- 访问银行网站,提示说要下载安装控件,不会是木马吧?
- 是不是木马要看这个控件有没有被证书认证。有的银行网站设置了特别的控件保证用户输入密码时得到保护,这种控件要在用户端下载安装的。但是可能会出现控件被黑客改成木马的情况,所以要看你所下的控件有没有被证书认证。
代码签名
在木马和病毒横行的环境下,由于互联网缺乏提供软件额外信息的机制,用户通过互联网下载或打开软件时,通常会看到一个消息框,警告运行该软件可能造成的危险,使得用户对缺乏完整性保护并且发布者不详的软件产品的信任度降低。为此需要对程序代码进行代码签名。而代码签名证书则是VeriSign针对网上发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信的工具。
VeriSign 代码签名证书又分为支持 PC 应用软件的代码签名证书和支持移动设备应用软件的代码签名证书两大类,主要包括:
(1) 代码签名数字 ID(Code Signing Digital IDs) : 主要包括:微软代码签名证书 ((Microsoft Authenticode Digital ID) :数字签名 .exe, .dll, .cab, .ocx(ActiveX) ; Java 代码签名证书 (Sun Java Signing Digital ID) :数字签名 Sun J2SE/J2EE 的 Java Applet 文件,以及数字签名 J2ME MIDlet Suite 文件,支持业界最多型号和最多品牌的手机。
(2) 微软产品徽标认证证书 ("Designed for Windows logo" Digital IDs) :用于数字签名微软 Windows Logo 认证的各种软件、硬件驱动程序等,提交已经签名的软件给微软测试认证,还包括微软 Windows Hardware Quality Labs (WHQL) testing programs(Windows 硬件质量实验室测试计划 ) 认证。
(3) 微软移动代码签名证书 (Authenticated Content Signing for Microsoft Windows Mobile)(ACS):支持使用微软 Windows Mobile 和 SmartPhone2002/2003 移动终端操作系统的移动应用软件的非特权签名和特权签名,以确保移动下载的软件代码在移动终端 ( 如智能手机和 PDA) 的安全。
VeriSign是全球最为知名的代码签名证书提供者,拥有VeriSign旗下VeriSign、GeoTrust、Thawte三各品牌证书产品,其中VeriSign和Thawte品牌提供代码签名证书。目前VeriSign在中国区不提供直接数字证书服务,其中国区授权的合作伙伴是天威诚信数字认证中心,该机构为VeriSign在中国区首席合作伙伴,可以访问VeriSign中国区官方网站 或其合作伙伴天威诚信 查找详细的信息。