HỌC VIỆN CƠNG NGHỆ BƯU CHÍNH VIỄN THƠNG KHOA VIỄN THÔNG I TIỂU LUẬN HỌC PHẦN INTERNET VÀ GIAO THỨC ĐỀ TÀI TÌM HIỂU VỂ GIAO THỨC HTTP Giảng viên: PGS.TS NGUYỄN TIẾN BAN Nhóm tiểu luận: 07 Sinh viên: ĐỖ VĂN VIỆT – B18DCVT437 HỒ PHI TUÂN – B18DCVT373 PHẠM NGỌC BÌNH – B18DCVT037 CAO XUÂN BÁCH – B18DCVT029 HÀ NỘI – 2021 MỤC LỤC DANH MỤC HÌNH VẼ THUẬT NGỮ VIẾT TẮT URL Giao thức truyền tin siêu văn Giao thức truyền tin siêu văn Hypertext Transper Protocol Secure bảo mật Transmission Control Protocol / Bộ giao thức Internet Internet Protocol Uniform Resource Locator Định vị tài nguyên DNS Domain Name System Hệ thống tiên miền SSL Secure Sockets Layer Lớp bảo vệ socket TLS Transport Layer Secure Bảo vệ lớp giao vận URI Uniform Resource Identifier Định dạng tài nguyên RTT Round Trip Time Thời gian vòng truyền tin TTL Time to Live Thời gian tồn MITM Man in the middle attack Tấn công xen HTTP HTTPS TCP/IP Hypertext Transper Protocol MỞ ĐẦU Hiện nay, mạng Internet vấn đề bùng nổ toàn cầu Việc xuất mạng Internet giúp ích nhiều cho đời sống người Có nhiều giao thức mạng sử dụng Internet tùy vào mục đích khác độ tiện dụng Trong phải kể đến giao thức HTTP – Giao thức truyền tin siêu văn HTTP sử dụng truy nhập Web Bài Tiểu luận trình bày nội dung sau: Chương 1: Nêu khái niệm HTTP, số đặc điểm giao thức Chương 2: Giới thiệu loại kết nối HTTP sử dụng Chương 3: Trình bày nguyên lý hoạt động truyền tin Chương 4: Giới thiệu cấu trúc tin HTTP làm rõ thành phần Chương 5: Trình bày khái niệm Cookie lợi ích Chương 6: Khái niệm lưu đệm Web (Web-Cache) tầm quan trọng Chương 7: Trình bày vấn đề bảo mật HTTP phiên giao thức HTTPS Sự mã hóa thơng tin cho phép ký hiệu hóa thơng tin hay sử dụng ký hiệu quy ước để biểu diễn tin dạng phù hợp Chính nhờ mã hóa, nhìn thấy hay hiển thị thơng tin có chất khái niệm (thơng tin hiểu biết người) Đối với hệ thống truyền tin, việc mã hóa cho phép tăng tính hữu hiệu độ tin cậy hệ thống truyền tin, nghĩa tăng tốc độ truyền tin khả chống nhiễu hệ thống Trong nội dung tiểu luận trình bày sở lý thuyết phương pháp xây dựng mã hiệu tối ưu, mã hiệu chống nhiễu số vấn đề Điều kiện phân tách mã hiệu, Giới thiệu mã hệ thống mã có dấu phân tách Bên cạnh nội dung lý thuyết liên quan tới mã hiệu trình bày Chương I, tiểu luận cịn đề cập đến lớp lớp quang, nằm nội dung điều khiển quản lý mạng quang trình bày Chương II CHƯƠNG 1: TỔNG QUAN VỀ GIAO THỨC HTTP 1.1 Khái niệm giao thức HTTP HTTP tên viết tắt từ Hyper Text Transfer Protocol: Giao thức truyền dẫn siêu văn đời vào năm 1990 Là giao thức truyền tải siêu văn nằm tầng ứng dụng (Application layer), cung cấp giao thức trực tiếp với người dùng HTTP, SMTP, POP, DHCP,FTP) tập giao thức TCP/IP, sử dụng để truyền nhận liệu hệ thống phân tán thông qua internet HTTP dùng www (world wide web) với mục đích tạo nên tảng kết nối client server cách thực q trình Request-Response hệ thống máy tính khác Quá trình giao tiếp dựa message (bản tin) độc lập Giao thức HTTP hoạt động theo mơ hình Máy khách – Máy chủ (Client-Server):  Client: Trình duyệt yêu cầu (request), nhận, thị đối tượng Web, sử dụng TCP port 80 Đại diện cho loại thiết bị chương trình nào, PC, smartphone…  Server: Gửi đối tượng để đáp ứng (response) lại yêu cầu client Được dùng để máy tính đám mây Hình 1.1 Mơ hình gửi tin request-response client server HTTP giao thức cho phép trao đổi sử dụng nguồn tài nguyên khác Trang Web chứa đối tượng đối tượng file HTML, hình ảnh JPEG, ứng dụng Java, file audio (chẳng hạn HTML doc: doc hoàn chỉnh tạo nên từ nhiều doc bao gồm văn bản, layout, media, video, script…) đối tượng xác định địa URL Trong URL có thành phần:     Protocol: giao thức tầng ứng dụng sử dụng client server Hostname: tên DNS domain Port: Cổng TCP để server lắng nghe request từ client Path-and-file-name: Tên vị trí tài ngun u cầu Hình 1.2 Ví dụ địa URL 1.2 HTTPS gì? Khi tìm hiểu HTTP, ta bắt gặp thuật ngữ HTTPS Vậy HTTPS gì? HTTPS phiên an tồn HTTP Nó tên viết tắt cụm từ Hypertext Transfer Protocol Secure, nghĩa giao thức truyền tải siêu văn bảo mật HTTPS hoạt động khơng khác HTTP ngồi việc bổ sung thêm giao thức SSL(Secure Sockets Layer) TLS(Transport Layer Secure) nhằm mục đích ngăn chặn xâm nhập từ bên ngồi Khi kết nối máy chủ máy khách hoạt động, HTTPS tiến hành xác minh danh tính nhanh chóng mã hóa thơng tin trao đổi, tránh trường hợp hacker xâm nhập đánh cắp liệu 1.3 Đặc điểm giao thức HTTP HTTP có ba đặc điểm bật mà người sử dụng cần quan tâm: HTTP có thiết kế đơn giản: Đây đặc điểm bật giao thức HTTP Giao thức HTTP giao thức dễ dàng hiểu sử dụng Mục đích xuất HTTP tạo cơng cụ thật thân thiện, sử dụng dễ dàng đối tượng Các HTTP message có cấu tạo đơn giản để người sử dụng đọc hiểu HTTP có khả mở rộng: HTTP sở hữu tính linh hoạt cao Nó khơng có giới hạn nâng cấp mở rộng Thậm chí, cần thỏa thuận thống client server tính HTTP hình thành HTTP stateless (khơng có trạng thái) Server Client biết yêu cầu Sau đó, hai chúng quên tất Bởi phản hồi HTTP độc lập nên người dùng tạo liên kết thông tin phản hồi Điều trở thành nhược điểm trường hợp người dùng cần có tương tác mạch lạc bổ trợ cho nhau, ví dụ shopping cart trang thương mại điện tử Để khắc phục vấn đề này, HTTP cho phép mở rộng tự header Trong đó, người dùng tự tạo cho session request nhằm mục đích chia sẻ ngữ cảnh trạng thái request với Sở dĩ trường hợp thực thân HTTP stateless 1.4 Giao thức HTTP mơ hình TCP/IP Hình 1.3 HTTP tầng ứng dụng tập giao thức TCP/IP Bộ giao thức TCP/IP giao thức truyền thông cài đặt chồng giao thức mà Internet hầu hết mạng máy tính thương mại chạy Bộ giao thức đặt tên theo hai giao thức TCP (Transmission Control Protocol - Giao thức điều khiển truyền vận) IP (Internet Protocol - Giao thức Internet)  Network Access Layer xác định chi tiết về cách thức liệu gửi qua mạng, thiết bị phần cứng trực tiếp giao tiếp với môi trường mạng, chẳng hạn cáp đồng trục, cáp quang hay dây đồng xoắn đôi Các giao thức bao gồm Network Access Layer Ethernet, Token