。是教他们网页设计的教授,是训练他们网页设计的电脑补习班讲师,是发网页设计证照给他们的单位,一路误导他们;以致于他们把自己的生涯鸡蛋全部放到同一个篮子里,只学片面的技术。

  很不幸,这个篮子正在下沉。他们现在手足无措,他们也是受害者--是台湾病态网页设计生态系的受害者。不过这些细节并不重要,我另外再写一篇,针对这些小众来谈他们的前途与未来。

  对企业主您而言,最重要的就是停止砸自己的钱替微软广告。请要求替您制作网页的人,至少要用IE、Firefox,跟safari三种浏览器测试过。

  「大家都在用IE啊。有谁在用其他浏览器吗?」请看一下中文报导,英文报导,统计图,或是原始数据:微软IE市占率连续下降、Firefox浏览器市占率连续上升;在外国尤其明显。这也是为什么观光旅游业、外贸业,还有任何与外国客户有来往的企业、机关/组织/学校,特别应该注意这个趋势。

  国内也有相同的趋势,只是手边没有具体的数据。这样的趋势,可能跟IE更新推出的第零日就出现安全破洞有关,也可能跟Firefox的诸多套件或是方便的随身携带特性有关。无论如何,把造访您网页的Firefox或其他浏览器用户挡在门外,对自己的伤害会日益明显。

  有些资讯人会告诉您:要做出能让许多浏览器造访的网页,很困难,要加价。

  别理他,那是他的技术能力不足,导致工具选取判断错误。现在是买方市场的时代,有能力的网页公司与个人多得是,您不必接受他的推托之辞。请把您的钱给另一个人,给另一家公司赚。

  许多部落客的人气高到可以卖广告,他们比那些制作华而不实动画伤害业主利益的「资讯人」更有能力替您规画您的网站。他们才是网络时代的行销高手,他们才懂得如何吸引点击率。

  重点不是flash动画,而是提供有用的内容。重点是【不要走火入魔的】Search Engine Optimization。

  顺便呼吁网络行销/网页制作公司,如果贵公司的作品强调不歧视其他浏览器(您的网页请一定要提到Firefox哦),欢迎您在此留言,我乐意为您打广告。这样的留言请简短,关键词要包含「广告」。

  若贵公司的作品进一步还能符合政府无障碍网页规范,更请记得提及此点。请指向贵公司/工作室/网页设计课程的网页,让潜在客户自己用不同的浏览器测试您的网站。

  各个产业的企业主们,请安装Firefox(或chrome、或opera、或safari、或konqueror,或...),请测试一下:贵公司的网页是否被微软绑架?请再用Firefox造访微软自己的网站。

  惊讶吧?微软自己的网站都可以做到来者不拒,都可以欢迎任何浏览器,微软自己都不愿意为了强迫访客安装IE而牺牲已到手的人气,为什么您的网站反而要为微软无怨无悔地付出?

  Firefox或其他浏览器好不好用不是重点,看守您花钱换来的点击率,不要被微软A走,这才是重点。在这个Firefox(及其他所有浏览器联合起来)对抗微软的浏览器战争之中,您不需要成为无辜的炮灰。

  您的任务不是砸自己的钱,去替任何一个浏览器打压其他任何浏览器。您的任务是欢迎任何浏览器的用户到贵公司消费。如果您是图里的PQR公司,请要求XYZ公司把直通贵公司的铁路修好,把荒谬的看板拆掉,请要求XYZ公司不要收了您的钱,却把客户带去微软那里花钱。 (然后被拐走的客户极可能就忘了回来您的网站!)如果做不到,就把XYZ公司换掉。已到手的点击率,是您的资产,不该是送给微软的贡品。

来自极客标签10款最新设计素材-系列十

  本周我们推荐来自极客标签社区带来的10款免费设计素材,大家可以在这里免费下载你需要的内容。如果你也有更好的作品,欢迎分享到社区中来,在得到帮助的同时,也能与更多人分享来自你的作品。

  相关阅读:

