b tl internet
TRANSCRIPT
Bài Tập Lớn: An Toàn Internet Và Bài Tập Lớn: An Toàn Internet Và Thương Mại Điện TửThương Mại Điện Tử
Đề tài :Giao thức http,proxy,gateway,tuner,thông Đề tài :Giao thức http,proxy,gateway,tuner,thông điệp của http,nguy cơ mất an toàn http,bảo mật điệp của http,nguy cơ mất an toàn http,bảo mật
giao dịch webgiao dịch web
Sinh viên thực hiện: Sinh viên thực hiện:
Vũ Bảo ToànVũ Bảo Toàn
Lê Thị Yến NgaLê Thị Yến Nga
Nguyễn Anh Tuấn BNguyễn Anh Tuấn B
HỌC VIỆN KỸ THUẬT MẬT MÃHỌC VIỆN KỸ THUẬT MẬT MÃKHOA CÔNG NGHỆ THÔNG TINKHOA CÔNG NGHỆ THÔNG TIN
Những nội dung chínhNhững nội dung chínhI. Giới thiệu chungI. Giới thiệu chung
Giao thức http Giao thức http ProxyProxy GatewayGateway TunnelTunnel
II. Thông điệp của giao thức HttpII. Thông điệp của giao thức Http
III.Nguy cơ mất an toàn HttpIII.Nguy cơ mất an toàn Http
VI.Bảo mật giao dịch webVI.Bảo mật giao dịch web
1:Giao thức Http1:Giao thức Http
HTTPHTTP ( (Tiếng AnhTiếng Anh: : HyperText Transfer ProtocolHyperText Transfer Protocol - - Giao thức truyền tải Giao thức truyền tải siêu văn bảnsiêu văn bản) là một trong năm giao thức chuẩn về mạng ) là một trong năm giao thức chuẩn về mạng InternetInternet, được , được dùng để liên hệ thông tin giữa Máy cung cấp dịch vụ (Web server) và Máy dùng để liên hệ thông tin giữa Máy cung cấp dịch vụ (Web server) và Máy sử dụng dịch vụ (Web client) là giao thức Client/Server dùng cho sử dụng dịch vụ (Web client) là giao thức Client/Server dùng cho World World Wide WebWide Web--WWWWWW, , HTTPHTTP là một giao thức ứng dụng của bộ giao thức là một giao thức ứng dụng của bộ giao thức TCP/IPTCP/IP (các giao thức nền tảng cho Internet). (các giao thức nền tảng cho Internet).
HTTP cũng được dùng như một giao thức chung cho việc truyền thông giữa HTTP cũng được dùng như một giao thức chung cho việc truyền thông giữa các user agent và các proxy/gateway đến các hệ thống Internet khác, kể cả các user agent và các proxy/gateway đến các hệ thống Internet khác, kể cả việc được hỗ trợ bởi các giao thức SMTP, NNTP, FTP, Gopher, và WAIS. việc được hỗ trợ bởi các giao thức SMTP, NNTP, FTP, Gopher, và WAIS.
2:Proxy2:Proxy
Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn. Proxy cung cấp cho người sử dụng truy xuất internet với những host đơn. Những proxy server phục vụ những nghi thức đặt biệt hoặc một tập những Những proxy server phục vụ những nghi thức đặt biệt hoặc một tập những nghi thức thực thi trên dual_homed host hoặc basion host. Những chương nghi thức thực thi trên dual_homed host hoặc basion host. Những chương trình client của người sử dung sẽ qua trung gian proxy server thay thế cho trình client của người sử dung sẽ qua trung gian proxy server thay thế cho server thật sự mà người sử dụng cần giao tiếp. server thật sự mà người sử dụng cần giao tiếp.
Một máy chủ trung chuyển proxy có thể là phục vụ,đáp ứng yêu cầu từ máy Một máy chủ trung chuyển proxy có thể là phục vụ,đáp ứng yêu cầu từ máy khách.Hoặc chuyển tiếp yêu cầu đó cho một máy chủ kháckhách.Hoặc chuyển tiếp yêu cầu đó cho một máy chủ khác
Máy khách xách định được proxy và có thể thiết lập cụ thể một máy chủ Máy khách xách định được proxy và có thể thiết lập cụ thể một máy chủ proxy nào đó trong trình duyệtproxy nào đó trong trình duyệt
Proxy có thể là “Trong suốt” không thay đổi yêu cầu cũng như phản hồi Proxy có thể là “Trong suốt” không thay đổi yêu cầu cũng như phản hồi hoặc”không trong suốt”nếu nó cung cấp thêm một số dịch vụ gia tăng ví dụ hoặc”không trong suốt”nếu nó cung cấp thêm một số dịch vụ gia tăng ví dụ như nặc danhnhư nặc danh
3.Gateway3.Gateway Gateway cho phép nối ghép hai loại giao Gateway cho phép nối ghép hai loại giao
thức với nhau. Ví dụ: mạng của bạn sử thức với nhau. Ví dụ: mạng của bạn sử dụng giao thức IP và mạng của ai đó sử dụng giao thức IP và mạng của ai đó sử dụng giao thức IPX, Novell, DECnet, dụng giao thức IPX, Novell, DECnet, SNA… hoặc một giao thức nào đó thì SNA… hoặc một giao thức nào đó thì Gateway sẽ chuyển đổi từ loại giao thức Gateway sẽ chuyển đổi từ loại giao thức này sang loại khác.này sang loại khác.
