|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
对用户来说可预见费用、节约费用,可以做到花少钱办大事。由于省去了购买软件和硬件等的前期费用,用户可以租用较高级的应用软件。ASP的收费是根据软件的类型、客制化程度、用户数量、服务期限来定的,对客户来说这笔费用是可以预见的。方便于客户应用软件的升级。web|平安 创建一个加密毗连,仅必要服务器取得威望机构(如VeriSign)发表的证书。可是加密仅能制止打击者看到站点发送
和吸收的数据,它其实不能制止打击者假造身份和对站点举行的歹意打击。
2、假装成Web站点的正当会见者
如今我们已晓得怎样判别一个Web站点,可是一个站点怎样判别它的会见者呢?上面我们就接着会商这个成绩。
年夜部分Web服务器撑持两个暗码判别计划:基础暗码判别和分类暗码判别。两个计划都经由过程向扫瞄器发送判别旌旗灯号来进
行。当扫瞄器第一次收到判别旌旗灯号时,它显现一个对话框扣问用户的名字和暗码。在基础判别形式中,扫瞄器以复杂的文
本情势来传送用户名和暗码。在分类判别形式中,扫瞄器传送用户名和暗码的动静类。假如服务器发送它的证明,扫瞄器
就把登录信息存储起来。
假如你用Web服务器上的复杂设置来完成这些判定计划,Web使用程序中不必要增加任何代码。
打击者的监听成绩:假如会见者以复杂的文本情势发送他的用户名和暗码,打击者很简单便可捕捉到这些信息。传送
用户信息利用SSL能够很简单地办理这个成绩。以下面的例子所示。
UserID:<inputtype="text"name="user">
Password:<inputtype="password"name="password">
假如打击者不克不及监听Web站点和会见者之间的通讯,他将要接纳加倍卑鄙的手腕――假装成你的正当会见者。形成这类
情形呈现的缘故原由通常为会见者本人酿成的,由于年夜部分收集用户在暗码拔取上不是很把稳,他们的暗码一样平常都不是很安
全。他们在登录各个站点时,喜好利用不异的用户名和暗码。
办理这个成绩的办法就是会见者在注册帐号时要利用平安的暗码。Web站点最好具有能制止会见者设置英文单词作为密
码的功效,它能够倡议用户利用数字和字母夹杂而成的暗码。
3、假装成Web站点办理员
当会见者登录到你的站点时,你将会坚持他们的身份一向无效,直到他们分开该站点。那末怎样完成这个功效呢?因
为在扫瞄器和服务器之间不会创建一个永世的毗连,以是服务器会在收到每一个页面哀求后只创建一个独自的毗连。
用户登录乐成后服务器是怎样证明该用户的身份呢?
谜底是扫瞄器保留了用户的姓名和暗码。当扫瞄器和服务器再次毗连时,扫瞄器将传送已存储过的用户名和暗码。
服务器使用用户数据库来证明这些信息,并会在此基本上作出同意和回绝会见的决意。
后面我们提到过,扫瞄器经由过程对照带有服务器的数字证书的私有名字的URL来证明服务器的身份。这是一个很好的Web
平安提防措施。可是它不克不及制止一切的假装服务器的打击。
域名服务体系(DNS)可把易读的网址(比方www.yourunit.com)剖析为IP地点,在你的平安链接中它是一个易蒙受攻
击的链接。假如打击者会见了一个DNS服务器,而且修正了指向他的呆板的纪录,那末这个呆板就能够把一切来自
www.yourunit.com站点的哀求全体重定向到www.attacker.com.。在重定向中,会见者的扫瞄器将显现默许的地点后缀。如
果字符串很长,使www.attacker.com不在视野以内,年夜部分会见者都不会注重到。
假如打击者失掉VeriSign为www.attacker.com发表的数字证书,那末会见者的扫瞄器将和www.attacker.com创建正当
的毗连。假如会见者不反省数字证书,他不会晓得本人在一个黑客站点上。假如打击者把他的站点假装成为和
www.attacker.com的登录界面一样的话,他就可以捕捉到该客户的银行信誉卡帐号。
</p>由于ASP提供的是一对多的服务,所以用户的一些特殊需求很难得到满足。 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 23:15:03
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