SlideShare a Scribd company logo

Web Security Intro

Download as PPT, PDF
LogMan Graduate School on Knowledge Economy
LogMan Graduate School on Knowledge Economy

Web Security Intro

TechnologyBusiness
1 of 17
Downloaded 81 times
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Средства за безопасност и защита на Web-приложения или как да предпазим собствените си Web-страници Красимира Миладинова Йорданова Магистър спец. Информатика гр. 30, ф№7661
Във връзка с нашумялото хакерстване са необходими методи за предпазване на Web-страниците ни, както и защита на Web-приложенията. Създадени са различни средства като едно от най-използваните е криптирането. Криптографията е наука, използваща метематиката, за да криптира и декриптира информация. Тя дава възможност за съхраняване на чувствителна информация или изпращане през несигурни мрежи (например Internet) така, че тя да не може да бъде прочетена от никой, с изключение на този, за когото е предзначена.
Криптирането Криптирането се използва, за да се осигури скриването на информацията от тези, за които тя не е предзначена. Информацията, която може да бъде прочетена и разбрана без някакви специални усилия се нарича открит текст ( plaintext ). Методът на преобразуване на открития текст така, че да се скрие неговото съдържание, се нарича криптиране ( encryption). Криптираният текст е нечетаем и се нарича ciphertext . Процесът на преобразуването на кодирания текст в неговият оригинал се нарича декриптиране.
Криптиране със секретен и обществен ключ Основното предимство на криптирането с обществен ключ пред това със секретен ключ е, че персоналните ключове никога не се предават. Това прави този тип криптография по-сигурна и удобна. В една система със секретен ключ, е необходимо предаване на ключовете, което е свързано с рискове. Освен това при работа със секретни ключове механизма на идентифициране се осъществява трудно. Когато един цифров подпис използва инфраструктура с обществен ключ се налага предаване на секретна информация. За да се избегне отказ на плащане се налага трета страна да проверява идентичността.
Степени на криптиране Слаби - Такива са текстовите документи, защитени с парола от текстообработваща програма. Този тип програми използват криптиране с много ниска степен и с помощта на прости средства може да се разбере използваната парола; Устойчиви - С използването на технология за симетрично криптиране може да се създаде устойчива защита, но слабата страна на тези технологии е в това, че при предаване на ключа през несигурни мрежи той може да се прихване; Силни - С използването на технология с обществен ключ, предаването на ключа през несигурни мрежи е безопасно; - Такива са One-Time Pads. Този тип система използва ключ, чиято дължина е колкото дължината на съобщението и който не може да бъде декриптиран със средствата, с които е извършено криптирането.
Криптогарфския алгоритъм Криптогарфският алгоритъм е математическа функция, използвана при процесите на криптиране и декриптиране. Криптографският алгоритъм работи в комбинация с ключ ( key ) - дума, число или фраза, за да криптира открития текст. Един и същ открит текст, криптиран с различни ключове, дава различен кодиран текст. Сигурността на криптираната информация зависи изцяло от две неща: устойчивостта на криптографския алгоритъм и тайната на ключа.
SSL протокол SSL , съкращение от Secure Sockets Layer, е протокол, разработен от Netscape, за пренасяне на лични документи през Интернет. Данните се криптират с частен ключ, след което се предават по SSL връзка. Web сайтове, които работят с този протокол обикновено имат URL с префикс "https:" вместо "http:". 
SSL протокол Това е протокол, който защитава вашата информация, като я пренася през интернет в криптиран формат, като използва два кода за криптиране на информацията – публичен, които се познава от всички и секретен, познаваем само за получателя на съобщението SSL се грижи за това изпратената информация да остане непроменена и я изпраща само до сървъра, до който сте определили да достигне. Подържа се от почти всички съвременни браузъри и много устройства за комуникация.
Средства за сигурност и защита на данните RSA-Rivest, Shamir и Adleman -Използва криптографска система с две двойки числа дава много опростена представа за RSA алгоритъма, чийто математически апарат е естествено много по-сложен.
Средства за сигурност и защита на данните DES-Data Encryption Standard -широко и стандартно използван симетричен криптографски алгоритъм с "ключ".
Средства за сигурност и защита на данните SSL-Secure Sockets Layer-Използването на DES или друг симетричен алгоритъм, с "ключ", който се генерира за всяка сесия, криптира се с RSA и се обменя между страните дава представа за прилагания широко в момента SSL протокол.
Средства за сигурност и защита на данните TTS-Third Trusted Party -SSL предполага наличието на "трета доверена страна", която да увери общуващите в тяхната идентичност като регистрира публичната им информация и им предостави сертификат за автентичност.
Средства за сигурност и защита на данните SET -техническа спецификация за осигуряване предаването на поверителна информация по открити мрежи. SET е разработен от Visa и MasterCard, с участието на компании като Microsoft, IBM, Netscape, SAIC, GTE, Terisa Systems и Verisign.
Типове асиметрични ключове използвани от различни участници при електронна търговия в SET Ключ за подписи – Digital Signature Key – за идентифициране собственика на картата. Ключ за шифриране на данните – Key-Exchange Key. Ключ за подписване на сертификатите – Certificate Signature Key. Ключ за подписване на списъка с оттеглени (отзовани) сертификати CRL– CRL Signature Key.
Препоръчвани размери на ключовете Размера на асиметричните ключове използувани в протокола SET не е фиксиран и може да се променя във времето. Към настоящия момент са препоръчителни дадените в таблицата размери на ключовете. От дължината на ключовете зависи криптоустойчивостта на алгоритъма, а също така и ресурсоемкостта при шифрирането на съобщенията. По принцип се използува алгоритъм RSA, който се смята за един от най надеждните и до сега не са открити слабости в него.
.htaccess файл С помощта на файла .htaccess може да се направят много полезни настройки за Web-страниците, които разработваме. Чрез този файл не само може да се засекрети самата страница или просто някоя директория от презентацията с парола, а можете и да се променят или добавят настройки в Апаче сървъра по желание. Файлът се създава под Windows и трябва да се конвертира в UNIX модул.
.htaccess файл Най-често използваната настройка е засекретяване на уеб страница или дадена директория от нея с парола. За тази цел освен файлът .htaccess трябва да се създаде и още един файл на име .htpasswd, в който трябва да се зададат потребителското име и паролата на потребителя, който единствено ще има достъп до защитената директория. http://www-it.fmi.uni-sofia.bg/courses/BonI/mainframe.html?target=chapter7.html&title=7

