web安全

  • 格式:doc
  • 大小:654.50 KB
  • 文档页数:3

前面的实验我们发现HTTP协议在GET、POST及其响应数据都是明文传输的,这在电子商务、电子政务应用中会出现商业利益和个人隐私问题,请通过动手实验或网络搜索调研:1 研究你所使用的WEB电子邮局是否存在账户、密码安全问题?
Google邮箱Gmail在国内的用户也是非常多的,用Google邮箱Gmail可以省去好多不必要的麻烦。

Google可以设置非常安全的登录Google账户的方式:两步验证,类似于设置动态密码,每次登录Google邮箱需要使用手机收取动态密码。

使用这个功能,即使别人窃取了用户的Google密码,也会因不能使用用户的手机而无法登录帐户。

动态密码(Dynamic Password)也称一次性密码,它指用户的密码按照时间或使用次数不断动态变化,每个密码只使用一次。

由于每次使用的密码必须由动态令牌来产生,而用户每次使用的密码都不相同。

登录你的Google Account吧,登录的时候除了要输入你原来的密码了,还要输入手机验证码,为了减少输入次数,用户可以选择每30天输入一次动态验证码。

所以这种密码验证相对其他邮箱更加安全,但是谷歌Gmail邮箱曾在软件错误之后,很多Gmail用户反映强烈,这是因为,谷歌Gmail邮箱的这次故障目前已经导致15万Gmail账户被删,更不用说邮件内容能保住了的。

虽然3月1日,谷歌已经表态:向外宣布说已经恢复了故障影响了0.08%的Gmail用户,但是还有大部分仍然深陷在水深火热当中。

这次谷歌Gmail邮箱的故障让之前一直没有被邮件安全意识所唤醒的人们变得草木皆兵,虽然目前也许有的客户还庆幸,悲剧还没有降临在自己的身上,但是他们也已经警觉到,Gmail邮箱的故障也会让他们面临相同的问题。

所以虽然现在邮箱看上去非常安全,但是存在的隐患不容忽视
2 目前有没有具有安全性更好的HTTP协议标准?提示:HTTPS和SSL
有,比如说HTTPS,是以安全为目标的HTTP通道,简单讲是HTTP的安全版。

即HTTP 下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。

它是一个URI scheme(抽象标识符体系),句法类同http:体系。

用于安全的HTTP数据传输。

https:URL 表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在
HTTP与TCP之间)。

这个系统的最初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

HTTPS和HTTP的区别:
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。

二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl加密传输协议。

三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。

四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。

SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。

TLS与SSL在传输层对网络连接进行加密。