  12款免费素材图标系列一

  12款免费素材图标系列二

  12款免费素材图标系列三

  200个免费的地图界面专用图标

  

 

  Map Icons Designer是一套包含200个免费使用地图界面相关图标的图标集。可以方便的用作google地图的设计,并且拥有10个不同的地图指针设计,及其地点,餐馆,标识等等的图标。

  免费的天气字体图标

  

 

  免费的天气相关的字体图标。

  超棒的Retro风格的矢量图形网站 - retrovectors.com

  

 

  超棒的retro矢量图形网站,可以免费的用于个人或者商业的项目中。

  超棒的简单矢量图标集 - Simplicity

  

 

  这套图标可以方便的应用到所有的项目中,包含了很多常用的图标,包括:文档、拷贝、日历、书签、用户、留言、下载等等。并提供免费下载。

  超有创意的网站设计:intothearctic

  

 

  intothearctic 是一个拥有全屏背景动画的网站,你可以看到非常漂亮的背景动画,并且拥有非常酷的互动效果和特效,相信大家会喜欢!

  免费的沙滩风格的用户界面GUI

  

 

  来自Mike Clarke一个干净漂亮的免费UI设计。

  免费的图标 - Metrize icons

  

 

  这套300枚的免费metro风格的图标,可以方便的整合到你的网站设计和开发中。包含如下格式:PSD (Single Shape Layer)、SVG (Single Icon 512 x 512)、EPS、AI、PDF、Web Font。

  超有创意的网站设计 - portraits

  

 

  Portraits拥有漂亮的干净和flat设计风格,并且把设计推到了下一个层次,拥有简单的效果和超棒的颜色主体,绝对可以让你眼前一亮!

  10个最棒的简洁iphone天气预报应用

  

 

  感谢乔布斯,感谢苹果给我们带来超棒的科技产品iphone,在这篇文章中,我们将推荐10款简洁的iphone天气预报应用,希望大家喜欢!

  最奇特的颜色打字机

  

 

  通常打字机都是用来输入文字内容的,而美国画家 Tyree Callahan设计的这个概念型打字机,可以帮助你打印颜色,是不是有点儿意思?

  via 极客标签

  来源:来自极客标签10款最新设计素材-系列十

企业站添加自问自答优化网站的技术收获

  经常在百度知道或其他在线问答平台上做外链的人都知道,在线问答的平台对于宣传、优化网站、提高产品知名度等起到了显著的效果。然而随着互联网的不断发展,只要是会上网的人都离不开互联网,所以这点对于有任何问题的人都不问题,只要轻轻的百度一下问题就会出现几千条甚至上万条的答案,同时更满意了用户良好的体验性。假如不采取第三方的问答平台而采取在自己网站里做自问自答的模式,那该效果该是什么样的呢?

  先来看看2个图片:

  图:1

  图:2

  

 

  笔者在2011年里就发现了大部分医疗网站实施这种自问自答的模式,每天都有网站编辑人员来编写内容,而问答标题以及内容可以说是五花八门,标题采用的是疑问式长尾词,百度收录良好,流量也来得特别快。所以笔者大胆试水通过这种方法在企业产品网站实验这种模式,效果相对显著。下面笔者跟大家浅谈一下企业站添加自问自答优化网站的经验心得。

  一、在网站的栏目里添加自问自答模块

  如果你的企业网站是正在开发的,可以让开发人员在网站里开发自问自答的模块,分别以频道和内容为标准开发,然后内容分出相关问题和客服回答。如果您的网站是已经开发好的,可以在网站里直接开辟一个专门的栏目做自问自答的频道页,可以当作专题的形式去对待,最好的例子可以参照笔者的网站或者医疗网站为案例。

  二、将提问的标题、内容、时间做好规划

  在自己网站里添加自问自答的好处则是同百度知道和其他在线问答的效果几乎是一样的,可以给网站带来流量、可以给网站带来用户、可以给网站增加权重和排名,但想要做好自己网站的自问自答需要注意四个事项,这也是避免K站的问题,同时这也是笔者在测试这半年多多积累的经验。