More Related Content

What's hot (20)

DOCX
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
PPTX
Vpn mreji 105227
SvilenaRRuseva
 
PDF
Особености на sniffing атаките и как да се предпазим от тях
University of Economics - Varna
 
PPT
методи за криптиране и декриптиране на данни
kgospodinova89
 
PDF
криптиране и декриптиране
Georgi Georgiev
 
PPTX
Презентация - sniffing атаки
University of Economics - Varna
 
DOCX
Сравненителна характеристика на криптографски алгоритми
Ваня Иванова
 
PDF
Методи за криптиране и декриптиране
Angel Blagyov
 
PPT
средства за защита на данни
Християн Георгиев
 
PDF
Методи за криптиране и декриптиране на данни
d_e_n_i_8_7
 
PDF
Тема:Методи за криптиране и декриптиране на данни, индефикация и автентикация
Георги Карагеоргиев
 
PDF
10724 vpn
Veselin Velichkov
 
PDF
Методи за криптиране и декриптиране на данни
MarketDevelopment
 
PPTX
Netsec
altyalex
 
DOC
методи за криптиране и декриптиране на данни
kgospodinova89
 
DOC
Методи за криптиране и декриптиране на данни
pinf_117075
 
PPT
Cripting and Security on the Net
LogMan Graduate School on Knowledge Economy
 
DOCX
Симетрични и асиметрични алгоритми за криптиране на информация
Kaloyan Kosev
 
PDF
Vpn
Veselin Velichkov
 
PPTX
Методи за криптиране и декриптиране на данни
pinf_117075
 
Методи и средства за филтриране на трафика в Lan мрежи
Dido Viktorov
 
Vpn mreji 105227
SvilenaRRuseva
 
Особености на sniffing атаките и как да се предпазим от тях
University of Economics - Varna
 
методи за криптиране и декриптиране на данни
kgospodinova89
 
криптиране и декриптиране
Georgi Georgiev
 
Презентация - sniffing атаки
University of Economics - Varna
 
Сравненителна характеристика на криптографски алгоритми
Ваня Иванова
 
Методи за криптиране и декриптиране
Angel Blagyov
 
средства за защита на данни
Християн Георгиев
 
Методи за криптиране и декриптиране на данни
d_e_n_i_8_7
 
Тема:Методи за криптиране и декриптиране на данни, индефикация и автентикация
Георги Карагеоргиев
 
