1、 服務器系統安全配置服務器系統安全配置安全服務器角色 Secure Server Rolesn目的：針對具有不同服務器角色的Windows 系統，簡化管理員實施安全系統的繁重任務nSSR包含了一些向導程序,用來檢查和實施OS,特定應用程序的安全策略（例如：Exchange，IIS）安全服務器角色 SSRn安全服務器角色框架q設置廣泛（例如：服務，端口，注冊表鍵值，審計，用戶組等）q“角色”眾多（例如：域控制器，文件服務器，打印服務器，Web服務器等）q適用范圍廣泛(例如:Internet連接,DMZ,企業網絡,多網卡主機) q可定制n可以增加新的角色,無需編程q可擴展n可以使用VB來開發特定應

2、用的子向導q通過與MBSA的集成,提供了對一些非可配置的選項的分析,例如:漏裝補丁程序,NTFS文件系統,口令太簡單q既可在本地運行,又可在遠程運行q支持Windows 2000 和 .Net Server安全服務器角色 SSR(2)SSR向導程序q用戶可以很容易的實施必要的安全設置q基于知識驅動,針對不同的服務器角色和安裝環境,最大化安全設置q安全策略數據庫以XML方式保存q使用翻譯引擎,配置引擎來解釋,應用和回撤安全策略Windows服務器安全操作指南n在運行 Windows 的服務器上創建和保持一個安全環境所需的操作n涉及內容q了解安全風險 q運用 Windows 2000 組策略管理安

3、全 q基于角色保護服務器 q修補程序管理q審計與入侵檢測 q響應意外事件 q響應意外事件 Windows安全檢查列表所有磁盤分區都是NTFS文件系統管理員帳戶有一個強口令禁止所有不必要的服務刪除或禁止所有不必要的賬號關閉所有不必要的共享目錄設置訪問控制列表設置嚴格的安全策略安裝最新的服務包和補丁程序安裝反病毒軟件FTP 基本概念基本概念 FTP（File Transfer Protocol）是文件傳輸協議，服務器中存有大量的共享軟件和免費資源，要想從服務器中把文件傳送到客戶機上或者把客戶機上的資源傳送至服務器，就必須在兩臺機器中進行文件傳送，此時雙方必須要共同遵守一定的規則。FTP就是用來在客

4、戶機和服務器之間實現文件傳輸的標準協議。它使用客戶/服務器模式，客戶程序把客戶的請求告訴服務器，并將服務器發回的結果顯示出來。而服務器端執行真正的工作，比如存儲、發送文件等。 FTP基本概念基本概念 如果用戶要將一個文件從自己的計算機上發送到另一臺計算機上，稱為是FTP的上載（Upload），而更多的情況是用戶從服務器上把文件或資源傳送到客戶機上，稱之為FTP的下載（Download）。在Internet上有一些計算機稱為FTP服務器，它存儲了許多允許存取的文件，如：文本文件、圖像文件、程序文件、聲音文件、電影文件等。 兩個連接n控制連接在整個會話期間一直保持打開，FTP 客戶發出的傳送請求通

5、過控制連接發送給服務器端的控制進程，但控制連接不用來傳送文件。n實際用于傳輸文件的是“數據連接”。服務器端的控制進程在接收到 FTP 客戶發送來的文件傳輸請求后就創建“數據傳送進程”和“數據連接”，用來連接客戶端和服務器端的數據傳送進程。n數據傳送進程實際完成文件的傳送，在傳送完畢后關閉“數據傳送連接”并結束運行。 FTP 使用的兩個 TCP 連接 控制進程FTP 客戶端FTP 服務器端因特網TCP 控制連接TCP 數據連接用戶界面控制進程數據傳送進程數據傳送進程n 當客戶進程向服務器進程發出建立連接請求時，要尋找連接服務器進程的熟知端口(21)，同時還要告訴服務器進程自己的另一個端口號碼，用

