快捷搜索:  test  as

如何使Web更安全 - 3

建立一个加密连接,仅必要办事器得到势力巨子机构(如VeriSign)揭橥的证书。然则加密仅能阻拦进击者看到站点发送

和接管的数据,它并不能阻拦进击者捏造身份和对站点进行的恶意进击。

二、冒充成Web站点的合法造访者

现在我们已经知道若何鉴别一个Web站点,然则一个站点若何鉴别它的造访者呢?下面我们就接着评论争论这个问题。

大年夜部分Web办事器支持两个密码鉴别规划:基础密码鉴别和分类密码鉴别。两个规划都经由过程向浏览器发送鉴别旌旗灯号来进

行。当浏览器第一次收到鉴别旌旗灯号时,它显示一个对话框扣问用户的名字和密码。在基础鉴别模式中,浏览器以简单的文

本形式来通报用户名和密码。在分类鉴别模式中,浏览器传送用户名和密码的消息类。假如办事器发送它的证明,浏览器

就把登录信息存储起来。

假如你用Web办事器上的简单设置来实现这些剖断规划,Web利用法度榜样中不必要添加任何代码。

进击者的监听问题:假如造访者以简单的文本形式发送他的用户名和密码,进击者很轻易就可捕获到这些信息。传送

用户信息应用SSL可以很轻易地办理这个问题。如下面的例子所示。

User ID:

Password:

假如进击者不能监听Web站点和造访者之间的通信,他将要采取加倍鄙俚的手段——冒充成你的合法造访者。造成这种

环境呈现的缘故原由一样平常是造访者自己造成的,由于大年夜部分收集用户在密码拔取上不是很留神,他们的密码一样平常都不是很安

全。他们在登录各个站点时,爱好应用相同的用户名和密码。

办理这个问题的措施便是造访者在注册帐号时要应用安然的密码。Web站点最好具有能阻拦造访者设置英文单词作为密

码的功能,它可以建议用户应用数字和字母混杂而成的密码。

三、冒充成Web站点治理员

当造访者登录到你的站点时,你将会维持他们的身份不停有效,直到他们脱离该站点。那么若何实现这个功能呢?因

为在浏览器和办事器之间不会建立一个永远的连接,以是办事器会在收到每个页面哀求后只建立一个零丁的连接。

用户登录成功后办事器是若何证明该用户的身份呢?

谜底是浏览器保存了用户的姓名和密码。当浏览器和办事器再次连接时,浏览器将通报已经存储过的用户名和密码。

办事器使用用户数据库来证明这些信息,并会在此根基上作出容许和回绝造访的抉择。

前面我们提到过,浏览器经由过程对照带有办事器的数字证书的公着名字的URL来证明办事器的身份。这是一个很好的Web

安然警备步伐。然则它不能避免所有的冒充办事器的进击。

域名办事系统(DNS)可把易读的网址(例如www.yourunit.com)解析为IP地址,在你的安然链接中它是一个易遭受攻

击的链接。假如进击者造访了一个DNS办事器,并且改动了指向他的机械的记录,那么这个机械就可以把所有来自

www.yourunit.com站点的哀求整个重定向到www.attacker.com.。在重定向中,造访者的浏览器将显示默认的地址后缀。如

果字符串很长,使www.attacker.com不在视野之内,大年夜部分造访者都不会留意到。

假如进击者获得VeriSign为www.attacker.com揭橥的数字证书,那么造访者的浏览器将和www.attacker.com建立合法

的连接。假如造访者不反省数字证书,他不会知道自己在一个黑客站点上。假如进击者把他的站点冒充成为和

www.attacker.com的登录界面一样的话,他就能捕获到该客户的银行信用卡帐号。

您可能还会对下面的文章感兴趣: