Describe web security - Authentificate app using server service
Video: ( Nguồn: Thầy Phạm Anh Đới)
https://docs.google.com/file/d/0B02__pgky2brNUpubnBDekdLYUU/edit
Vấn đề của web:
https://docs.google.com/file/d/0B02__pgky2brNUpubnBDekdLYUU/edit
Vấn đề của web:
- Web giúp chúng ta tiếp cận thế giới mở hơn, dễ hơn. Nhưng
đó lại cũng là rủi ro, thách thức khi chúng ta phải đón nhận tất cả các loại tấn
công từ bên ngoài có thể có.
- Nếu chúng ta cùng ở trong 1 Intranet thì việc kiểm soát
người dùng dễ hơn rất nhiều, nhưng ở đây chúng ta không phải chỉ có Intranet nữa
mà chúng ta ở đây là Internet.
Những cơ chế để đảm bảo bảo mật:
- Xét xác thực, xét người đang đăng nhập hệ thống của mình
- Phân quyền vào file hệ thống
- Kiểm soát người dùng
- Dùng SSL để vận chuyển dữ liệu
- Mô hình bảo mật ngôn ngữ Java
- Firewalls
Những cơ chế để xác thực:
- HTTP Basic:
Khi người dùng đăng nhập vào trang
web hoặc 1 tài nguyên nào đó được bảo vệ thì server sẽ kích hoạt 1 cửa sổ từ
phía client để người dùng đăng nhập, và khi người dùng đăng nhập vào thì thông
tin đó sẽ được chuyển qua header của HTTP và sẽ gửi đến server. Nếu người dùng
này có quyền hợp lệ thì server sẽ cho người dùng này tiếp tục truy xuất các tài
nguyên, còn không thì sẽ đẩy người dùng này ra.
Có thể nói HTTP Basic ko được mã
hóa bởi vì hình thức mã hóa của nó rất dễ để có thể lấy ngược lại nên sẽ có
cách thứ 2.
- HTTP Digest:
Password bây giờ được mã hóa bằng
md5, sha nên việc lấy cắp password rất khó khăn.
- Form-based:
Tạo form HTML như bình thường để
người dùng đăng nhập vào, và giao diện sẽ đẹp hơn.
- HTTPS client
Không có nhận xét nào:
Đăng nhận xét