10724 vpn
Veselin Velichkov
 
Методи за криптиране и декриптиране на данни
MarketDevelopment
 
Netsec
altyalex
 
методи за криптиране и декриптиране на данни
kgospodinova89
 
Методи за криптиране и декриптиране на данни
pinf_117075
 
Cripting and Security on the Net
LogMan Graduate School on Knowledge Economy
 
Симетрични и асиметрични алгоритми за криптиране на информация
Kaloyan Kosev
 
Vpn
Veselin Velichkov
 
Методи за криптиране и декриптиране на данни
pinf_117075
 

Viewers also liked (9)

PDF
Gestione Della Tesoreria
guest5e3663
 
PPT
Jornada Pol. Immigració PSC Girona. Pepa Celaya 11abr08
Roger Casero Gumbau
 
PDF
S is For Spec at RubyKansai25
Shintaro Kakutani
 
ODP
Cristinaconterassoriano
cristinaconteras
 
PPS
India60
tamil nenjam
 
PPT
Chorwacja
ktos12
 
PPT
Cuentas
guestd659a7
 
ODP
pregunta 1
Pere Marin
 
PPT
Presentació Teresa Llorens Reptes Immigració Girona Psc 11 Abril 2008
Roger Casero Gumbau
 
Gestione Della Tesoreria
guest5e3663
 
Jornada Pol. Immigració PSC Girona. Pepa Celaya 11abr08
Roger Casero Gumbau
 
S is For Spec at RubyKansai25
Shintaro Kakutani
 
Cristinaconterassoriano
cristinaconteras
 
India60
tamil nenjam
 
Chorwacja
ktos12
 
Cuentas
guestd659a7
 
pregunta 1
Pere Marin
 
Presentació Teresa Llorens Reptes Immigració Girona Psc 11 Abril 2008
Roger Casero Gumbau
 
Ad

Similar to Web Security Intro (15)

PDF
Advanced Encryption Standard
Елица Захариева
 
DOCX
курсова 91582
ailiev
 
DOCX
защити на Wi
Iliya Iliev
 
DOCX
защити на Wi
Iliya Iliev
 
PPT
Nadezhda Stavreva
guestd2af7ff
 
PDF
Abstract - SSL Certificates
Anita Nestorova
 
PPT
4684
Tsvetan Petrakiev
 
PDF
Php sec referat
Dido_mn
 
PDF
PKI presentation
Kalina89
 
DOC
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Ilko Kacharov
 
DOC
Bezopastnost i zashtita na web priolojeniq
Martin Kenarov
 
ODT
Безопасност и защита при Cloud Copmputing
Деница Петкова
 
PPTX
Web Services Security Presentation
nevzasroma
 
PPTX
Lekciq 6 new (2ch)
slyone
 
PDF
Open Free Security Software
LogMan Graduate School on Knowledge Economy
 
Advanced Encryption Standard
Елица Захариева
 
курсова 91582
ailiev
 
защити на Wi
Iliya Iliev
 
защити на Wi
Iliya Iliev
 
Nadezhda Stavreva
guestd2af7ff
 
Abstract - SSL Certificates
Anita Nestorova
 
4684
Tsvetan Petrakiev
 
Php sec referat
Dido_mn
 
PKI presentation
Kalina89
 
Сигурност и права за достъп в уеб приложения изработени с работната рамка Yii
Ilko Kacharov
 
Bezopastnost i zashtita na web priolojeniq
Martin Kenarov
 
Безопасност и защита при Cloud Copmputing
Деница Петкова
 
Web Services Security Presentation
nevzasroma
 
Lekciq 6 new (2ch)
slyone
 
Open Free Security Software
LogMan Graduate School on Knowledge Economy
 
Ad

More from LogMan Graduate School on Knowledge Economy (20)

PDF
The Best Securely Communication Software
LogMan Graduate School on Knowledge Economy
 
PDF
The Start SSL Free
LogMan Graduate School on Knowledge Economy
 
PDF
The Best Security Resources for RussStudents at UE
LogMan Graduate School on Knowledge Economy
 
PDF
My Digital Shadows and Personal Security
LogMan Graduate School on Knowledge Economy
 
PDF
Security mti2014the3a
LogMan Graduate School on Knowledge Economy
 
PPTX
Информационна сигурност - интро
LogMan Graduate School on Knowledge Economy
 
PPTX
Инфоструктура Web 2.0
LogMan Graduate School on Knowledge Economy
 
PPTX
Real time web - week2
LogMan Graduate School on Knowledge Economy
 
PDF
Лекция първа Security
LogMan Graduate School on Knowledge Economy
 
PDF
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
LogMan Graduate School on Knowledge Economy
 