6、于建立數據傳送連接。n接著，服務器進程用自己傳送數據的熟知端口(20)與客戶進程所提供的端口號碼建立數據傳送連接。n由于 FTP 使用了兩個不同的端口號，所以數據連接與控制連接不會發生混亂。 兩個不同的端口號 配置管理配置管理FTP服務器服務器 在組建Intranet時，如果打算提供文件傳輸功能，即網絡用戶可以從特定的服務器上下載文件，或者向該服務器上傳數據，此時需要配置支持文件傳輸的FTP服務器。Microsoft IIS提供了構架FTP服務器的功能，因此在Windows 2000 Server中配置FTP服務器同樣需要安裝IIS 5.0。設置設置FTP站點站點(1)(1) FTP服務器安裝

7、好后，在服務器上有專門的目錄供網絡客戶機用戶訪問、存儲下載文件、接收上傳文件，合理設置站點有利于提供安全、方便的服務。 通過“開始”/“程序”/“管理工具”/“Internet服務管理器”，打開“Internet信息服務” 窗口，如圖9-1，顯示此計算機上已經安裝好的Internet服務，而且都已經自動啟動運行，其中有一默認FTP站點。 設置設置FTP站點站點(2)(2) 配置FTP服務器管理窗口 設置設置Ftp站點站點(3)(3)1. 設置IIS默認的FTP站點 建立FTP站點最快的方法，就是直接利用IIS默認建立的FTP站點。把可供下載的相關文件，分門別類地放在該站點默認FTP根目錄Int

8、erPubftproot下。當然如果在安裝時將FTP的發行目錄設置成其他的目錄，需要將這些文件放到所設置的目錄中。設置設置Ftp站點站點(4)(4) 例如我們直接使用IIS默認建立的FTP站點，將可供下載的文件直接放在默認根目錄InterPubftproot下，完成這些操作后，打開本機或客戶機瀏覽器，在地址欄中輸入FTP服務器的 IP地址（9）或主機的FQDN名字（前提是DNS服務器中有該主機的記錄），就會以匿名的方式登錄到FTP服務器，根據權限的設置就可以進行文件的上傳和下載了。 設置設置Ftp站點站點(5)(5)2. 添加及刪除站點 IIS允許在同一部計算機上同時構架

9、多個FTP站點，但前提是本地計算機具有多個IP地址。添加站點時，先在樹狀目錄選取計算機名稱，再執行菜單“操作”/“新建”/“FTP站點”，便會運行FTP安裝向導，向導會要求輸入新站點的IP地址、TCP端口、存放文件的主目錄路徑（即站點的根目錄），以及設置訪問權限。除了主目錄路徑一定要指定外，其余設置可保持默認設置。 刪除FTP站點，先選取要刪除的站點，再執行“刪除”命令即可。一個站點若被刪除，只是該站點的設置被刪除，而該站點下的文件還是存放在原先的目錄，并不會被刪除。 Ftp站點的管理站點的管理(1)(1) Ftp站點建立好之后，可以通過“Microsoft 管理控制臺”進一步來管理及設置Ft

10、p站點，站點管理工作既可以在本地進行，也可以遠程管理。 1. 本地管理 通過“開始”/“程序”/“管理工具”/“Internet服務管理器”，打開如圖9-1的“Internet信息服務” 窗口，在要管理的FTP站點上單擊鼠標右鍵，選擇“屬性”命令，出現如圖9-2所示對話框。 Ftp站點的管理站點的管理(2)(2)圖9-2 FTP站點屬性設置對話框 Ftp站點的管理站點的管理(3)(3)（1）“FTP站點”屬性頁 IP地址：設置此站點的IP地址，即本服務器的IP地址。如果服務器設置了兩個以上的IP站點，可以任選一個。FTP站點可以與Web站點共用IP地址以及DNS名稱，但不能設置使用相同的TCP

