Hầu như tất cả các doanh nghiệp, hầu hết các cơ quan chính phủ và nhiều cá nhân hiện có Các trang web. Số lượng cá nhân và công ty có quyền truy cập Internet đang mở rộng nhanh chóng và tất cả những người này đều có trình duyệt Web đồ họa. Kết quả là, các doanh nghiệp say mê thiết lập các cơ sở trên Web cho thương mại điện tử. Nhưng thực tế là Internet và Web cực kỳ dễ bị tổn thương bởi nhiều loại khác nhau. Khi các doanh nghiệp nhận thức được thực tế này, nhu cầu về các dịch vụ Web an toàn ngày càng tăng.
Các bài viết liên quan:
Chủ đề về bảo mật Web là một chủ đề rộng và có thể dễ dàng điền vào một cuốn sách. Trong chương này, chúng ta bắt đầu thảo luận về các yêu cầu chung đối với bảo mật Web và sau đó tập trung vào ba sơ đồ tiêu chuẩn hóa đang ngày càng trở nên quan trọng như một phần của thương mại Web và tập trung vào bảo mật trong quá trình vận chuyển lớp: SSL / TLS, HTTPS, và SSH.
Website sercurity
World Wide Web về cơ bản là một ứng dụng máy khách / máy chủ chạy trên Internet và mạng nội bộ TCP / IP. Do đó, các công cụ và cách tiếp cận bảo mật được thảo luận trong cuốn sách này có liên quan đến vấn đề bảo mật Web. Tuy nhiên, như đã chỉ ra trong [GARF02], Web đưa ra những thách thức mới thường không được đánh giá cao trong bối cảnh an ninh mạng và máy tính.
- Internet là hai chiều. Không giống như các môi trường xuất bản truyền thống — ngay cả các hệ thống xuất bản điện tử liên quan đến teletext, phản hồi bằng giọng nói hoặc fax-back — Web rất dễ bị tấn công vào các máy chủ Web qua Internet.
- Web đang ngày càng đóng vai trò là một phương tiện hiển thị cao cho các công ty và thông tin sản phẩm và làm nền tảng cho các giao dịch kinh doanh. Danh tiếng có thể bị tổn hại và có thể bị mất tiền nếu máy chủ Web bị lật đổ.
- Mặc dù các trình duyệt Web rất dễ sử dụng, các máy chủ Web tương đối dễ cấu hình và quản lý, và nội dung Web ngày càng dễ phát triển, phần mềm bên dưới thì phức tạp một cách phi thường. Phần mềm phức tạp này có thể ẩn chứa nhiều lỗi bảo mật tiềm ẩn. Lịch sử ngắn của Web chứa đầy các ví dụ về các hệ thống mới và được nâng cấp, được cài đặt đúng cách, dễ bị tấn công bởi nhiều loại tấn công bảo mật.
- Máy chủ Web có thể được khai thác như một bệ phóng vào toàn bộ tổ hợp máy tính của công ty hoặc cơ quan. Sau khi máy chủ Web bị lật đổ, kẻ tấn công có thể có quyền truy cập vào dữ liệu và hệ thống không phải là một phần của chính Web nhưng được kết nối với máy chủ tại trang cục bộ.
- Người dùng thông thường và chưa qua đào tạo (về vấn đề bảo mật) là khách hàng phổ biến của các dịch vụ dựa trên Web. Những người dùng như vậy không nhất thiết phải nhận thức được các rủi ro bảo mật tồn tại và không có công cụ hoặc kiến thức để thực hiện các biện pháp đối phó hiệu quả.
Xem thêm Dịch vụ bảo mật tối đa cho website
Các mối đe dọa về bảo mật web
Hình vẽ dưới cung cấp bản tóm tắt về các loại mối đe dọa bảo mật phải đối mặt khi sử dụng Web. Một cách để nhóm các mối đe dọa này là các cuộc tấn công thụ động và chủ động. Các cuộc tấn công thụ động bao gồm nghe trộm lưu lượng mạng giữa trình duyệt và máy chủ và giành quyền truy cập vào thông tin trên một trang Web được cho là bị hạn chế. Các cuộc tấn công chủ động bao gồm việc mạo danh một người dùng khác, thay đổi các thông điệp đang truyền giữa máy khách và máy chủ, và thay đổi thông tin trên một trang Web.
Một cách khác để phân loại các mối đe dọa bảo mật Web là về vị trí của mối đe dọa: Máy chủ web, trình duyệt Web và lưu lượng mạng giữa trình duyệt và máy chủ. Các vấn đề về bảo mật máy chủ và trình duyệt thuộc loại bảo mật hệ thống máy tính; Phần thứ tư của cuốn sách này đề cập đến vấn đề bảo mật hệ thống nói chung nhưng cũng có thể áp dụng cho bảo mật hệ thống Web. Các vấn đề về an ninh giao thông thuộc phạm trù an ninh mạng và được giải quyết trong chương này.
Các phương pháp tiếp cận bảo mật lưu lượng truy cập web
Có thể có một số cách tiếp cận để cung cấp bảo mật Web. Các cách tiếp cận khác nhau đã được coi là tương tự trong các dịch vụ mà họ cung cấp và,ở một mức độ nào đó, trong các cơ chế mà chúng sử dụng, nhưng chúng khác nhau về phạm vi áp dụng và vị trí tương đối của chúng trong ngăn xếp giao thức TCP / IP.
Hình dưới minh họa sự khác biệt này. Một cách để cung cấp bảo mật Web là sử dụng bảo mật IP (IPsec). Ưu điểm của việc sử dụng IPsec là nó được chuyển giao cho người dùng cuối và các ứng dụng và cung cấp một giải pháp có mục đích chung. Hơn nữa, IPsec bao gồm khả năng lọc để chỉ những lưu lượng được chọn cần phải chịu chi phí xử lý IPsec.
Xem thêm Kiểm tra lỗ hổng bảo mật Weak Transport Layer Security
Một giải pháp có mục đích chung khác là thực hiện bảo mật ngay trên TCP. Ví dụ quan trọng nhất của phương pháp này là Bảo mật.
So sánh các mối đe dọa trên web
Lớp Sockets (SSL) và phần tiếp theo Tiêu chuẩn Internet được gọi là Bảo mật tầng truyền tải (TLS). Ở cấp độ này, có hai lựa chọn triển khai. Đối với toàn bộ thông tin chung, SSL (hoặc TLS) có thể được cung cấp như một phần của bộ giao thức cơ bản và do đó sẽ minh bạch đối với các ứng dụng. Ngoài ra, SSL có thể được nhúng trong các gói cụ thể. Ví dụ, các trình duyệt Netscape và Microsoft Explorer được trang bị SSL và hầu hết các máy chủ Web đã triển khai giao thức này.
Các dịch vụ bảo mật dành riêng cho ứng dụng được nhúng trong ứng dụng cụ thể- cation. Chúng ta thấy các ví dụ về kiến trúc này. Lợi thế của điều này cách tiếp cận là dịch vụ có thể được điều chỉnh cho phù hợp với các nhu cầu cụ thể của một ứng dụng nhất định.
Xem thêm Dịch vụ bảo trì website