PDF
MOOC and Higher Education
LogMan Graduate School on Knowledge Economy
 
PPTX
6 pluspresent2012secondweek
LogMan Graduate School on Knowledge Economy
 
PDF
ICT in Int'l Business Relations
LogMan Graduate School on Knowledge Economy
 
PDF
Отчет на НП46/Етап 1
LogMan Graduate School on Knowledge Economy
 
PDF
Human factors and security
LogMan Graduate School on Knowledge Economy
 
PDF
Security Log Management
LogMan Graduate School on Knowledge Economy
 
PDF
PHP Security
LogMan Graduate School on Knowledge Economy
 
PDF
What Is Spam?
LogMan Graduate School on Knowledge Economy
 
PDF
Web Applications Security
LogMan Graduate School on Knowledge Economy
 
PDF
Visa security 8972
LogMan Graduate School on Knowledge Economy
 
The Best Securely Communication Software
LogMan Graduate School on Knowledge Economy
 
The Start SSL Free
LogMan Graduate School on Knowledge Economy
 
The Best Security Resources for RussStudents at UE
LogMan Graduate School on Knowledge Economy
 
My Digital Shadows and Personal Security
LogMan Graduate School on Knowledge Economy
 
Security mti2014the3a
LogMan Graduate School on Knowledge Economy
 
Информационна сигурност - интро
LogMan Graduate School on Knowledge Economy
 
Инфоструктура Web 2.0
LogMan Graduate School on Knowledge Economy
 
Real time web - week2
LogMan Graduate School on Knowledge Economy
 
Лекция първа Security
LogMan Graduate School on Knowledge Economy
 
Компютърни технологии в рекламата и медийните комуникации - Седмица 1.
LogMan Graduate School on Knowledge Economy
 