11、端口。 TCP端口：FTP服務器默認使用TCP協議的21端口，若更改此端口，則用戶在連接到此站點時，必須輸入站點所使用端口，例如使用命令ftp :8021，表示連接FTP服務器的TCP端口為8021。連接限制到、連接超時、啟動日志等設置參見WWW服務器配置。 Ftp站點的管理站點的管理(4)(4)（2）“安全賬號”屬性頁選擇“安全賬號”標簽，出現如圖所示對話框。 圖 FTP站點“安全賬號”屬性設置 Ftp站點的管理站點的管理(5)(5)允許匿名連接：FTP站點一般都設置為允許用戶匿名登錄，除非想限制只允許NT用戶登錄使用。在安裝時系統自動建立一個默認匿名用戶賬號：“I

12、USR_COMPUTERNAME”。注意用戶在客戶機登錄FTP服務器的匿名用戶名為“anonymous”，并不是上邊給出的名字。 只允許匿名連接：選擇此項，表示用戶不能用私人的賬號登錄。只能用匿名來登錄FTP站點，可以用來防止具有管理權限的賬號通過FTP訪問或更改文件。FTP站點操作員：設置擁有管理此FTP站點的權限的域用戶，默認是只有Administrators組的成員才能管理FTP站點。作為該組的成員，可以利用添加及刪除按鈕，針對每個站點來設置操作員。Ftp站點的管理站點的管理(6)(6)（3）“信息”屬性頁 在此選項中，可以設置一些類似站點公告的信息，比如用戶登錄后顯示的歡迎信息。（4）

13、“主目錄”屬性頁 該屬性頁設置供網絡用戶下載文件的站點是來自于本地計算機，還是來自于其他計算機共享的文件夾。 選擇此計算機上的目錄，還需指定FTP站點目錄，即站點的根目錄所在的路徑。選擇另一計算機上的共享位置，需指定來自于其他計算機的目錄，按“連接為”按鈕設置一個有權訪問該目錄的Windows 域用戶賬號。 Ftp站點的管理站點的管理(7)(7)對于站點的訪問權限可進行幾種復選設置。v“讀取”：即用戶擁有讀取或下載此站點下的文件或目錄的權限；v“寫入”：即允許用戶將文件上載至此FTP站點目錄中；v“日志訪問”：如果此FTP站點已經啟用了日志訪問功能，選擇此項，則用戶訪問此站點文件的行為就會以記

14、錄的形式被記載到日志文件中。 Ftp站點的管理站點的管理(8)(8)（5）“目錄安全性” 屬性頁 設定客戶訪問FTP站點的范圍，其方式為：授權訪問和拒絕訪問。 授權訪問：授權訪問：開放訪問此站點的權限給所有用戶，并可以在“下列地址例外”列表中加入不受歡迎的用戶IP地址。 拒絕訪問：拒絕訪問：不開放訪問此站點的權限，默認所有人不能訪問該FTP站點，在“下列地址例外”列表中加入允許訪問站點的用戶IP地址，使它們具有訪問權限。 Ftp站點的管理站點的管理(9)(9) 利用“添加”、“刪除”或“編輯”按鈕來增加、刪除或更改“下列計算機例外”列表中的內容，可選擇“單機”模式，即直接輸入IP地址，或者單擊

15、“DNS查找”按鈕，輸入域名稱，讓DNS服務器找出對應的IP地址。選擇“一組計算機”，在網絡標識欄中輸入這些計算機的網絡標識，在子網掩碼中輸入這一組計算機所屬子網的子網掩碼，即確定用戶輸入某一邏輯網段。 Ftp站點的管理站點的管理(10)(10)2. 遠程管理 FTP服務器可利用Internet服務管理器遠程管理其他計算機上的FTP站點或通過瀏覽器啟動Internet服務管理器（HTML）來做遠程管理。Web站點也可以使用這種方法管理。 測試測試FTPFTP服務器服務器(11)(11) 為了測試FTP服務器是否正常工作，可選擇一臺客戶機登錄FTP服務器進行測試，首先保證FTP服務器的FTP發布

