http://vietjack.com/http/index.jsp Copyright © vietjack.com Bảo mật HTTP HTTP sử dụng cho giao tiếp thơng tin qua Internet, nhà lập trình ứng dụng, nhà cung cấp thơng tin, người sử dụng nên nhận biết giới hạn bảo vệ HTTP/1.1 Chương thảo luận không bao gồm giải pháp rõ ràng tới vấn đề đề cập đây, đưa số gợi ý để giảm rủi ro Sự rò rỉ thơng tin cá nhân Các Client thường giữ bí mật số lượng lớn thơng tin cá nhân tên người sử dụng, vị trí, địa mail, khóa mật mã hóa, … Vì bạn nên cẩn thận để ngăn cản rò rỉ thông tin qua giao thức HTTP tới nguồn khác • Tất thơng tin bí mật nên lưu Server mẫu mật mã hóa • Khám phá phiên phần mềm riêng Server cho phép thiết bị Server để trở lên dễ tổn thương bị công phần mềm mà biết tới lỗ hổng bảo mật • Các trạm ủy quyền mà phục vụ cửa thông qua tường lửa mạng nên thực biện pháp phòng ngừa đặc biệt tới việc truyền tải thông tin Header mà nhận diện host đằng sau tường lửa • Thơng tin gửi trường “From” xung đột với quyền lợi cá nhân người sử dụng sách bảo mật site, thế, khơng nên truyền tải mà khơng có giám sát người sử dụng để không cho phép, cho phép chỉnh sửa nội dung trường • Các Client không nên bao gồm trường Referer yêu cầu HTTP (khơng an tồn), trang hướng tới truyền trải với giao thức bảo mật • Các tác giả dịch vụ mà sử dụng giao thức HTTP không nên sử dụng mẫu dựa GET để chấp nhận liệu nhạy cảm, làm cho liệu mã hóa Request-URI http://vietjack.com/ Trang chia sẻ các bài học online miễn phí http://vietjack.com/http/index.jsp Copyright © vietjack.com Sự cơng dựa tên Path File Tài liệu nên giới hạn tới tài liệu mà trả yêu cầu HTTP tới tài liệu mà có dự định người quản lý Server Ví dụ, UNIX, Microsoft hệ điều hành khác sử dụng ` ` thành phần đường truyền để mức độ thư mục thư mục Trên hệ thống vậy, Server PHẢI không cho phép xây dựng Request-URI, khơng cho phép truy cập tới nguồn bên thư mục để truy cập thơng qua Server Việc đánh lừa DNS (DNS Spoofing) Các Client sử dụng HTTP chủ yếu dựa Dịch vụ tên miền (DNS), thường dễ bị công bảo mật dựa quên liên kết có chủ tâm địa IP tên DNS Vì Client cần ý giả sử tính hiệu lực tiếp tục liên kết IP/tên miền DNS Nếu Client ghi vào nhớ ẩn kết tra cứu tên host để đạt cải thiện hiệu suất, chúng phải theo dõi thông tin TTl báo cáo DNS Nếu Client khơng theo dõi quy luật này, chúng bị đánh lừa địa IP Server truy cập trước thay đổi Vị trí Header việc đánh lừa Nếu Server đơn hỗ trợ nhiều tổ chức mà không tin tưởng lẫn nhau, PHẢI kiểm tra giá trị trường Location Content Location phản hồi mà tạo điều khiển tổ chức nhắc đến để đảm bảo chúng không cố gắng chiếm lấy nguồn tài nguyên hiệu lực mà qua chúng khơng có ủy quyền Ủy nhiệm xác minh Các Client tồn user agent có đặc trưng ghi lại thơng tin xác minh cách mập mờ HTTP/1.1 không cung cấp phương thức cho Server để dẫn trực tiếp Client loại bỏ ủy nhiệm ghi vào nhớ ẩn mà nguy rủi ro bảo mật lớn Có số cơng việc xung quanh tới phần vấn đề này, khuyến khích sử dụng mật bảo vệ việc bảo vệ hình, thời gian rỗi, số phương thức khác mà làm giảm vấn đề an toàn cố hữu vấn đề http://vietjack.com/ Trang chia sẻ các bài học online miễn phí http://vietjack.com/http/index.jsp Copyright © vietjack.com Các ủy quyền việc ghi vào nhớ ẩn Các ủy quyền HTTP Server trung gian, tương ứng hội nguy cơng trung gian Các ủy nhiệm có truy cập tới thông tin bảo mật liên quan, thông tin cá nhân người sử dụng tổ chức, thông tin sở hữu riêng người sử dụng người cung cấp nội dung Các nhà điều hành ủy nhiệm nên bảo hệ thống mà ủy nhiệm chạy đó, họ bảo vệ hệ thống mà chứa truyền tải thông tin nhạy cảm Việc ghi vào nhớ ẩn ủy nhiệm tạo thêm lỗ hổng tiềm tàng, từ nội dung nhớ ẩn biểu diễn mực tiêu hấp dẫn cho khái thác ác ý Vì thế, nội dung nhớ ẩn phải bảo vệ thông tin nhạy cảm http://vietjack.com/ Trang chia sẻ các bài học online miễn phí ... Trang chia sẻ các bài học online miễn phí http: //vietjack.com /http/ index.jsp ... quanh tới phần vấn đề này, khuyến khích sử dụng mật bảo vệ việc bảo vệ hình, thời gian rỗi, số phương thức khác mà làm giảm vấn đề an toàn cố hữu vấn đề http: //vietjack.com/ ... Trang chia sẻ các bài học online miễn phí