MOOC and Higher Education
LogMan Graduate School on Knowledge Economy
 
6 pluspresent2012secondweek
LogMan Graduate School on Knowledge Economy
 
ICT in Int'l Business Relations
LogMan Graduate School on Knowledge Economy
 
Отчет на НП46/Етап 1
LogMan Graduate School on Knowledge Economy
 
Human factors and security
LogMan Graduate School on Knowledge Economy
 
Security Log Management
LogMan Graduate School on Knowledge Economy
 
PHP Security
LogMan Graduate School on Knowledge Economy
 
What Is Spam?
LogMan Graduate School on Knowledge Economy
 
Web Applications Security
LogMan Graduate School on Knowledge Economy
 
Visa security 8972
LogMan Graduate School on Knowledge Economy
 

Web Security Intro

  • 1. Средства за безопасност и защита на Web-приложения или как да предпазим собствените си Web-страници Красимира Миладинова Йорданова Магистър спец. Информатика гр. 30, ф№7661
  • 2. Във връзка с нашумялото хакерстване са необходими методи за предпазване на Web-страниците ни, както и защита на Web-приложенията. Създадени са различни средства като едно от най-използваните е криптирането. Криптографията е наука, използваща метематиката, за да криптира и декриптира информация. Тя дава възможност за съхраняване на чувствителна информация или изпращане през несигурни мрежи (например Internet) така, че тя да не може да бъде прочетена от никой, с изключение на този, за когото е предзначена.
  • 3. Криптирането Криптирането се използва, за да се осигури скриването на информацията от тези, за които тя не е предзначена. Информацията, която може да бъде прочетена и разбрана без някакви специални усилия се нарича открит текст ( plaintext ). Методът на преобразуване на открития текст така, че да се скрие неговото съдържание, се нарича криптиране ( encryption). Криптираният текст е нечетаем и се нарича ciphertext . Процесът на преобразуването на кодирания текст в неговият оригинал се нарича декриптиране.
  • 4. Криптиране със секретен и обществен ключ Основното предимство на криптирането с обществен ключ пред това със секретен ключ е, че персоналните ключове никога не се предават. Това прави този тип криптография по-сигурна и удобна. В една система със секретен ключ, е необходимо предаване на ключовете, което е свързано с рискове. Освен това при работа със секретни ключове механизма на идентифициране се осъществява трудно. Когато един цифров подпис използва инфраструктура с обществен ключ се налага предаване на секретна информация. За да се избегне отказ на плащане се налага трета страна да проверява идентичността.
  • 5. Степени на криптиране Слаби - Такива са текстовите документи, защитени с парола от текстообработваща програма. Този тип програми използват криптиране с много ниска степен и с помощта на прости средства може да се разбере използваната парола; Устойчиви - С използването на технология за симетрично криптиране може да се създаде устойчива защита, но слабата страна на тези технологии е в това, че при предаване на ключа през несигурни мрежи той може да се прихване; Силни - С използването на технология с обществен ключ, предаването на ключа през несигурни мрежи е безопасно; - Такива са One-Time Pads. Този тип система използва ключ, чиято дължина е колкото дължината на съобщението и който не може да бъде декриптиран със средствата, с които е извършено криптирането.
  • 6. Криптогарфския алгоритъм Криптогарфският алгоритъм е математическа функция, използвана при процесите на криптиране и декриптиране. Криптографският алгоритъм работи в комбинация с ключ ( key ) - дума, число или фраза, за да криптира открития текст. Един и същ открит текст, криптиран с различни ключове, дава различен кодиран текст. Сигурността на криптираната информация зависи изцяло от две неща: устойчивостта на криптографския алгоритъм и тайната на ключа.
  • 7. SSL протокол SSL , съкращение от Secure Sockets Layer, е протокол, разработен от Netscape, за пренасяне на лични документи през Интернет. Данните се криптират с частен ключ, след което се предават по SSL връзка. Web сайтове, които работят с този протокол обикновено имат URL с префикс "https:" вместо "http:". 
  • 8. SSL протокол Това е протокол, който защитава вашата информация, като я пренася през интернет в криптиран формат, като използва два кода за криптиране на информацията – публичен, които се познава от всички и секретен, познаваем само за получателя на съобщението SSL се грижи за това изпратената информация да остане непроменена и я изпраща само до сървъра, до който сте определили да достигне. Подържа се от почти всички съвременни браузъри и много устройства за комуникация.
  • 9. Средства за сигурност и защита на данните RSA-Rivest, Shamir и Adleman -Използва криптографска система с две двойки числа дава много опростена представа за RSA алгоритъма, чийто математически апарат е естествено много по-сложен.
  • 10. Средства за сигурност и защита на данните DES-Data Encryption Standard -широко и стандартно използван симетричен криптографски алгоритъм с "ключ".
  • 11. Средства за сигурност и защита на данните SSL-Secure Sockets Layer-Използването на DES или друг симетричен алгоритъм, с "ключ", който се генерира за всяка сесия, криптира се с RSA и се обменя между страните дава представа за прилагания широко в момента SSL протокол.
  • 12. Средства за сигурност и защита на данните TTS-Third Trusted Party -SSL предполага наличието на "трета доверена страна", която да увери общуващите в тяхната идентичност като регистрира публичната им информация и им предостави сертификат за автентичност.
  • 13. Средства за сигурност и защита на данните SET -техническа спецификация за осигуряване предаването на поверителна информация по открити мрежи. SET е разработен от Visa и MasterCard, с участието на компании като Microsoft, IBM, Netscape, SAIC, GTE, Terisa Systems и Verisign.
  • 14. Типове асиметрични ключове използвани от различни участници при електронна търговия в SET Ключ за подписи – Digital Signature Key – за идентифициране собственика на картата. Ключ за шифриране на данните – Key-Exchange Key. Ключ за подписване на сертификатите – Certificate Signature Key. Ключ за подписване на списъка с оттеглени (отзовани) сертификати CRL– CRL Signature Key.
  • 15. Препоръчвани размери на ключовете Размера на асиметричните ключове използувани в протокола SET не е фиксиран и може да се променя във времето. Към настоящия момент са препоръчителни дадените в таблицата размери на ключовете. От дължината на ключовете зависи криптоустойчивостта на алгоритъма, а също така и ресурсоемкостта при шифрирането на съобщенията. По принцип се използува алгоритъм RSA, който се смята за един от най надеждните и до сега не са открити слабости в него.
  • 16. .htaccess файл С помощта на файла .htaccess може да се направят много полезни настройки за Web-страниците, които разработваме. Чрез този файл не само може да се засекрети самата страница или просто някоя директория от презентацията с парола, а можете и да се променят или добавят настройки в Апаче сървъра по желание. Файлът се създава под Windows и трябва да се конвертира в UNIX модул.
  • 17. .htaccess файл Най-често използваната настройка е засекретяване на уеб страница или дадена директория от нея с парола. За тази цел освен файлът .htaccess трябва да се създаде и още един файл на име .htpasswd, в който трябва да се зададат потребителското име и паролата на потребителя, който единствено ще има достъп до защитената директория. http://www-it.fmi.uni-sofia.bg/courses/BonI/mainframe.html?target=chapter7.html&title=7