標籤:cookie 基礎 認證通過 應用 用戶端 資源 session管理 欄位 2.0
第七章 確保Web安全的HTTPS1、HTTP的不足
通訊使用明文(不加密),內容可能被監聽不驗證通訊方的身份,因此可能遭遇偽裝無法驗證報文的完整性,所以有可能已遭篡改
2、通訊加密
1 通訊的加密2 內容的加密
3、通過查看對手的認證(SSL支援,第三方提供),來驗證通訊方4、HTTP常用MD5和SHA-1等散列值校正方法來確認檔案的數位簽章,但是這需要使用者親自檢查,瀏覽器無法自動幫使用者檢查。SSL提供認證和加密處理及摘要功能。5、HTTP + 加密 + 認證 + 完整性保護 = HTTPS6、共用秘鑰加密(加密和解密用同一把秘鑰)7、公開秘鑰加密(發送秘文的一方利用對方的公開秘鑰進行加密處理,對方收到被加密的資訊後,利用自己的私人秘鑰進行解密)8、HTTPS採用混合加密機制(在交換秘鑰環節使用公開秘鑰加密方式,之後的通訊交換報文階段則使用共用秘鑰加密方式)9、數位憑證的商務程序:首先,伺服器的運營人員向數位憑證認證機構提出公開秘鑰的申請;數位憑證機構在判明提出申請者的身份之後,會對已申請的公開秘鑰做數位簽章;然後,分配這個已經簽名的公開秘鑰,並將該公開秘鑰放入密鑰憑證後綁定在一起;伺服器會將這份密鑰憑證發送給用戶端,以進行公開秘鑰加密方式通訊;用戶端可使用數位憑證認證機構頒發的公開秘鑰,對那張認證上的數位簽章進行驗證,認證通過,證明伺服器的公開秘鑰是值得信賴的。 第八章 確認訪問使用者身份的認證1、認證,只有登陸者本人才知道的資訊
1 密碼:只有本人知道的字串資訊2 動態令牌:僅限本人持有的裝置內顯示的單次密碼3 數位憑證:僅限本人(終端)持有的資訊4 生物認證: 指紋或者虹膜等本人的生理資訊5 IC卡等:僅限本人持有的資訊
2、HTTP/1.1使用的認證方式
BASIC認證(基本認證,明文)DIGEST認證(摘要認證)SSL用戶端認證FormBase認證(基於表單認證)
3、基於表單驗證,會涉及Session管理及Cookie應用 第九章 基於HTTP的功能追加協議1、消除HTTP瓶頸的SPDY,旨在解決HTTP的效能瓶頸,縮短Web頁面的載入時間2、解決瓶頸的方法
1 Ajax 非同步JS達到局部重新整理,傳輸資料變少2 Comet 一旦伺服器有內容更新了,Comet不會讓請求等待,直接返迴響應,如果沒有更新,Comet會將響應置於掛起狀態。這是一種延遲應答,類比實現伺服器端向用戶端推送的功能。
3、SPDY沒有完全改寫HTTP,而是在TCP/IP的應用程式層與運輸層之間通過新加會話層的形式運作。同時。考慮到安全性,規定通訊中使用SSL。使用SPDY獲得以下功能:
多工,單一TCP串連,可以無限制處理多個HTTP請求賦予請求優先順序壓縮HTTP首部推送功能,支援伺服器主動向用戶端推動資料的功能伺服器提示功能,伺服器可以主動提示用戶端請求所需的資源,在資源已緩衝等情況下,可以避免發送不必要的請求
4、使用瀏覽器進行雙全工通訊的WebSocket,WebSocket是建立在HTTP基礎上的協議,因此串連的發起方仍是用戶端,一旦建立通訊串連,不論伺服器或者用戶端,任意一方都可直接向對方發送報文。(用戶端發送HTTP串連握手請求,在Upgrade欄位設定為WebSocket協議,通知伺服器更新連線協定)5、期盼已久的HTTP/2.0(7項技術討論)
1 多工2 TLS義務化3 協商4 用戶端拉拽 服務端推送5 壓縮6 流量控制7 WebSocket
第十章 構建Web內容的技術1、HTML2、CGI 指Web伺服器在接收到用戶端發送來的請求後轉給程式的一組機制。在CGI的作用下,程式會對請求內容作出相應的動作。 第十一章 Web的攻擊技術1、為伺服器為目標的主動攻擊,指攻擊者通過直接存取Web應用,把攻擊代碼傳入的攻擊方式。典型的攻擊方式有,SQL注入攻擊和OS命令注入攻擊2、以伺服器為目標的被動攻擊,指利用圈套策略執行攻擊代碼的攻擊模式,在被攻擊工程中,攻擊者不直接對目標Web應用訪問發起攻擊。典型的攻擊方式有,跨站指令碼攻擊和跨站請求偽造
圖解HTTP(三)