16、目錄下存放有文件，可供下載，在這里我們選擇使用Web瀏覽器作為FTP客戶程序。 測試測試FTPFTP服務器服務器(12)(12) 可以使用Internet Explorer（IE）連接到FTP站點。輸入協議以及域名，例如ftp:/zyj/ 雙擊如圖所示的“Book1.xls”文件，就可以打開該文件。鼠標右鍵單擊文件名，然后選“復制到文件夾”彩旦，彈出如圖所示對話框，選擇文件保存的路徑，確定就可以將文件下載到本地指定文件夾內。 測試測試FTPFTP服務器服務器(13) (13) 使用IE瀏覽器測試FTP站點 測試測試FTPFTP服務器服務器(14)(14)設置保存目錄對話框 Web定義n一、超文

17、本（hypertext） 一種全局性的信息結構，它將文檔中的不同部分通過關鍵字建立鏈接，使信息得以用交互方式搜索。它是超級文本的簡稱。 n二、超媒體（hypermedia） 超媒體是超文本（hypertext）和多媒體在信息瀏覽環境下的結合。它是超級媒體的簡稱。用戶不僅能從一個文本跳到另一個文本，而且可以激活一段聲音，顯示一個圖形，甚至可以播放一段動畫。nInternet采用超文本和超媒體的信息組織方式，將信息的鏈接擴展到整個Internet上。Web就是一種超文本信息系統，Web的一個主要的概念就是超文本連接，它使得文本不再象一本書一樣是固定的線性的。而是可以從一個位置跳到另外的位置。你可以

18、從中獲取更多的信息。可以轉到別的主題上。想要了解某一個主題的內容只要在這個主題上點一下，就可以跳轉到包含這一主題的文檔上。正是這種多連接性我們才把它稱為Web。 Web特征n一、Web是圖形化的和易于導航的（navigate） Web 非常流行的一個很重要的原因就在于它可以在一頁上同時顯示色彩豐富的圖形和文本的性能。在Web之前Internet上的信息只有文本形式。Web可以提供將圖形、音頻、視頻信息集合于一體的特性。同時，Web是非常易于導航的，只需要從一個連接跳到另一個連接，就可以在各頁各站點之間進行瀏覽了。 n二、Web與平臺無關 無論系統平臺是什么，都可以通過Internet訪問WWW

19、。瀏覽WWW對系統平臺沒有什么限制。無論從Windows平臺、UNIX平臺、Macintosh還是別的什么平臺我們都可以訪問WWW。對WWW的訪問是通過一種叫做瀏覽器（browser）的軟件實現的。如Netscape 的Navigator、NCSA的Mosaic、Microsoft的Explorer等。 n三、Web是分布式的 大量的圖形、音頻和視頻信息會占用相當大的磁盤空間，甚至無法預知信息的多少。對于Web沒有必要把所有信息都放在一起，信息可以放在不同的站點上。只需要在瀏覽器中指明這個站點就可以了。使在物理上并不一定在一個站點的信息在邏輯上一體化，從用戶來看這些信息是一體的。 n四、Web

20、 是動態的 最后，由于各Web站點的信息包含站點本身的信息，信息的提供者可以經常對站上的信息進行更新。如某個協議的發展狀況，公司的廣告等等。一般各信息站點都盡量保證信息的時間性。所以Web站點上的信息是動態的。經常更新的。這一點是由信息的提供者保證的。 Web動態的特性還表現在Web是交互的。nWeb的交互性首先表現在它的超連接上，用戶的瀏覽順序和所到站點完全由他自己決定。另外通過FORM的形式可以從服務器方獲得動態的信息。用戶通過填寫FORM可以向服務器提交請求，服務器可以根據用戶的請求返回相應信息。Web安全問題n包含三個方面：n1、網絡安全。如防火墻、路由器、網絡結構等相關的安全問題；

