Mặc dù có thể tạo ra một kênh kết nối thông tin an toàn giữa client và máy chủ thông qua việc sử dụng SSL để bảo mật và chứng thực thông tin, nhưng không phải tất cả các vấn đề bảo mật đã được giải quyết hết, đặc biệt là các vấn đề về tính riêng tư (privacy and anonymity).
2.2.4.1. Giả mạo web (Web Spoofing)
Web spoofing là một dạng lừa đảo (phishing). Kẻ tấn công tạo ra một bản sao của một trang web nào đó nhằm kiểm soát thông tin giữa web client và web browser của nạn nhân nhằm lấy thông tin cá nhân hoặc các thông tin nhạy cảm khác.
Hình 2.23 Giả mạo web
Kẻ tấn công có thể lừa nạn nhân vào trang web giả mạo bằng các cách sau:
11. Đặt một liên kết đến trang web giả mạo trên một
12. Gửi email đến nạn nhân và dẫn nạn nhân đến trang web giả mạo.
13. Dùng các công cụ tìm kiếm để đưa nạn nhân đến
trang web giả mạo.
14. Lợi dụng các lỗi khi gõ địa chỉ vào trình duyệt của
người dùng, ví dụ: MICR0SOFT.COM, gooogle.com.. để dẫn nạn nhân đến trang web giả mạo.
Giao diện của trang web giả mạo rất giống với trang gốc vì vậy rất khó để người dùng có thể nhận biết đó là một trang web giả mạo. Cách đơn giản nhât là xem nguồn của trang web trả về.
Vài trang web giả mạo còn sử dụng SSL để thiết lập kết nối đến trang web giả mạo của mình, người dùng có thể bị mắc bẩy nếu không kiểm tra thông tin về chứng nhận SSL và dễ dàng tin rằng một kết nối an toàn đã được thiết lập giữa trình duyệt của người dùng và máy chủ thật. Chứng thực giả có thể rất giống với chứng thực của trang web thực, tên có thể chứa một vài lỗi chính tả rất khó phân biệt.
2.2.4.2. Sự vi phạm tính riêng tư
Thông tin riêng của người dùng có thể bị lộ trong quá trình truy cập thông qua:
15. Referer header: như đã được đề cập ở phần trên,
trường referer trong HTTP header có thể tiết lộ thông tin riêng tư của người dùng.
16. Cookies là một phần mở rộng của HTTP, dùng lưu
trữ thông tin trạng thái trên máy người dùng khi viếng thăm một trang web. Sử dụng cookies giúp web máy chủ có thể lưu lại các thông tin liên quan đến người dùng như các thông tin các sản phẩm trong giỏ hàng đang mua… để máy chủ web có thể sử dụng lại trong những lần viến thăm sau.
Một vài website sử dụng cookies để lưu lại thông tin đăng nhập và một vài thông tin khác về người dùng để giúp máy chủ web nhận ra được người dùng trong
những lần viếng thăm tiếp theo. Điều này sẽ rất nguy hiểm nếu như kẻ tấn công xâm nhập vào hệ thống và lấy các thông tin cá nhân từ trong cookies.
Một mối nguy cơ khác từ cookies là các trang website xấu có thể sử dụng cookies để đếm số lượt truy cập của người dùng vào website đó và có thể sử dụng thông tin này để phục vụ cho nhiều mục đích khác nhau như quảng cáo…
Nếu thông tin trong cookies không được bảo mật, người dùng có thể thay đổi các giá trị trong cookies.
Để có thể bảo mật những thông tin cá nhân và thông tin nhạy cảm trong cookies, các máy chủ web có thể sử dụng kỹ thuật chữ ký điện tử hoặc mã hóa thông tin trong cookies để xác thực và bảo mật thông tin trong cookies.
17. Log file: mỗi khi trình duyệt người dùng tải về một
trang web từ máy chủ web, một bản ghi thông thông tin sẽ được lưu lại trong tệp tin nhật ký (log file) trên máy chủ web. Bản ghi này bao gồm thông tin về địa chỉ IP, thời gian, URI và một vài thông tin khác. Những thông tin này có thể bị lạm dụng cho các mục đích khác nhau vi phạm quyền riêng tư của người dùng.
2.2.4.3. Lướt web ẩn danh (Anonymous Browsing)
Lướt web ẩn danh là kỹ thuật giúp người dùng có thể ẩn các thông tin về địa chỉ IP cũng như các thông tin cá nhân, riêng tư khác của mình trong quá trình duyệt web. Để làm được điều này người dùng có thể sử dụng một trong các cách sau:
18. Sử dụng một proxy server tin cậy: người dùng có thể
lướt web thông qua một proxy server để ẩn đi địa chỉ IP của mình với máy chủ web.
Hình 2.24 Sử dụng máy chủ proxy tin cậy để lướt web ẩn danh (adsbygoogle = window.adsbygoogle || []).push({});
19. Sử dụng các dịch vụ lướt web ẩn danh: sử dụng các
dịch vụ lướt web ẩn danh trên mạng cũng tương tự như sử dụng thông qua một proxy server ngoại trừ việc sẽ không có một thông tin nào được lưu lại trên hệ thống của dịch vụ.