也可W在肥1上对二维码进行截图并发送至肥2后,由肥2上应用程序读取二维 码的图片并进行解析。
[0079] 步骤414,可选的,肥2可W对解析得到的Server地址是否合法进行判断,若合法 则允许转入步骤416,否则不允许。
[0080] 具体地,比如用户通过肥2上的"支付宝"客户端对二维码进行解析,得到Server 的地址信息,则可W判断由二维码解析得到的Server的地址信息是否符合"支付宝"客户 端本地预配置的服务器地址规则;若符合,则判定由二维码解析得到的Server的地址信息 合法,否则判定为不合法,并显示风险提示信息。
[0081] 因此,通过对地址信息的合法性验证,使得即便钓鱼网站建立了自己的"验证服务 器",并根据该"验证服务器"的地址信息和钓鱼网站的网页唯一标识信息生成二维码,也 能够由于该服务器地址信息与预配置的真实服务器地址不匹配,从而拒绝访问该"验证服 务器",并且能够在用户终端上给出提示信息,比如"当前网页可能是钓鱼网站,请您仔细辨 别!"。
[0082] 步骤416,在判断Server的地址信息合法的情况下,肥2向Server发送包含解析 出的网页唯一标识信息的网页验证请求。
[0083] 可选的,在肥2向Server发送的网页验证请求中,还可W包含校验信息和通过预 设算法对该校验信息进行计算得到的校验值。具体地,预先在"支付宝"客户端和Server之 间协商校验信息的类型和采用的校验算法,比如该校验信息可W为当前时间信息,而预设 算法比如可W为MD5(MessageDigestAlgorithmMD5,消息摘要算法第五版)算法等,则只 有肥2通过"支付宝"客户端对二维码进行解析时,才会同时采集校验信息并生成对应的校 验值,且Server在接收到来自肥2的网页验证请求时,只有当该网页验证请求中包含正确 规格的校验信息、采用正确的校验算法计算得到的校验值时,才会认为校验成功,允许发送 关联验证信息,否则不允许。
[0084] 比如肥2通过"支付宝"客户端采集和解析肥1上显示的二维码后,同时根据当前 时间点"2014年5月20日14点30分26砂"采集对应的校验信息为"2014. 5. 20. 14. 30. 26", 并利用MD5算法计算得到对应的校验值为"ecd03892667748090f0b91e8b3af6784";因此, 当Server接收到来自肥2的网页验证请求后,先判断校验信息"2014. 5. 20. 14. 30. 26"是 否满足预设的"年.月.日.时.分.砂"的规格,然后利用MD5算法计算该校验信息对应 的校验值,若Server计算得到的校验值与肥2发送的网页验证请求一致,则允许发送关联 验证信息,否则不允许。
[0085] 步骤418,Server在接收到来自肥2的网页验证请求时,判断其中是否包含网页唯 一标识信息,若包含,则为该网页唯一标识信息生成或选取关联验证信息。具体地,该关联 验证信息可W为图片、文字、动画等形式之一或其组合。
[0086]可选的,Server可W对网页验证限定时效性。具体地,Server可W记录接收到肥1 发送的条码数据获取请求或向肥I返回条码图形的第一时间点tl;而当Server在第二时 间点t2接收到来自肥2的网页验证请求时,可W计算tl和t2之间的时间差值At,如果 At《to(预设差值),则在满足其他条件的情况下,发送关联验证信息;否则即便满足其 他条件,仍然不发送关联验证信息。
[0087] 步骤420,Server将关联验证信息分别发送至对应于网页唯一标识信息的网页和 肥2,比如向对应于网页唯一标识信息的网页发送验证信息1、向肥2发送验证信息2。
