Bài 4 Bảo mật cho website Kết nối bảo mật và giao thức SSL Xác thực cho website Mã hóa và giải mã dữ liệu Mục tiêu Bài 4 - Bảo mật cho website 2 Giới thiệu về kết nối bảo mật Lấy một chứng nhận bảo mật điện tử Yêu cầu một kết nối bảo mật Chuyển hướng một kết nối bảo mật Kết nối bảo mật và giao thức SSL Bài 4 - Bảo mật cho website 3 Hình ảnh một yêu cầu kết nối bảo mật: Kết nối bảo mật Bài 4 - Bảo mật cho website 4 Kết nối bảo mật (secure connection): ngăn chặn dữ liệu bị đọc được trong quá trình truyền tải qua Internet Kết nối được bảo mật thường chậm hơn kết nối thường: phải mã hóa và giải mã dữ liệu Cách xác định kết nối bảo mật: HTTPS Kết nối bảo mật Bài 4 - Bảo mật cho website 5 Hai loại giao thức: SSL (Secure Sockets Layer): giao thức cũ TLS (Transport Layer Security): giao thức mới, chỉ có các trình duyệt mới ra gần đây mới hỗ trợ Xác thực SSL phía máy chủ Xác thực SSL phía máy khách Một số khái niệm Bài 4 - Bảo mật cho website 6 Hình ảnh một chứng nhận bảo mật điện tử: Chứng nhận bảo mật điện tử Bài 4 - Bảo mật cho website 7 Chứng nhận phía máy chủ Chứng nhận phía máy khách Hai loại chứng nhận bảo mật điện tử Bài 4 - Bảo mật cho website 8 Trước khi kết nối được thiết lập, máy chủ sử dụng xác thực SSL phía máy chủ để tự xác thực bằng cách cung cấp một chứng nhận bảo mật điện tử cho trình duyệt Mặc định thì trình duyệt sẽ chấp nhận các chứng nhận bảo mật điện tử từ các nguồn tin cậy (trusted sources) Cơ chế làm việc của SSL Bài 4 - Bảo mật cho website 9 Nếu chứng nhận bảo mật không phải của nguồn tin cậy thì trình duyệt thông báo để người dùng tự quyết định Trong một vài trường hợp, máy khách có thể tự xác nhận với xác thực SSL phía máy khách bằng cách cài sẵn chứng nhận bảo mật điện tử Cơ chế làm việc của SSL Bài 4 - Bảo mật cho website 10 [...]... require_once('util/valid_admin.php'); ?> Bài 4 - Bảo mật cho website 28 Hình ảnh minh họa cho xác thực cơ bản Bài 4 - Bảo mật cho website 29 Trang web được bảo vệ Bài 4 - Bảo mật cho website 30 Trang web không được xác thực Bài 4 - Bảo mật cho website 31 Mảng $_SERVER cho xác thực cơ bản Thành phần: PHP_AUTH_USER PHP_AUTH_PW Bài 4 - Bảo mật cho website 32 Ví dụ Mã PHP đảm bảo tài khoản người dùng là đúng:... http://localhost/book_apps.ch21_ssl/ Bài 4 - Bảo mật cho website 13 Địa chỉ kiểm tra kết nối bảo mật trên Internet //Yêu cầu một kết nối bảo mật https://www.murach.com/ //Trả về một kết nối thông thường http://www.murach.com/ Bài 4 - Bảo mật cho website 14 Mảng $_SERVER Thành phần: HTTPS HTTP_HOST REQUEST_URI Bài 4 - Bảo mật cho website 15 File chuyển hướng tới kết nối bảo mật Bài 4 - Bảo mật cho website 21 Form đăng nhập cho xác thực dạng form Bài 4 - Bảo mật cho website 22 Trang web được bảo vệ (protected page) Bài 4 - Bảo mật cho website 23 Mã điều khiển cho trang web được bảo vệ Đoạn mã ở đầu trang đăng nhập: Bài 4 - Bảo mật cho website 27 Áp dụng Đoạn mã ở đầu các trang được bảo vệ: Bài 4 - Bảo mật cho website 16 Sử dụng xác thực (authentication) Ba loại xác thực Sử dụng xác thực dạng form Sử dụng xác thực cơ bản Bài 4 - Bảo mật cho website 17 Ba loại xác thực Xác thực dạng form: Cho phép nhà phát triển viết form đăng nhập để lấy tên tài khoản và mật khẩu Cho phép chỉ yêu cầu tên tài khoản và mật khẩu một lần duy nhất trong mỗi phiên làm... và mật khẩu trước khi gửi lên máy chủ Bài 4 - Bảo mật cho website 18 Ba loại quá trình xác thực Xác thực cơ bản: Trình duyệt hiển thị hộp thoại để lấy tên tài khoản và mật khẩu Đòi hỏi trình duyệt gửi tên tài khoản và mật khẩu cho mỗi trang được bảo vệ Mặc định không mã hóa tên tài khoản và mật khẩu trước khi gửi lên máy chủ Xác thực rút gọn: Trình duyệt hiển thị hộp thoại để lấy tên tài khoản và mật. .. mcrypt Cách mã hóa và giải mã dữ liệu Lớp chứa dữ liệu được mã hóa Bài 4 - Bảo mật cho website 35 Thư viện mcrypt PHP cung cấp sẵn thư viện mcrypt để hỗ trợ mã hóa và giải mã dữ liệu Một số khái niệm: Cipher Chế độ hoạt động (mode of operation) CBC (cipher-block chaining) Vector khởi tạo (Initialization Vector - IV) Bài 4 - Bảo mật cho website 36 ... } Bài 4 - Bảo mật cho website 24 Mã điều khiển cho trang web được bảo vệ //Thực thi hành động switch($action) { case 'login': $email = $_POST['email']; $password = $_POST['password']; if (is_valid_admin_login($email, $password)) { $_SESSION['is_valid_admin'] = true; include('view/admin_menu.php'); } else { $login_message = 'You must login to view this page'; include('view/login.php'); } break; Bài 4 . Bài 4 Bảo mật cho website Kết nối bảo mật và giao thức SSL Xác thực cho website Mã hóa và giải mã dữ liệu Mục tiêu Bài 4 - Bảo mật cho website 2 Giới thiệu về kết nối bảo mật Lấy một. bảo mật điện tử Yêu cầu một kết nối bảo mật Chuyển hướng một kết nối bảo mật Kết nối bảo mật và giao thức SSL Bài 4 - Bảo mật cho website 3 Hình ảnh một yêu cầu kết nối bảo mật: Kết nối bảo mật Bài. phần: HTTPS HTTP_HOST REQUEST_URI Mảng $_SERVER Bài 4 - Bảo mật cho website 15 File chuyển hướng tới kết nối bảo mật Bài 4 - Bảo mật cho website 16 <?php //Đảm bảo trang web sử dụng kết nối bảo mật if (!isset($_SERVER['HTTPS']))