Web Security Intro
17
Средства за безопасност и Средства за безопасност и защита на Web-приложения защита на Web-приложения или как да предпазим или как да предпазим собствените си Web- собствените си Web- страници страници Красимира Миладинова Йорданова Магистър спец. Информатика гр. 30, ф№7661
-
Upload
logman-graduate-school-on-knowledge-economy -
Category
Technology
-
view
1.840 -
download
3
description
Web Security Intro
Transcript of Web Security Intro
Средства за безопасност и Средства за безопасност и защита на Web-защита на Web-
приложения или как да приложения или как да предпазим собствените си предпазим собствените си
Web-страници Web-страници
Красимира Миладинова ЙордановаМагистър
спец. Информатикагр. 30, ф№7661
Във връзка с нашумялото хакерстване са необходими Във връзка с нашумялото хакерстване са необходими методи за предпазване на Web-страниците ни, както и методи за предпазване на Web-страниците ни, както и защита на Web-приложенията. Създадени са различни защита на Web-приложенията. Създадени са различни средства като едно от най-използваните е криптирането. средства като едно от най-използваните е криптирането.
Криптографията е наука, използваща метематиката, за да криптира и декриптира информация. Тя дава възможност за съхраняване на чувствителна информация или изпращане през несигурни мрежи (например Internet) така, че тя да не може да бъде прочетена от никой, с изключение на този, за когото е предзначена.
КриптиранетоКриптирането
Криптирането се използва, за да се осигури скриването на информацията от тези, за които тя не е предзначена. Информацията, която може да бъде прочетена и разбрана без някакви специални усилия се нарича открит текст (plaintext). Методът на преобразуване на открития текст така, че да се скрие неговото съдържание, се нарича криптиране (encryption). Криптираният текст е нечетаем и се нарича ciphertext. Процесът на преобразуването на кодирания текст в неговият оригинал се нарича декриптиране.
Криптиране със секретен и Криптиране със секретен и обществен ключ обществен ключ
• Основното предимство на криптирането с обществен ключ пред това със секретен ключ е, че персоналните ключове никога не се предават. Това прави този тип криптография по-сигурна и удобна. В една система със секретен ключ, е необходимо предаване на ключовете, което е свързано с рискове. Освен това при работа със секретни ключове механизма на идентифициране се осъществява трудно. Когато един цифров подпис използва инфраструктура с обществен ключ се налага предаване на секретна информация. За да се избегне отказ на плащане се налага трета страна да проверява идентичността.
Степени на криптиранеСтепени на криптиране
• Слаби - Такива са текстовите документи, защитени с парола от текстообработваща програма. Този тип програми използват криптиране с много ниска степен и с помощта на прости средства може да се разбере използваната парола;
• Устойчиви - С използването на технология за симетрично криптиране може да се създаде устойчива защита, но слабата страна на тези технологии е в това, че при предаване на ключа през несигурни мрежи той може да се прихване;
• Силни - С използването на технология с обществен ключ, предаването на ключа през несигурни мрежи е безопасно;
• - Такива са One-Time Pads. Този тип система използва ключ, чиято дължина е колкото дължината на съобщението и който не може да бъде декриптиран със средствата, с които е извършено криптирането.
Криптогарфския алгоритъмКриптогарфския алгоритъм
Криптогарфският алгоритъм е математическа функция, използвана при процесите на криптиране и декриптиране. Криптографският алгоритъм работи в комбинация с ключ (key) - дума, число или фраза, за да криптира открития текст. Един и същ открит текст, криптиран с различни ключове, дава различен кодиран текст. Сигурността на криптираната информация зависи изцяло от две неща: устойчивостта на криптографския алгоритъм и тайната на ключа.
SSL протоколSSL протокол
SSL, съкращение от Secure Sockets Layer, е протокол, разработен от Netscape, за пренасяне на лични документи през Интернет. Данните се криптират с частен ключ, след което се предават по SSL връзка. Web сайтове, които работят с този протокол обикновено имат URL с префикс "https:" вместо "http:".
SSL протоколSSL протокол
Това е протокол, който защитава вашата информация, като я пренася през интернет в криптиран формат, като използва два кода за криптиране на информацията – публичен, които се познава от всички и секретен, познаваем само за получателя на съобщението SSL се грижи за това изпратената информация да остане непроменена и я изпраща само до сървъра, до който сте определили да достигне. Подържа се от почти всички съвременни браузъри и много устройства за комуникация.
Средства за сигурност и Средства за сигурност и защита на даннитезащита на данните
●RSA-Rivest, Shamir и Adleman-Използва криптографска система с две двойки числа дава много опростена представа за RSA алгоритъма, чийто математически апарат е естествено много по-сложен.
Средства за сигурност и Средства за сигурност и защита на даннитезащита на данните
●DES-Data Encryption Standard-широко и стандартно използван симетричен криптографски алгоритъм с "ключ".
Средства за сигурност и Средства за сигурност и защита на даннитезащита на данните
●SSL-Secure Sockets Layer-Използването на DES или друг симетричен алгоритъм, с "ключ", който се генерира за всяка сесия, криптира се с RSA и се обменя между страните дава представа за прилагания широко в момента SSL протокол.
Средства за сигурност и Средства за сигурност и защита на даннитезащита на данните
●TTS-Third Trusted Party-SSL предполага наличието на "трета доверена страна", която да увери общуващите в тяхната идентичност като регистрира публичната им информация и им предостави сертификат за автентичност.
Средства за сигурност и защита Средства за сигурност и защита на даннитена данните
●SET-техническа спецификация за осигуряване предаването на поверителна информация по открити мрежи. SET е разработен от Visa и MasterCard, с участието на компании като Microsoft, IBM, Netscape, SAIC, GTE, Terisa Systems и Verisign.
Типове асиметрични ключове Типове асиметрични ключове използвани от различни участници използвани от различни участници при електронна търговия в SETпри електронна търговия в SET
Ключ за подписи – Digital Signature Key – за идентифициране собственика на картата.
Ключ за шифриране на данните – Key-Exchange Key.
Ключ за подписване на сертификатите – Certificate Signature Key.
Ключ за подписване на списъка с оттеглени (отзовани) сертификати CRL– CRL Signature Key.
Препоръчвани размери на ключоветеПрепоръчвани размери на ключовете
Размера на асиметричните ключове използувани в протокола SET не е фиксиран и може да се променя във времето. Към настоящия момент са препоръчителни дадените в таблицата размери на ключовете. От дължината на ключовете зависи криптоустойчивостта на алгоритъма, а също така и ресурсоемкостта при шифрирането на съобщенията. По принцип се използува алгоритъм RSA, който се смята за един от най надеждните и до сега не са открити слабости в него.
.htaccess файл .htaccess файл
С помощта на файла .htaccess може да се направят много полезни настройки за Web-страниците, които разработваме. Чрез този файл не само може да се засекрети самата страница или просто някоя директория от презентацията с парола, а можете и да се променят или добавят настройки в Апаче сървъра по желание. Файлът се създава под Windows и трябва да се конвертира в UNIX модул.
.htaccess файл .htaccess файл
Най-често използваната настройка е засекретяване на уеб страница или дадена директория от нея с парола. За тази цел освен файлът .htaccess трябва да се създаде и още един файл на име .htpasswd, в който трябва да се зададат потребителското име и паролата на потребителя, който единствено ще има достъп до защитената директория.
http://www-it.fmi.uni-sofia.bg/courses/BonI/mainframe.html?target=chapter7.html&title=7