Ring, FDDI, X.25, Frame Relay  Internet Layer đóng gói liệu vào gói liệu biết đến dạng gói tin thơng giao thức Internet Protocol, chứa địa nguồn đích (địa logic địa IP) sử dụng để chuyển tiếp gói tin máy chủ qua mạng  Transport Layer cho phép thiết bị máy chủ nguồn đích đến trao đổi liệu Transport Layer xác định mức độ service trạng thái kết nối sử dụng vận chuyển liệu.Trong có giao thức lớp Transport TCP (Transmission Control Protocol) Sử dụng TCP, ứng dụng máy chủ nối mạng tạo "kết nối" với nhau, mà qua chúng trao đổi liệu gói tin Giao thức đảm bảo chuyển giao liệu tới nơi nhận cách đáng tin cậy thứ tự  Các thực thể lớp Application cung cấp ứng dụng cho phép người dùng trao đổi liệu ứng dụng qua mạng Một số ứng dụng thường gặp chồng giao thức TCP/IP: FTP (File Transfer Protocol), DNS 1.5 Các lỗi thường gặp duyệt giao thức HTTP Trong trình dử sụng Web giao thức HTTP, người sử dụng gặp số lỗi sau đây: 10 cặp “Name:Value”, phân tách dấu chấm phẩy Ngồi sử dụng để gửi thêm tham số request/response Hình 4.12 Ví dụ minh họa Response Header Các trường tiêu đề phản hồi cho phép máy chủ chuyển thông tin bổ sung phản hồi mà đặt dòng trạng thái Các trường tiêu đề cung cấp thông tin máy chủ quyền truy cập sâu vào tài nguyên xác định URI yêu cầu Tên trường tiêu đề phản hồi mở rộng cách đáng tin cậy kết hợp với thay đổi phiên giao thức Tuy nhiên, trường tiêu đề thử nghiệm cung cấp ngữ nghĩa trường tiêu đề phản hồi tất bên giao tiếp nhận chúng trường tiêu đề phản hồi Các trường tiêu đề không công nhận coi trường tiêu đề thực thể Body Phần cuối phản hồi phần thân Phần thân thực thể gửi với yêu cầu phản hồi HTTP có định dạng mã hóa xác định trường tiêu đề thực thể Một phần thân thực thể xuất thông báo phần nội dung thông báo có mặt Thực thể lấy từ nội dung thư cách giải mã mã hóa chuyển giao áp dụng cho đảm bảo chuyển thơng điệp an tồn thích hợp Các phần thân tài nguyên đơn lẻ, bao gồm tệp có độ dài biết, xác định hai tiêu đề: Content-Type Content-Length 27 4.3 Type Length 4.3.1 Type Khi phần thân thực thể bao gồm thông báo, kiểu liệu phần thân xác định thơng qua trường tiêu đề Content-Type ContentEncoding Những điều xác định mơ hình mã hóa hai lớp, có thứ tự: entity-body: = Content-Encoding (Content-Type (dữ liệu)) Content-Type định loại phương tiện liệu Mã hóa nội dung sử dụng để biểu thị mã nội dung bổ sung áp dụng cho liệu, thường cho mục đích nén liệu, thuộc tính tài nguyên yêu cầu Khơng có mã hóa mặc định Bất kỳ thơng báo HTTP / 1.1 chứa phần thân thực thể nên bao gồm trường Content-Type tiêu đề xác định loại phương Nếu loại phương tiện không cung cấp trường Content-Type, người nhận cố gắng đốn loại phương tiện thơng qua kiểm tra nội dung phần mở rộng tên URI sử dụng để xác định nguồn tài nguyên 4.3.2 Length Độ dài thực thể thông báo độ dài nội dung thông báo trước áp dụng mã chuyển giao Thông báo không bao gồm trường tiêu đề độ dài nội dung mã hóa chuyển khơng nhận dạng Nếu thơng báo bao gồm mã hóa chuyển giao không