21、n2、系統與服務安全。如Window/Linux/Unix系統本身的漏洞或運行于其上的服務的安全，象Apache/OpenSSL/Weblogic等本身的安全性漏洞； n3、Web應用程序安全。具體應用程序的安全性漏洞，比如：某網站郵件系統因為存在腳本安全性問題，導致該郵件系統的用戶在收到具有惡意代碼的郵件時不知不覺的，其密碼與帳號信息被人竊取。 n據權威搜索引擎公司統計數據顯示，目前70%以上的網站，或多或少的存在安全隱患，這里的安全隱患指的就是Web應用程序的安全。至于網絡、系統與服務的安全性問題，它的生存周期基本上是：發現-上報軟件開發商-打補丁-下載更新程序。作為普通用戶，及時的給系統

22、與服務打上最新的補丁，配合一定的防火墻安全策略，是可以基本保證其安全的。n但是Web應用程序基本上是每個組織各持一套自己的程序，一切問題都必需自己動手去解決，恰恰因為此種特性，才導致目前運行于互聯網上的Web應用的安全性普遍存在。 2007十大十大Web安全漏洞安全漏洞n利用網頁及利用網頁及cookies寫作漏洞的跨站腳本攻擊寫作漏洞的跨站腳本攻擊(XSS)n隱碼攻擊隱碼攻擊(Injection Flaw，包括，包括SQL Injection及及Command Injection) nWeb應用程序引入外部惡意程序的惡意文件執行攻擊應用程序引入外部惡意程序的惡意文件執行攻擊(Malicious

23、 File Execution)n應用程序可任意訪問文件的應用程序可任意訪問文件的Insecure Direct Object Reference、n讓合法使用者執行惡意程序指令卻可能被允許的讓合法使用者執行惡意程序指令卻可能被允許的Cross-Site Request Forgery(CSRF)、n錯誤信息泄露機密數據的錯誤信息泄露機密數據的Information Leakage and Improper Error Handling、n身份驗證功能缺陷的身份驗證功能缺陷的Broken Authentication and Session Management、n敏感數據加密不安全或無加密的

24、敏感數據加密不安全或無加密的Insecure Cryptographic Storage、n傳輸數據未加密傳輸數據未加密Insecure Communication，n因無權限控制導致可直接存取數據的因無權限控制導致可直接存取數據的Failure to Restrict URL Access 增強Web安全n一般來說，提供數據庫應用服務的Web站點主要由操作系統服務器、數據庫服務器和Web服務器三項構成，由此，對Web站點的安全設置就可以從這三方面入手。基于不同的環境配置的Web解決方案，其安全考慮各有側重，但基本的原則是大致相同的。 nWEB軟件最常碰到的BUG為：1、SQL INJETIO

25、N2、對文件操作相關的模塊的漏洞3、COOKIES的欺騙4、本地提交的漏洞SQL INJETION的測試方法 n如有一新聞管理系統用文件news.asp，再用參數讀取數據庫里的新聞如http:/ 這一類網站程序如果直接用rs.open “select * from news where id=” &cstr(request(“id”),conn,1,1 數據庫進行查詢的話即上面的URL所讀取的文章是這樣讀取的select * from news where id=1這條語言的意思是在news讀取id為1的文章內容。但是在SQL SERVER里select是支持子查詢和多句執行的。如果這樣URL

26、 http:/ and 1=(select count(*) from admin where left(name,1)=a)SQL語句就變成了select * news where id=1 and 1=(select count(*)from admin where left(name,1)=a)意思是admin表里如果存在字段字為name里左邊第一個字符是a的就查詢news表里id為1的內容，news表里id為1是有內容的,從邏輯上的角度來說就是1&P。只要P為真，表達式就為真，頁面會返回一個正確的頁面。如果為假頁面就會報錯或者會提示該id的文章不存在。n黑客利用這點就可以慢慢的試用后臺