  1、标题的规划:标题的作用是取决与用户看与不看的直接因素,所以在做自问自答的时候标题是第一大重点,我们可以采用核心词或者长尾关键词去优化标题,然后在拓展成疑问式长尾词,比如:五行蔬菜汤大概的价格是多少?标题字包含五行蔬菜汤、五行蔬菜汤的价格,搜索这两个词都可以在百度第一页找到相关内容,所以标题要做好优化。

  2、内容的规划:对于内容而言,一个是问一个是答,这一问一答是很讲究的,网站编辑人员在写问的时候需要提前对产品进行一定的了解,掌握用户的心理或者把自己当作用户,用户会问什么你就写什么,然后在加以夸大即可,在这里笔者就不举例了。那么,在写答的时候就简单了,直接把专业术语用自己的话写出来,把本身就有的知识通过原创的方式去写出来,这样就可以让百度认为这内容属于原创了,同时也增加了用户体验,最后在字数方面要控制一下,不要过多和嗦。

  3、时间的规划:在发布内容的时间方面一定要注意,因为自问自答是在自己的网站上所做的,所以用户体验要注重一下,不要让用户看到前10篇自问自答都是一个小时之内完成的,那这样就有点不好了,所以在些内容的时候可以轮流替换这去写,然后不同的时间内去发布。

  三、做好相关自问自答的文章链接,减少跳出机会

  笔者习惯在网站内容页底部加上其他文章的相关链接,大概数量为10条,其好处相信大家也应该明白了吧,笔者分为两个好处:

  1、减少用户看完自问自答的文章就关闭页面,而会选择浏览相关的帖子,减少跳出率、提高PV量。

  2、文章出现“五行蔬菜汤的价格”这样对长尾关键词的补充,起到比较好的辅助优化作用。

  通过以上笔者所介绍自问自答优化网站的好处,可以看出自问自答是企业产品网站所选择的一条优化路线,不知道现在有没有企业网站在实施这个计划,但笔者做自问自答已经半年多了效果是非常好的,目前网站已经达到权重3,大多数的流量都是从自问自答里产生出来的。那么,笔者在这也希望广大站长的网站在今年一帆风顺。

我第一次购买二手域名建站的惨痛经历

  写这篇文章,主要是给做站的新手看的,老鸟可能对域名的研究已经够深够透了,做站,域名很重要,那就相当于一个人一出生后终生的名字,需要慎之又慎。

  我已经好长时间没做站了,9月中旬,我看见很多人在做某个产品的淘宝客,于是也想做一个站,可是以前的域名都没有了,当时的第一想法是买一个域名,并且是注册一年以上的老域名,这样不是权重高吗?不是容易被百度收录吗?(现在想起来是错误的)。

  于是我在域名交易相关网络上搜索,终于在站长论坛上看见了一个卖域名的,CN域名,但已经备案了,并且注册1年多了,和我做站的主题还有点靠得上,问其价格,20元,当时心中窃喜,好便宜,虽然我不是图便宜才买域名,其实我在GD上注册一个也就50元,但我觉得买的这个域名权重高呀。

  对于买的域名,我还是考虑过,害怕是被惩罚过的,于是我SITE了一下,结果发现有2009年的网页4篇,是内页,首页没有,又DOMAIN了一下,没有信息,我就问米农,这个域名是否是以前做过站,是否被处罚过,米农很肯定的回答,从来没做过站,但为了百度收录后的域名好卖,就解析到他朋友的某个大学图书馆站点上,所以百度才有收录,并且说这样的域名你卖去做站很容易百度就收了。