nhận dạng, độ dài nội dung phải bị bỏ qua Khi độ dài nội dung đưa thơng báo nội dung thơng báo phép, giá trị trường phải xá khớp với số lượng OCTET nội dung thư Tác nhân người dùng HTTP / 1.1 phải thông báo cho người dùng chiều dài nhận phát 28 CHƯƠNG 5: TƯƠNG TÁC NGƯỜI SỬ DỤNG – MÁY CHỦ: COOKIE 5.1 Khái niệm Cookies Cookies tệp trang web người dùng truy cập tạo Cookie giúp trải nghiệm trực tuyến bạn dễ dàng cách lưu thông tin duyệt web Với Cookies, trang web trì trạng thái đăng nhập bạn, ghi nhớ tùy chọn trang web cung cấp nội dung phù hợp với vị trí người dùng Như vậy, Cookies thường sử dụng để lưu lại thơng tin người dùng trình duyệt web Các thông tin lưu dạng file cookies Cookies gồm có loại:  Cookies bên thứ trang web mà người dùng truy cập tạo Trang web hiển thị địa  Cookies bên thứ ba trang web khác tạo Các trang web sở hữu số nội dung quảng cáo hình ảnh mà người dùng thấy trang web truy cập 5.2 Cơng dụng Cookies trình duyệt Web HTTP sử dụng cookie Các cookie định nghĩa RFC 2965, cho phép điểm truy nhập bám vết người sử dụng Hầu hết trang Web thương mại ngày sử dụng cookie Cookies giúp việc truy cập Website người dùng nhanh hơn, tiện lợi hơn, không nhiều thời gian đăng nhập lại nhiều lần Đối với doanh nghiệp, việc sử dụng Cookie giúp họ theo dõi hành vi người dùng, từ biết họ thường truy cập hay nhiều, thời gian hay sở thích khác để tối ưu hóa Website, dịch vụ Ngồi ra, việc lưu trữ Cookies doanh nghiệp giúp khách hàng họ thuận tiện việc truy cập hay đơn giản việc nhập liệu website trở nên tiện lợi thông tin lưu trữ 29 5.3 Ưu nhược điểm Cookies Ưu điểm:  Cookie giúp người dùng truy cập trang mạng nhanh tiện lợi nhiều Và điểm đặc biệt không nhiều thời gian để truy cập lại nhiều lần  Các doanh nghiệp sử dụng Cookie để theo dõi hành vi người dùng Để lấy liệu thơng tin: lượt truy cập hay nhiều, thời gian truy cập, thơng tin khách hàng u thích tìm kiếm,… Từ phân tích hành vi khách hàng để tối ưu website, sản phẩm, dịch  Khách hàng thuận tiện việc truy cập nhập liệu web với thông tin lưu trữ Nhược điểm: Cookie chất file lưu trữ thơng tin người truy cập Web, thông tin rơi vào tay kẻ xấu/hacker mang tính chất nguy hiểm người dùng Các hacker theo dõi hoạt động sử dụng người dùng mang tính cá nhân để lấy cắp thơng tin Chúng đột nhập vào hệ thống Web máy tính cá nhân để lấy cắp thông tin người dùng 5.4 Hoạt động Cookie HTTP Hình 5.13 Cookie giữ trạng thái người sử sụng Web 30 Hình 5.1 thể bốn thành phần Cookie: (1) Dòng tiêu đề cookie tin đáp ứng HTTP; (2) Dòng tiêu đề cookie tin yêu cầu HTTP; (3) Tệp cookie giữ hệ thống đầu cuối người sử dụng trình duyệt người sử dụng quản lý; (4) Cơ sở liệu đầu cuối (back-end) trang Web Giả sử A thường truy nhập Internet qua trình duyệt X máy tính PC nhà, kết nối lần đầu tới trang thương mại Amazon.com Giả sử trước A vào trang eBay Khi yêu cầu truy vấn tới máy chủ Web Amazon.com máy chủ tạo số nhận dạng (ID) tạo mục sở liệu đầu cuối xếp theo số nhận dạng ID Sau máy chủ Web Amazon