Giải Pháp Về Bảo Mật:

Một phần của tài liệu Xây dựng WEBSITE mua bán sách tin học qua mạng với SEVERLET JSP và J2EE (Trang 78 - 79)

IV- Danh Sách Các Bảng Trong SQL SERVER:

1- Giải Pháp Về Bảo Mật:

- Một trong những cách thông thường để bảo vệ sự xâm nhập bất hợp pháp từ máy khách vào máy chủ là yêu cầu phía máy khách chứng thực quyền đăng nhập cho phép.

- Thông thường khi trình khách yêu cầu một tài nguyên nào đó được bảo vệ bởi trình chủ, trình chủ sẽ trả về yêu cầu phía máy khách hiển thị hộp thoại yêu cầu người dùng nhập vào username và password. Nếu máy khách nhập đúng thì trình chủ sẽ cho phép tài nguyên được sử dụng. Ngược lại, nếu nhập sai thì máy khách sẽ bị từ chối truy cập.

- Với giao thức HTTP việc gửi và nhận dữ liệu để chứng thực quyền truy cập bằng mật mã (điều khiển bởi trình chủ) thường được thực hiện theo hai cách : cách gởi mật mã giản đơn (basic authentication) và cách gửi mật mã băm (digest authentication).

+ Cách gởi mật mã giản đơn : được sử dụng khá phổ biến trên hầu hết các trình chủ Web. Khi máy khách yêu cầu một tài nguyên được bảo vệ, máy chủ sẽ gởi yêu cầu về máy khách yêu cầu nhập vào username và password. Thông tin này sẽ được mã hóa và chuyển về máy chủ đối chiếu. Nếu hợp lệ, máy chủ sẽ cho phép máy khách đăng nhập vào tài nguyên. Việc mã hóa thông tin về mật khẩu tại máy khách do browser đảm nhận và sử dụng thuật toán mã hóa Base64.

+ Cách gởi mật mã băm : được phát triển để khác phục điểm yếu của cách gởi mật mã giản đơn. Với cách này, mật mã do người dùng nhập vào không cần phải chuyển đi trên mạng (do đó hạn chế được khả năng mật khẩu bị đánh cắp). Khi máy khách yêu cầu tài nguyên được bảo vệ bằng máy chủ, máy chủ sẽ tính toán một mã số đặc biệt và trả về máy khách, yêu cầu người dùng nhập vào username và password. Mật khẩu nhập vào sẽ được trình khách (thường là browser) tính toán kết hợp với mã số của trình chủ theo một thuật toán đặc biệt để sinh ra một mã số khác. Mã số do máy khách sinh ra được gởi ngược về trình chủ. Máy chủ tính toán mã số do trình khách gởi trả theo thuật toán băm đến đúng vị trí chứa password do máy chủ lưu giữ. Cơ chế này không bảo đảm 100% an toàn trong quá trình trao đổi về thông tin chứng thực quyền truy cập giữa client/server. Tuy nhiên nó tốt hơn cách gởi mật mã giản đơn.

- Tuy nhiên, điều đáng quan tâm đó là dữ liệu truyền theo thức HTTP không được bảo vệ trong quá trình chuyển từ máy khách lên máy chủ. Hai kỹ thuật trên chỉ đề cập mã hóa password và giải mã password ở đầu gởi và đầu nhận, còn giao thức truyền vẫn là HTTP. Có một giải pháp khác đó là thay giao thức truyền HTTP bằng một giao thức truyền bảo mật hơn, đó là

giao thức mở rộng HTTPS (HTTP Security). Giao thức HTTPS cũng dựa trên HTTP nhưng sử dụng kỹ thuật mã hóa dữ liệu ở tầng Socket trước khi gởi đi (tầng này còn được gọi là Security Socket Layer hay SSL). Dữ liệu trên đường truyền cho dù có bị đọc được nhưng cũng khó có thể giải mã. Trên máy chủ bạn phải chạy thêm dịch vụ HTTPS dùng để tiếp nhận và giải mã. Dữ liệu chuyển từ máy chủ về máy khách theo giao thức HTTPS cũng sẽ được mã hóa.

- J2EE 1.3.1 hỗ trợ dịch vụ HTTPS chạy trên cổng 7000.

Một phần của tài liệu Xây dựng WEBSITE mua bán sách tin học qua mạng với SEVERLET JSP và J2EE (Trang 78 - 79)

Tải bản đầy đủ (PDF)

(85 trang)