[0088] 具体地,由于网页与Server之间的每次数据交互,都需要由该网页向Server发 起请求W及Server在响应消息中包含请求的数据,而Server不能够在没有接收到请求的 情况下,直接向该网页发送网页数据。因此,为了使得Server可W将验证信息1发送至对 应于网页唯一标识信息的网页,该网页在步骤406接收到来自Server的条码图形后,可W 向Server发送定时询问请求。比如肥1中的网页A在接收到Server返回的二维码后,向 Server发送包含对应于网页A的网页唯一标识信息的定时询问请求,实现对关联验证信息 的轮询,则Server在接收到来自肥2的网页验证请求中包含有网页A对应的网页唯一标识 信息时,即可在返回网页A的应答报文(对应于定时询问请求)中添加上述验证信息1。具 体地,肥1 可W通过如AJAX(Async虹onousJavascript+XML,异步JavaScript和XML)技术 或IFRAME技术等,实现对定时询问请求的发送操作。
[008引或者,Server在接收到来自肥1的网页A的条码数据获取请求时,可則尋肥1的 信息和网页A的网页唯一标识信息关联存储在Server内的关联表中,则Server在接收到 来自肥2的网页验证请求中包含有网页A对应的网页唯一标识信息时,通过查询上述关联 表,若存在相匹配的关联表项,即可将关联验证信息返回该关联表项对应的肥(比如此处 为肥1),W由其分配至网页A。
[0090] 步骤422,肥1中的网页A和肥2分别对接收到的验证信息1和验证信息2进行展 现。
[0091] 具体地,如图6所示,当肥2将包含网页唯一标识信息的网页验证请求发送至 Server后,Server将关联验证信息分别发送至肥1中的网页A和肥2,比如向肥1中的网 页A发送验证信息1、向肥2发送验证信息2,且验证信息1和验证信息2之间相互关联。 [009引其中,验证信息1和验证信息2之间的关联形式可W有很多,比如图7所示,验证 信息1和验证信息2可W相同,即均为图标"Q",当然还可W通过如"如果您打开的网页上 没有显示出上述图案,则可能是钓鱼网站,请您仔细辨别!"的语句,向用户做进一步说明。
[0093] 通过本申请的上述技术方案,即可对钓鱼网站进行准确识别:
[0094] 1)由于需要在网页上显示条码图形,并对该条码图形进行解析,则一些钓鱼网站 本身并没有生成条码图形,因而可W直接确认送些网页为钓鱼网站;
[0095] 2)钓鱼网站可能会抓取真正网页上的条码图形,并呈现在钓鱼网站的页面上。此 时,用户通过采集和解析该钓鱼网站上的条码图形,可W根据解析出的服务器地址访问服 务器,但由于钓鱼网站的网页数据是从钓鱼服务器上获取的,即钓鱼网页的加载过程中并 未与真实服务器建立数据交互关系,在真实服务器处并未记录关于该"钓鱼网页"的身份信 息,因而即便钓鱼网页试图向真实服务器请求数据,也会无法通过身份验证,从而无法通过 发送定时询问请求等形式与服务器保持联系和获取数据,则钓鱼网站将不会接收到关联验 证信息。具体地,比如可能会呈现为图8所示的形式,即用户终端上会接收到关联验证信 息,但浏览的网页上并不会接收到,则用户可W通过对比确定当前网页为钓鱼网站,比如该 网页的地址可能是"http://www.taobaol.com/"而非"http://www.taobao.com"。
[0096] 当然,钓鱼网站可能会在预设时间间隔内,自动在页面上呈现假的"关联验证信 息",比如图9所示,钓鱼网站会猜测J用户对页面进行验证的时间间隔(女口 30砂),并自动显 示"验证成功!当前页面为淘宝官网!"的信息;然而,由于钓鱼网站上的"关联验证信息" 并非真正的服务器发送,则用户终端上的关联验证信息可能显示为图形"〇",则用户可W 根据两者信息不一致,判断当前网站为钓鱼网站。
[0097] 因此,服务器应当预先建立包含尽可能多的"关联验证信息"的数据库,并随机从 中选择"关联验证信息"W用于当前的网页验证过程,则即便钓鱼网站利用W前得知的"关 联验证信息"来模仿网页防伪验证的过程,也会由于用户终端和钓鱼网站上的"关联验证信 息"不一致,使得用户能够轻易分辨出钓鱼网站。同时,服务器应当定期更新上述数据库,W 降低"关联验证信息"被钓鱼网站猜中的概率。
[0098] 对应于上述的网页防伪验证的方法,本申请还