đáp ứng tới trình duyệt A, bao gồm tiêu đề Set-cookie: đáp ứng HTTP, chứa số nhận dạng Ví dụ: dịng tiêu đề là: Set-cookie: 1678 Khi trình duyệt A nhận tin đáp ứng HTTP này, nhìn vào tiêu đề Set-cookie: Trình duyệt thêm dịng tới tệp cookie đặc biệt mà quản lý Dịng gồm tên máy chủ số nhận dạng tiêu đề Set-cookie Chú ý tệp cookie có sẵn dịng cho eBay, A vào trang trước Khi A tiếp tục duyệt trang Amazon, lần A yêu cầu trang Web trình duyệt tham khảo tệp cookie A, trích lấy số nhận dạng cho trang đưa dòng tiêu đề cookie có chứa số nhận dạng vào yêu cầu HTTP Đặc biệt, yêu cầu HTTP A tới máy chủ Amazon có dịng tiêu đề Cookie: 1678 Theo cách này, máy chủ Amazon bám vết hành động A trang Amazon Mặc dù trang Web Amazon khơng cần biết tên A, song biết xác trang mà người sử dụng 1678 ghé thăm theo thứ tự nào, vào thời điểm Amazon dùng cookie để cung cấp dịch vụ giỏ bán hàng (shopping cart) – Amazon trì danh sách hàng mà A quan tâm, trả tiền mua chúng cuối phiên 31 Nếu A trở lại trang Amazon tuần sau trình duyệt A tiếp tục đưa dòng tiêu đề Cookie: 1678 tin yêu cầu Amazon khuyến nghị sản phẩm với Susan dựa trang Web mà A ta ghé thăm Amazon trước Nếu A tự đăng ký với Amazon – cung cấp đầy đủ tên, địa email, địa bưu thơng tin thẻ tín dụng Amazon có thơng tin sở liệu mình, chứa tên số nhận dạng A (và tất trang mà A vào trước đây) Đấy cách mà Amazon trang thương mại điện tử khác cung cấp dịch vụ “one-click shopping” (mua bán qua cú nhấp chuột) – A chọn mua bán vật ghé thăm, A gõ lại tên, số thẻ tín dụng hay địa Từ ta thấy cookie dùng để nhận dạng người sử dụng Khi người sử dụng lần đầu vào trang người sử dụng cung cấp nhận dạng người sử dụng (có thể tên) Trong phiên sau đó, trình duyệt chuyển tiêu đề cookie tới máy chủ, nhận dạng người sử dụng với máy chủ Do Cookie dùng để tạo lớp phiên người sử dụng đầu HTTP phi trạng thái Ví dụ, người sử dụng truy cập (log) vào ứng dụng thư điện tử Web (ví dụ Hotmail), trình duyệt gửi thông tin cookie tới máy chủ, cho phép máy chủ nhận dạng người sử dụng suốt phiên người sử dụng với ứng dụng 32 CHƯƠNG 6: WEB CACHING 6.1 Giới thiệu Web Cache – Lưu đệm Web Máy chủ đệm Web (Web Cache) gọi máy chủ Proxy, phần tử mạng thoả mãn yêu cầu HTTP đại diện cho máy chủ Web gốc Máy chủ đệm Web có kho lưu trữ riêng giữ đối tượng yêu cầu gần kho lưu trữ Web cache coi nhớ tạm thời cho liệu từ trang Web, lưu trữ liệu nhằm mục đích giảm lag server hoạt động Mục đích Web Cache nhằm cung cấp đáp ứng cho yêu cầu Client mà không cần tham gia Server ban đầu 6.2 Hoạt động Web Cache Trong Hình 6.1., người sử dụng thiết lập truy nhập Web qua cache Trình duyệt gửi toàn yêu cầu HTTP tới Cache  Nếu đối tượng yêu cầu có cache, cache trả đối  tượng Nếu không, cache yêu cầu đối tượng lên server ban đầu, sau nhận trả đối tượng cho client Hình 6.14 Minh họa cho Web Caching 33 Ví dụ: giả sử trình duyệt yêu cầu đối tượng http://www.abc.com/face.jpg Các hoạt động xảy sau: 1) Trình duyệt thiết lập kết nối TCP tới máy chủ đệm Web