  由于我自己不是专业的SEOer,很痛快的付钱PUSH,拿到域名,立刻做站,用DEDE做的,在9月20号,新站上线了,从此,便开始了原创文章(站里70%的内容都是自己一篇一篇写的,绝对原创),写软文(在今日推荐网和CHINAZ总共有大约10多篇软文),在TOM、百灵网、中青网、中企新闻网、千龙网、江西文明网等门户网站上付费发软文(都带了直接链接和锚文本),可以说是高质量的内容,高质量外链,可是失望的是,到10月中旬了还不收录,百度快照总是2009年的那4个内页,我的站首页、内页都不放出来,别的搜索引擎早就都收录了,我开始怀疑这个域名有问题,于是我又找了一家专业SEO公司,让他帮我优化关键词,该公司拿到我的域名就说肯定是被降权过的,他们试试,于是我交了定金,他们开始做,到了前天10.26,依然不见效果,SEO公司通知我,说这个域名肯定被惩罚了,让换个域名,晕,如同一记闷雷,我都花了好几千块钱了,每天的辛苦劳动就这样毁在这个买来的米上了?

  思来想去,我还是决定换域名吧,否则只会投入更多,10月26日晚上,我注册了一个新域名,并通知了SEO公司重新优化,在和SEO公司沟通的过程中,他们有一些观点我想分享一下,虽然我也不懂(以下是他们的原话,我们也可以从中得到一些信息吧):

  1、新域名百度收录慢?纯属扯淡;

  2、新域名排名就上不去?胡说;

  3、(老域名权重高)你要的是排名不是权重;

  4、我们的优化最好从百度收录后开始,那种外链很少但百度收录的站我们优化很容易;

  从这次购买域名的过程中,我总结一些小经验,供和我一样的菜鸟参考:

  1、SITE发现只有内页,没有首页,快照日期很旧的要小心是被百度降权过的;

  2、DOMAIN有大量外链,而SITE无内容,肯定是被百度处罚拔毛了的,要小心;

  3、不要相信米农的一家之言,可能很多米他们也不知道以前是否被处罚过,他们多数是收来的米,对米的历史很不清楚;

  4、如果没有你特别心仪的米,就自己注册新米吧,没必要去在乎老域名的一点点权重;

  好了,希望我的新站能早点收录,希望大伙从我的惨痛经历中得到启发。

移动App该怎么办保存用户密码

移动App该如何保存用户密码?

这个实际上和桌面程序是一样的。

先看下一些软件是如何保存用户密码的:

我们先来看下QQ是怎么保存密码的:

 

参考:http://bbs.pediy.com/archive/index.php?t-159045.html,

桌面QQ在2012的时候把密码md5计算之后,保存到本地加密的Sqlite数据库里。

 

再来看下手机淘宝是怎么做的:

 

参考:http://blog.csdn.net/androidsecurity/article/details/8666954

手机淘宝是通过本地DES加密,再把密码保存到本地文件里的,如果拿到ROOT权限,能破解出密码明文。

 

再来看下微软是怎么保存用户密码的:

 

参考:http://www.freebuf.com/tools/37162.html

我实际测试了下,可以轻松得到所有帐号的密码明文。

 

再来看下Linux是怎么保存用户密码的:

 

参考:http://blog.csdn.net/lqhbupt/article/details/7787802

linux是通过加盐(salt),再hash后,保存到/etc/shadow文件里的。

貌似以前的发行版是md5 hash,现在的发行版都是SHA-512 hash。

linux用户密码的hash算法: http://serverfault.com/questions/439650/how-are-the-hashes-in-etc-shadow-generated

实际上是调用了glic里的crypt函数,可以在man手册里查看相关的信息。

可以用下面的命令来生成:
mkpasswd --method=SHA-512 --salt=xxxx

其中salt参数,可以自己设置,最好是随机生成的。
可以用 mkpasswd --method=help 来查看支持的算法。

用户密码该如何保存,还有能做到哪种程度?

看完上面一些软件的做法之后,我们来探讨下,用户密码该如何保存,还有能做到哪种程度?