Qua Gateway, các máy tính trong các Qua Gateway, các máy tính trong các mạng sử dụng các giao thức khác nhau mạng sử dụng các giao thức khác nhau có thể dễ dàng “nói chuyện” được với có thể dễ dàng “nói chuyện” được với nhau. Gateway không chỉ phân biệt các nhau. Gateway không chỉ phân biệt các giao thức mà còn còn có thể phân biệt giao thức mà còn còn có thể phân biệt ứng dụng như cách bạn chuyển thư ứng dụng như cách bạn chuyển thư điện tử từ mạng này sang mạng khác, điện tử từ mạng này sang mạng khác, chuyển đổi một phiên làm việc từ xa…chuyển đổi một phiên làm việc từ xa…
4.Tunnel4.Tunnel
Tunnel chuyển tiếp giữa 2 kết nối .Nó không thay đổi thông điệp và cũng không có cache.Tunnel có thể dùng để thiết lập kết nối qua lớp trong gian(FW) hoặc cho biện pháp bảo mật
II:Thông điệp của HttpII:Thông điệp của Http(( HTTP Message) HTTP Message)
HTTP là một giao thức kiểu client/server; client đưa ra các request, và HTTP là một giao thức kiểu client/server; client đưa ra các request, và server sẽ trả lời các request này. Cấu trúc các HTTP message vì thế server sẽ trả lời các request này. Cấu trúc các HTTP message vì thế cũng thay đổi theo yếu tố này. Có một định dạng cho HTTP request và cũng thay đổi theo yếu tố này. Có một định dạng cho HTTP request và cho các response. cho các response.
II:Thông điệp của HttpII:Thông điệp của Http(( HTTP Message)(tiếp) HTTP Message)(tiếp)
HTTP RequestHTTP Request Mỗi request bắt đầu với một Request-Line. Dòng này chỉ ra Mỗi request bắt đầu với một Request-Line. Dòng này chỉ ra phương thức mà client yêu cầu, tài nguyên, và phiên bản của HTTP mà phương thức mà client yêu cầu, tài nguyên, và phiên bản của HTTP mà client có thể hỗ trợ. client có thể hỗ trợ.
Request-Line có thể có tiếp sau một hay nhiều header và một message Request-Line có thể có tiếp sau một hay nhiều header và một message body.body. Phần header có thể mô tả quá việc truyền dữ liệu, xác định các yêu Phần header có thể mô tả quá việc truyền dữ liệu, xác định các yêu cầu hay phần message body kèm theo.cầu hay phần message body kèm theo.
II:Thông điệp của HttpII:Thông điệp của Http(( HTTP Message)(tiếp) HTTP Message)(tiếp)
HTTP Response khá giống với HTTP Request. Dấu hiệu khác biệt duy nhất HTTP Response khá giống với HTTP Request. Dấu hiệu khác biệt duy nhất là response bắt đầu với một dòng trạng thái status so với Request-Line. là response bắt đầu với một dòng trạng thái status so với Request-Line. Status-Line, cũng giống như Request-Line, chứa ba mục ngăn cách bởi các Status-Line, cũng giống như Request-Line, chứa ba mục ngăn cách bởi các khoảng trống. khoảng trống.
Một HTTP response bắt đầu với một Status-Line và có thể chứa các header Một HTTP response bắt đầu với một Status-Line và có thể chứa các header và một message body. Header có thể mô tả quá trình truyền dữ liệu, xác và một message body. Header có thể mô tả quá trình truyền dữ liệu, xác định response, hoặc phần body kèm theo.định response, hoặc phần body kèm theo.