gửi yêu cầu HTTP đối tượng tới máy chủ đệm Web 2) Máy chủ đệm Web kiểm tra xem liệu có đối tượng kho lưu trữ khơng Nếu có, máy chủ đệm Web gửi trả đối tượng tin đáp ứng HTTP tới trình duyệt máy khách 3) Nếu máy chủ đệm Web khơng có đối tượng này, mở kết nối TCP tới máy chủ gốc (origin server), nghĩa tới www.abc.com Sau máy chủ đệm Web gửi yêu cầu HTTP đối tượng vào kết nối TCP từ đệm tới máy chủ Sau nhận yêu cầu này, máy chủ gốc gửi đối tượng đáp ứng HTTP tới máy chủ đệm Web 4) Khi máy chủ đệm Web nhận đối tượng này, lưu lưu trữ nội gửi tin đáp ứng HTTP tới trình duyệt khách (trên kết nối TCP sẵn có trình duyệt khách máy chủ đệm Web) Lưu ý, máy chủ đệm – Web Cache, vừa khách vừa chủ thời điểm Khi nhận yêu cầu từ trình duyệt gửi lại đáp ứng máy chủ Khi gửi yêu cầu nhận đáp ứng từ máy chủ gốc máy khách 6.3 Lợi ích sử dụng Web Cache Việc sử dụng máy chủ đệm Web Cache mang lại nhiều lợi ích cho người sử dụng nhà cung cấp, sau hai lợi ích mà Web Cache mang lại  Nếu đối tượng (trang Web) bạn cho phép, Web Cache tạo “bản sao” web hệt web nguồn phân tán giúp cho người dùng dễ dàng kết nối với web bạn  Giúp hạn chế độ tốn băng thơng Ví dụ tháng, với mức phí cho băng thông, nhu cầu truy cập khách hàng tăng cao server khơng thể đáp ứng Lúc doanh nghiệp nghĩ đến Web caching để tối ưu hóa Nhu cầu sử dụng Web ứng dụng trang Web ngày tăng cao, chắn tốn đến tài nguyên server lưu lượng băng thông Việc sử dụng Web Cache giúp người dùng từ truy cập dễ dàng nhanh 34 CHƯƠNG 7: BẢO MẬT TRONG GIAO THỨC HTTP Bảo mật vấn đề quan tâm hàng đầu mạng Internet HTTP sử dụng cho giao tiếp thơng tin qua Internet, nhà lập trình ứng dụng, nhà cung cấp thông tin, người sử dụng nên nhận biết giới hạn bảo vệ HTTP Chương đưa đưa số vấn đề bảo mật gợi ý để giảm rủi ro, nhiên khơng tìm hiểu sâu vấn đề 7.1 Đánh cắp thông tin cá nhân Client giữ thông tin quan trọng người dùng tên, vị trí, mật khẩu, … Vì vậy, việc rị rỉ thơng tin thơng qua q trình truy nhập Web cần phải lưu ý  Tất thơng tin bí mật nên lưu Server mẫu mật mã hóa  Khám phá phiên phần mềm riêng Server cho phép thiết bị Server để trở lên dễ tổn thương bị công phần mềm mà biết tới lỗ hổng bảo mật  Các trạm ủy quyền mà phục vụ cửa thông qua tường lửa mạng nên thực biện pháp phòng ngừa đặc biệt tới việc truyền tải thông tin Header mà nhận diện host đằng sau tường lửa  Thông tin gửi trường “From” xung đột với quyền lợi cá nhân người sử dụng sách bảo mật site, thế, khơng nên truyền tải mà khơng có giám sát người sử dụng để không cho phép, cho phép chỉnh sửa nội dung trường  Các Client không nên bao gồm trường Referer u cầu HTTP (khơng an tồn), trang hướng tới truyền trải với giao thức bảo mật  Các tác giả dịch vụ mà sử dụng giao thức HTTP không nên sử dụng mẫu dựa GET để chấp nhận liệu nhạy cảm, làm cho liệu mã hóa Request-URI 7.2 Tấn cơng dựa tên Path File Tài liệu trả nên giới hạn yêu cầu HTTP, tức Server không nên cung tâm thơng tin thêm ngồi tài liệu Ở muốn nói tới đường Path URL người dùng