 

假定本地存储的hash串/加密串,和加密算法,攻击者都可以得到,或者逆向分析到。

实际上也是如此,通过上面QQ和淘宝的例子,允分说明了加密串是可以得到的。Linux更是一切都是公开的,只要有权限就可以读取到,包括salt值,shah算法,(salt+密码) hash之后的结果。

防止攻击者得到用户密码的明文。这个实际上是从用户的角度出发,即使数据泄露了,影响降到最低。

防止攻击者拿到hash串或者加密串之后,一直都可以登陆。这点对于移动设置是很重要的,比如今天用户连到了一个恶意的wifi,如果攻击者截获到请求,要防止攻击者潜伏几天,或者几个月之后的攻击。必须要让请求的凭据在一天或者几天内失效。

 

加盐(salt)

假如不加盐,那么攻击者可以根据同样的hash值得到很多信息。

比如网站1的数据库泄露了,攻击者发现用户A和用户B的hash值是一样的,然后攻击者通过其它途径拿到了用户A的密码,那么攻击者就可以知道用户B的密码了。

或者攻击者通过彩虹表,暴力破解等方式可以直接知道用户的原来密码。

所以,每个用户的salt值都要是不一样的,这点参考linux的/etc/shadow文件就知道了。

客户端本地存储密码的算法

应该用哪种算法来存储?

从上面的资料来看,手机淘宝是本地DES对称加密,显然很容易就可以破解到用户的真实密码。QQ也是对称加密的数据库里,存储了用户密码的md5值。

显然对称加密算法都是可以逆向得到原来的数据的。那么我们尝试用非对称加密算法,比如RSA来传输用户的密码。

那么用户登陆的流程就变为:

 

客户端用公钥加密用户密码,保存到本地;

用户要登陆时,发送加密串到服务器;

服务器用私钥解密,得到用户的密码,再验证。

 

有的人会说,如果服务器的私钥泄露怎么办?

服务器端换个新的密钥,强制客户端下载新的公钥或者升级。

可以考虑有一个专门的硬件来解密,这个硬件只负责计算,私钥是一次性写入不可读取和修改的。搜索 rsa hardware,貌似的确有这样的硬件。

当然,即使真的私钥泄露,世界一样运转,像OpenSSL的心血漏洞就可能泄露服务器私钥,但大家日子一样过。

 

非对称加密算法的好处:

 

即使数据被盗,攻击者拿不到密码的明文

如果发现有部分用户的数据被盗了(公钥加密后的数据),可以通过升级服务器和客户端的版本,让用户重新输入密码,用户还是原来的密码,但是攻击者却登陆不了了。

对于安全要求严格的应用,还可以定期更新私钥,来保证用户的数据安全。

 

如何防止本地加密串泄露之后,攻击者可能潜伏很久?

这点实际上是如何让客户端保存的加密串及时的失效。

比如:

 

强制要求客户端保存的加密串一周失效;

用户手机中病毒了,攻击者窃取到了加密串。但是清除病毒之后,用户没有够时的修改密码。攻击者是否会潜伏很久?

发现某木马大规模窃取到了大量的用户本地加密串,是否可以强制用户的本地加密串失效,客户端不用升级,用户不用修改密码,也不会泄露信息?

 

下面提出一种 salt + 非对称加密算法的方案来解决这个问题:

 

用户填写密码,客户端随机生成一个salt值(注意这个salt只是防止中间人拦截到原始的password的加密串),用公钥把 (salt + password)加密,设置首次登陆的参数,发送到服务器;

服务器检查参数,发现是首次登陆,则服务器用私钥解密,得到password(抛弃salt值),验证,如果通过,则随机生成一个salt值,并把salt值保存起来(保存到缓存里,设置7天过期),然后用公钥把(salt + 用户名)加密,返回给客户端。

客户端保存服务器返回的加密串,完成登陆。

客户端下次自动登陆时,把上次保存的加密串直接发给服务器,并设置二次登陆的参数。

服务器检查参数,发现是二次登陆,用私钥解密,得到salt + 用户名,然后检查salt值是否过期了(到缓存中查找,如果没有,即过期),如果过期,则通知客户端,让用户重新输入密码。如果没有过期,再验证密码是否正确。如果正确,则通知客户端登陆成功。