III:Nguycơ mất an toàn HttpIII:Nguycơ mất an toàn Http
Rò rỉ thông tin nhạy cảm trong headerRò rỉ thông tin nhạy cảm trong header2.2. Tất cả các header http chứa thông tin máy chủ máy khách,proxy đều chụi Tất cả các header http chứa thông tin máy chủ máy khách,proxy đều chụi
nguy hiểm tiềm tàng .VD:deader server cho thấy phiên bản phần mềm máy nguy hiểm tiềm tàng .VD:deader server cho thấy phiên bản phần mềm máy chủ.Tin tặc có thể tấn công vào lỗ hổng bảo mật của phiên bảnchủ.Tin tặc có thể tấn công vào lỗ hổng bảo mật của phiên bản
3.3. Tương tự với Header User-agent chứa thông tin phiên bản phần mềm máy Tương tự với Header User-agent chứa thông tin phiên bản phần mềm máy khách ,header form chứa địa chr IP hoặc e-mail người dùngkhách ,header form chứa địa chr IP hoặc e-mail người dùng
4.4. Header Referer có thể chứa URI của tài liệu được yêu cầu, hoặc.Máy chủ có Header Referer có thể chứa URI của tài liệu được yêu cầu, hoặc.Máy chủ có thể dùng trường này để tối ưu cache.Tuy nhiên ngay cả khi Http được mã thể dùng trường này để tối ưu cache.Tuy nhiên ngay cả khi Http được mã hóa thì header vẫn không được mã hóa ,vẫn có thể bị lộhóa thì header vẫn không được mã hóa ,vẫn có thể bị lộ
III:Nguy cơ mất an toàn HttpIII:Nguy cơ mất an toàn Http Bảo mật cacheBảo mật cache
III:Nguy cơ mất an toàn HttpIII:Nguy cơ mất an toàn Http
WebCache :WebCache : Web Caches được sử dụng bởi trình duyệt và các web proxy server để lưu Web Caches được sử dụng bởi trình duyệt và các web proxy server để lưu
trữ các dữ liệu trả về từ web server có thể tái sử dụng. Web Cache làm giảm trữ các dữ liệu trả về từ web server có thể tái sử dụng. Web Cache làm giảm lưu lượng thông tin truyền đi trên mạng, từ đó giúp giảm băng thông. Ngoài lưu lượng thông tin truyền đi trên mạng, từ đó giúp giảm băng thông. Ngoài ra Web Cache còn làm giảm số lượng các Request tới Web Server do phần ra Web Cache còn làm giảm số lượng các Request tới Web Server do phần lớn các Request được trả về ngay tại Cache, từ đó giúp giảm tải cho web lớn các Request được trả về ngay tại Cache, từ đó giúp giảm tải cho web server, tiết kiệm tài nguyên cho server để làm các công việc khác.server, tiết kiệm tài nguyên cho server để làm các công việc khác.
Với web thì đầu vào là các Url và các tham số, do vậy ta có thể thấy Với web thì đầu vào là các Url và các tham số, do vậy ta có thể thấy dòng dữ liệu từ đầu vào đến đầu ra của như sau :dòng dữ liệu từ đầu vào đến đầu ra của như sau :
Request -(1)-> [Controller/Action -(2)-> [[Model -(3)-> DB -(4)]-> Request -(1)-> [Controller/Action -(2)-> [[Model -(3)-> DB -(4)]-> View -(5)]] -> ResponseView -(5)]] -> Response
Và như trên ta có thể thấy ở mỗi bước có thể nhảy cóc sang bước Và như trên ta có thể thấy ở mỗi bước có thể nhảy cóc sang bước khác hoặc có thể tới ngay Respone nếu như có dữ liệu lưu trên bộ khác hoặc có thể tới ngay Respone nếu như có dữ liệu lưu trên bộ nhớ Cache.nhớ Cache.
VI:Bảo mật giao dịch webVI:Bảo mật giao dịch web
1.Kiểm tra đường link trang web bán hàng một cách kỹ càng1.Kiểm tra đường link trang web bán hàng một cách kỹ càng2. Chỉ thanh toán trên các trang web sử dụng giao thức https2. Chỉ thanh toán trên các trang web sử dụng giao thức https
3. Chỉ mua sản phẩm từ các trang web có uy tín3. Chỉ mua sản phẩm từ các trang web có uy tín4. Không bao giờ nhấn vào đường link của các email spam4. Không bao giờ nhấn vào đường link của các email spam5. Chỉ sử dụng máy tính và Internet tại nhà để giao dịch5. Chỉ sử dụng máy tính và Internet tại nhà để giao dịch6. Không ghi các thông tin tài khoản ra giấy hoặc lưu trên máy tính6. Không ghi các thông tin tài khoản ra giấy hoặc lưu trên máy tính7. Sử dụng trình duyệt bản mới nhất để thanh toán trực tuyến7. Sử dụng trình duyệt bản mới nhất để thanh toán trực tuyến8. Sử dụng tường lửa và các phần mềm bảo mật8. Sử dụng tường lửa và các phần mềm bảo mật
VI:Bảo mật giao dịch webVI:Bảo mật giao dịch webBảo mật và xác thực các giao dịch web (SSL)Bảo mật và xác thực các giao dịch web (SSL)
Bảo mật và xác thực trực tiếp giữa máy chủ web và người dùng cuối cả Bảo mật và xác thực trực tiếp giữa máy chủ web và người dùng cuối cả phía bên trong và bên ngoài bức tường lửa. Xác thực các giao dịch bằng phía bên trong và bên ngoài bức tường lửa. Xác thực các giao dịch bằng chứng thực số giúp phát hiện website nào là chính thống, website nào là chứng thực số giúp phát hiện website nào là chính thống, website nào là nhái.nhái.
Bảo mật đường truyền, xác thực người dùng và máy chủBảo mật đường truyền, xác thực người dùng và máy chủ
VI:Bảo mật giao dịch webVI:Bảo mật giao dịch web( Https,Shttp)( Https,Shttp)
THE ENDTHE END