muốn truy nhập tới đối tượng, mà đối tượng đối tượng đối tượng khác thể qua đường dẫn URL 35 Ví dụ, UNIX, Microsoft hệ điều hành khác sử dụng ` ` thành phần đường truyền để mức độ thư mục thư mục Trên hệ thống vậy, Server PHẢI không cho phép xây dựng Request-URI, khơng cho phép truy cập tới nguồn bên thư mục để truy cập thơng qua Server 7.3 Đánh lừa DNS (DNS spoofing) Các Client sử dụng HTTP chủ yếu dựa Dịch vụ tên miền (DNS), thường dễ bị cơng bảo mật dựa quên liên kết có chủ tâm địa IP tên DNS Vì Client cần ý giả sử tính hiệu lực tiếp tục liên kết IP/tên miền DNS Nếu Client ghi vào nhớ ẩn kết tra cứu tên host để đạt cải thiện hiệu suất, chúng phải theo dõi thông tin TTL báo cáo DNS Nếu Client không theo dõi quy luật này, chúng bị đánh lừa địa IP Server truy cập trước thay đổi 7.4 Vị trí Header việc đánh lừa Nếu Server đơn hỗ trợ nhiều tổ chức mà khơng tin tưởng lẫn nhau, PHẢI kiểm tra giá trị trường Location Content Location phản hồi mà tạo điều khiển tổ chức nhắc đến để đảm bảo chúng không cố gắng chiếm lấy nguồn tài ngun khơng có hiệu lực mà qua chúng khơng có ủy quyền 7.5 Ủy nhiệm xác minh Các Client tồn user agent có đặc trưng ghi lại thơng tin xác minh cách mập mờ HTTP không cung cấp phương thức cho Server để dẫn trực tiếp Client loại bỏ ủy nhiệm ghi vào nhớ ẩn mà nguy rủi ro bảo mật lớn Có số cơng việc xung quanh tới phần vấn đề này, khuyến khích sử dụng mật bảo vệ việc bảo vệ hình, thời gian rỗi, số phương thức khác mà làm giảm vấn đề an toàn cố hữu vấn đề 36 7.6 Các ủy quyền việc ghi nhớ ẩn Các ủy quyền HTTP Server trung gian, tương ứng hội nguy công trung gian Các ủy nhiệm có truy cập tới thơng tin bảo mật liên quan, thông tin cá nhân người sử dụng tổ chức, thông tin sở hữu riêng người sử dụng người cung cấp nội dung Các nhà điều hành ủy nhiệm nên bảo hệ thống mà ủy nhiệm chạy đó, họ bảo vệ hệ thống mà chứa truyền tải thông tin nhạy cảm Việc ghi vào nhớ ẩn ủy nhiệm tạo thêm lỗ hổng tiềm tàng, từ nội dung nhớ ẩn biểu diễn mực tiêu hấp dẫn cho khái thác ác ý Vì thế, nội dung nhớ ẩn phải bảo vệ thông tin nhạy cảm 7.7 HTTP HTTPS Đối với giao thức HTTP, lữ liệu truyền dạng plain text, không mã hóa hay bảo mật, dần đến dễ bị nghe đánh cắp liệu Kiểu công gọi Man in the middle attack (MITM) hay gọi công xen Trong kiểu công này, xuất attacker có vai trị trung gian giả mạo thông tin liên lạc qua attacker Một số cách phá hoại hacker như:  Sniff packet để đọc liệu: Khi bạn gửi username password qua giao thức HTTP, hacker dễ dàng bắt đọc trộm packet mạng để biết username password bạn Bạn hay server khơng biết bị cơng  Sửa đổi packet: Điều nghiêm trọng hacker không đọc liệu bạn truyền qua giao thức http mà cịn sửa đổi liệu cách sửa packet làm nội dung bạn request đến server bị sai đương nhiên server trả liệu hiển thị mà bạn không mong muốn Bạn hay server khơng biết bị cơng 37 Hiện nay, cách phịng chống, bảo vệ liệu sử dụng phổ biến với HTTPS Tiếp theo, tìm hiểu giao thức HTTPS tăng cường bảo mật so với HTTP Vấn