27、管理員的用戶和密碼。 n檢測：檢測存不存在SQL INJETION很簡單。n如果參數為整數型的就在URL上分別提交http:/ and I=1和http:/ and I=2如果第一次返回正確內容，第二次返回不同頁面或者不同內容的話表明news.asp文件存在SQL INJETION 對文件操作相關的模塊的漏洞n原理：如一上傳文件功能的程序upload.asp。如果程序員只注重其功能上的需求沒有考慮到用戶不按常規操作的問題。如上傳一個網頁木馬程序上去，整個網站甚至整個服務器的架構和源碼都暴露而且還有一定的權限 COOKIES的欺騙n原理：COOKIES是WEB程序的重要部分，COOKIES有利有

28、弊。利在于不太占用服務器的資源，弊在于放在客戶端非常容易被人修改加以利用。所以一般論壇前臺登陸用COOKIES后臺是用SESSION，因為前臺登陸比較頻繁，用SESSION效率很低。但如果論壇程序管理員用戶在前臺也有一定的權限，如果對COOKIES驗證不嚴的話，嚴重影響了WEB程序的正常工作。n如某LEADBBS，只有后臺對COOKIES驗證嚴格，前臺的位置只是從COOKIES讀取用戶的ID，對用戶是否合法根本沒有驗證。 WEB安全措施n在防治網絡病毒方面，在http傳輸中HTML文件是一般不會存在感染病毒的危險。危險在于下載可執行軟件如：.zip .exe .arj .Z 等文件過程中應特別

29、加以注意，都有潛伏病毒的可能性。 nWEB 服務器上的漏洞可以從以下幾方面考慮：（1）在web服務器上你不讓人訪問的秘密文件、目錄或重要數據。（2）從遠程用戶向服務器發送信息時，特別是信用卡之類東西時，中途遭不法分子非法攔截。（3） web服務器本身存在的一些漏洞，使得一些人能侵入到主機系統破壞一些重要的數據，甚至造成 系統癱瘓。（4）CGI安全方面的漏洞有：1有意或無意在主機系統中遺漏(bugs)給非法黑客創造條件。2用 CGI腳本編寫的程序當涉及到遠程用戶從瀏覽器中輸入表格(form) 并進行象檢索(Search index)或form-mail之類在主機上直接操作命令時，或許會給web主

30、機系統造成危險。因此，從CGI角度考慮WEB的安全性，主要是在編制程序時，應詳細考慮到安全因素。盡量避免CGI程序中存在漏洞。 n管理WEB服務器1)禁止亂用從其他網中下載的一些工具軟件，并在沒有詳細了解之前盡量不要用root身份注冊執行。以防止某些程序員在程序中設下的陷井，如：程序中加上一兩行 rm -rf /或mail username /etc/passwd 之類情況發生。2)在選用 web服務器時，應考慮到不同服務器對安全的要求不一樣。一些簡單的 web服務器就沒有考慮到一些安全的因素，不能把他用作商業應用。只作一些個人的網點。3)在利用WEB中的.htpass來管理和校驗用戶口令時，

31、存在校驗的口令和用戶名不受次數限制。web服務器安全預防措施n1限制在web服務器開帳戶，定期刪除一些斷進程的用戶。2對在web服務器上開的帳戶，在口令長度及定期更改方面作出要求，防止被盜用。3盡量使ftp, mail等服務器與之分開，去掉ftp,sendmail,tftp,NIS, NFS，finger,netstat等一些無關的應用。4在web服務器上去掉一些絕對不用的shell等之類解釋器，即當在你的 cgi的程序中沒用到perl時，就盡量把perl在系統解釋器中刪除掉。5定期查看服務器中的日志logs文件，分析一切可疑事件。在errorlog 中出現rm, login, /bin/pe