如果发现某帐户异常,可以直接清除缓存中对应用户的salt值,这样用户再登陆就会失败。同理,如果某木马大规模窃取到了大量的用户本地加密串,那么可以把缓存中所有用户的salt都清除,那么所有用户都要重新登陆。注意用户的密码不用修改。

第2步中服务器生成的salt值,可以带上用户的mac值,os版本等,这样可以增强检验。

 

注意,为了简化描述,上面提到的用户的password,可以是先用某个hash算法hash一次。

具体的登陆流程:浏览器登陆的流程:

浏览器的登陆过程比较简单,只要用RSA公钥加密密码就可以了。防止中间人截取到明文的密码。


App登陆保存数据流程

App因为要实现自动登陆功能,所以必然要保存一些凭据,所以比较复杂。

App登陆要实现的功能:

密码不会明文存储,并且不能反编绎解密;

在服务器端可以控制App端的登陆有效性,防止攻击者拿到数据之后,可以长久地登陆;

用户如果密码没有泄露,不用修改密码就可以保证安全性;

可以区分不同类型的客户端安全性;比如Android用户受到攻击,只会让Android用户的登陆失效,IOS用户不受影响。


App第一次登陆流程:

 

 

用户输入密码,App把这些信息用RSA公钥加密:(用户名,密码,时间,mac,随机数),并发送到服务器。

服务器用RSA私钥解密,判断时间(可以动态调整1天到7天),如果不在时间范围之内,则登陆失败。如果在时间范围之内,再调用coreservice判断用户名和密码。

 

这里判断时间,主要是防止攻击者截取到加密串后,可以长久地利用这个加密串来登陆。

如果服务器判断用户成功登陆,则用AES加密:(随机salt,用户名,客户端类型,时间),以(用户名+Android/IOS/WP)为key,存到缓存里。再把加密结果返回给客户端。

客户端保存服务器返回的加密串

 

App自动登陆的流程:

 

App发送保存的加密串到服务器,(加密串,用户名,mac,随机数)==>RSA公钥加密

服务器用RSA私钥解密,再用AES解密加密串,判断用户名是否一致。如果一致,再以(用户名+Android/IOS/WP)为key到缓存里查询。如果判断缓存中的salt值和客户端发送过来的一致,则用户登陆成功。否则登陆失败。

不用AES加密,用RSA公钥加密也是可以的。AES速度比RSA要快,RSA只能存储有限的数据。

 



其它的一些东东:

多次md5或者md5 + sha1是没什么效果的。

RSA算法最好选择2048位的。搜索" rsa 1024 crack"有很多相关的结果,google已经将其SSL用的RSA算法升级为2048位的。

如何防止登陆过程的中间人攻击,可以参考,魔兽世界的叫SPR6的登陆算法。

总结:

对于网页登陆,可以考虑支持多种方式:

 

不支持JS的,用原始密码登陆。

支持JS的,可以考虑传递hash算法加密字符串。严格要求的应用,最好用JS实现RSA加密。在github上找到的一个JS RSA库:https://github.com/travist/jsencrypt

客户端应用,一律应当用RSA算法,并加盐来保存用户密码。单纯的hash或者对称加密算法都不靠谱。

 

服务器用salt(存数据库的) + hash算法来保存用户的密码。

用salt(存缓存的,注意和上一行的salt是不同的)+ RSA算法来加密用户登陆的凭证。

这样服务器可以灵活控制风险,控制用户登陆凭据的有效期,即使用户数据泄露,也不需要修改密码。

http://pengzhou.kvov.com.cn/jzxx27701.html

今日推荐知识库
解梦
梦见瓶子,预示运气,吉祥,容纳,回归等。
励志名言
海纳百川、有容乃大、壁立千仞、无欲则刚
经典语录
拥抱是最疏远的距离,因为你永远无法看清对方的脸。
经典语录
性格决定未来,性格决定命运。最好的性格是热爱生活、热爱一切事物,那么所有人也都会热爱你!
经典语录
“我宁愿不穿内裤出门,也不愿意把它留在家里。”