đề lớn giao thức HTTP giao thức khơng mã hóa Giao thức HTTPS (Hypertext Transfer Protocol Secure) kết hợp HTTP SSL, TSL sử dụng mã hóa để nhằm tạo nên rào chắn an ninh, bảo mật truyền tải thơng tin Một số giải pháp bảo mật trình bày sau: Mã hóa Đối xứng (symmetric key cryptography) Dữ liệu trao đổi bên mã hóa thống cách giải mã, cho dù attacker có bắt gói tin khơng thể giải mã khơng biết cách mã hóa Chìa khóa giải mã (key) Key chìa khóa giải mã cho liệu mã hóa gửi qua HTTPS Mã hóa đối xứng bảo mật có người gửi người nhận biết key sử dụng Những có vấn đề bên gửi bên nhận không gặp để thống thỏa thuận trước gửi khơng biết key Cịn gửi key packet khác quay lại HTTP làm cho attacker biết key, giải mã đánh cắp giả mạo packet Để giải dùng mã khóa khơng đối xứng Mã hóa khơng đối xứng (asymmetric key cryptography) Chúng ta tạm gọi bên gửi client bên nhận server Hình thức mã hóa đối xứng diễn sau:  Client gửi tin nhắn không chứa liệu không mã hóa lên server request  Server gửi lại cho client gói tin có chưa public key giữ lại private key server  Client gửi yêu cầu/ liệu mã hóa public key mà nhận từ server  Server nhận gói tin giải mã private key Vậy thông tin trao đổi client server mà không sợ bị attacker đọc trộm hay sửa đổi attacker khơng có private key 38 Kết hợp Mã hóa đối xứng Mã hóa khơng đối xứng Thay lần trao đổi client server lại phải thực bước trao đổi khóa xác thực khóa, áp dụng mã hóa đối xứng mã hóa khơng đối xứng cách trao đổi xác thực khóa giai đoạn đầu thiết lập kết nối, sau trao đổi thành cơng, client lưu lại khóa thực cho lần sau mà không cần phải trao đổi khóa lại 39 KẾT LUẬN Như vậy, tiểu luận trình bày khái niệm giao thức truyền tin siêu văn HTTP với nội dung liên quan giao thức Kết thúc tiểu luận, hiểu giao thức HTTP, trình truy nhập Internet thông qua Web giao thức HTTP để lấy đối tượng trình bày rõ ràng Mơ hình Client-Server với khuôn dạng tin HTTP đưa truyền tải tới người đọc Bên cạnh đó, giới thiệu sở hạ tầng ứng dụng Web máy chủ đệm (cache), cookies Đồng thời thể vấn đề bảo mật giao thức HTTP, giao thức HTTPS có độ tăng cường bảo mật cao 40 LỜI CẢM ƠN Kết thúc tiểu luận này, em xin gửi lời cảm ơn tới Giảng viên hướng dẫn môn Internet Giao thức, thầy Nguyễn Tiến Ban Những học giúp em phần hiểu mạng Internet giao thức mạng Internet Bằng kiến thức tiếp thu mà em hồn thành tiểu luận Em xin chân thành cảm ơn cô! 41 ... với HTTPS Tiếp theo, tìm hiểu giao thức HTTPS tăng cường bảo mật so với HTTP Vấn đề lớn giao thức HTTP giao thức khơng mã hóa Giao thức HTTPS (Hypertext Transfer Protocol Secure) kết hợp HTTP. .. 1.3 HTTP tầng ứng dụng tập giao thức TCP/IP Bộ giao thức TCP/IP giao thức truyền thông cài đặt chồng giao thức mà Internet hầu hết mạng máy tính thương mại chạy Bộ giao thức đặt tên theo hai giao. .. CHƯƠNG 1: TỔNG QUAN VỀ GIAO THỨC HTTP 1.1 Khái niệm giao thức HTTP HTTP tên viết tắt từ Hyper Text Transfer Protocol: Giao thức truyền dẫn siêu văn đời vào năm 1990 Là giao thức truyền tải siêu