32、rl, /bin/sh 等之類記錄時，你的服務器可能有受到一些非法用戶的入侵的嘗試。6設置好web服務器上系統文件的權限和屬性，對可讓人訪問的文檔分配一個公用的組如：www，并只分配它只讀的權利。把所有的HTML文件歸屬WWW組，由WEB管理員管理WWW組。對于WEB的配置文件僅對WEB管理員有寫的權利。7有些WEB服務器把WEB的文檔目錄與FTP目錄指在同一目錄時，應該注意不要把FTP的目錄與CGI-BIN指定在一個目錄之下。這樣是為了防止一些用戶通過 FTP上在一些尤如PERL或SH之類程序并用WEB的CGI-BIN去執行造成不良后果。n當一個網絡接上Internet之后，系統的安全除了考

33、慮計算機病毒、系統的健壯性之外，更主要的是防止非法用戶的入侵。而目前防止的措施主要是靠防火墻的技術完成。防火墻(firewall)是指一個由軟件或和硬件設備組合而成，處于企業或網絡群體計算機與外界通道(Internet)之間，限制外界用戶對內部網絡訪問及管理內部用戶訪問外界網絡的權限WEB2.0nWeb1.0的主要特點在于用戶通過瀏覽器獲取信息，Web2.0則更注重用戶的交互作用，用戶既是網站內容的消費者（瀏覽者），也是網站內容的制造者nWeb2.0是以 Flickr、Craigslist、Linkedin、Tribes、Ryze、Friendster、Del.icio.us、43T等網站為代

34、表，以Blog、TAG、SNS、RSS、wiki等社會軟件的應用為核心，依據六度分隔、xml、ajax等新理論和技術實現的互聯網新一代模式。”n國內典型的Web2.0網站主要包括一些以博客和社會網絡應用為主的網站，尤其以博客網站發展最為迅速，影響力也更大，例如博客網（）、DoNews IT社區（）、百度貼吧 （）、新浪博客 （）等瀏覽器的結構與遠地服務器通信輸出至顯示器從鼠標和鍵盤輸入網 絡 接 口可選客戶程序HTML解釋程序可選解釋程序控 制 程 序驅動程序HTTP 客戶程序緩 存瀏覽器的主要組成部分 n瀏覽器有一組客戶、一組解釋程序，以及管理這些客戶和解釋程序的控制程序。n控制程序是其中的

35、核心部件，它解釋鼠標的點擊和鍵盤的輸入，并調用有關的組件來執行用戶指定的操作。n例如，當用戶用鼠標點擊一個超鏈的起點時，控制程序就調用一個客戶從所需文檔所在的遠地服務器上取回該文檔，并調用解釋程序向用戶顯示該文檔。 瀏覽器中的緩存 n瀏覽器將它取回的每一個頁面副本都放入本地磁盤的緩存中。n當用戶用鼠標點擊某個選項時，瀏覽器首先檢查磁盤的緩存。若緩存中保存了該項，瀏覽器就直接從緩存中得到該項副本而不必從網絡獲取，這樣就明顯地改善瀏覽器的運行特性。 。n但緩存要占用磁盤大量的空間，而瀏覽器性能的改善只有在用戶再次查看緩存中的頁面時才有幫助。n許多瀏覽器允許用戶調整緩存策略。 響應程序HTTP 響應報文程序活動文檔在客戶端創建 萬維網服務器瀏覽器 程序萬維網客戶服務器 程序HTTPHTTP 請求報文 請求文檔程序事先被編譯成二進制代碼，存放為文件程序 此程序在客戶端創建出活動文檔文檔瀏覽器的安全性nCookies 及安全設置n萬維網站點使用 Cookie 來跟蹤用戶。nCookie 表示在 HTTP 服務器和客戶之間傳遞的狀態信息。n使用 Cookie 的網站服務器為用戶產生一個唯一的識別碼。利用此識別碼，網站就能夠跟蹤該用戶在該網站的活動