HTTP安全風險是什么

HTTP安全風險是什么意思

萬維網聯(lián)盟是一個由Jeffrey Jaffe和萬維網發(fā)明人Tim Berners Lee運營的國際網絡社區(qū)，1999年的一份備忘錄記錄了與HTTP/1.1相關的許多不同的安全考慮因素和潛在攻擊向量：

個人信息泄露：理想情況下，網站應該提供一個界面，允許用戶控制他們在網站上輸入的個人信息的披露水平，但情況并非總是如此，最終用戶依賴于網站管理員的設計靈感。

濫用服務器日志信息：Web服務器記錄網站訪問者的導航行為。此信息可能用于收集有關最終用戶的私人信息

敏感信息的不安全傳輸：HTTP無法調節(jié)通過它傳輸?shù)臄?shù)據(jù)的實際內容

在URL中對敏感信息進行編碼：鏈接的源可能是私有信息，或者無意中泄漏了私有信息源。

與接受請求頭相關聯(lián)的隱私問題：另一類數(shù)據(jù)，可能用于與其他數(shù)據(jù)源進行三角測量以識別最終用戶。這種隱私權的喪失在服務器端是安全的，但最終用戶的信息同樣要由網站管理員來決定。

基于文件名和路徑名的攻擊：在不安全的系統(tǒng)中，壞的參與者可以獲取他們可以訪問的內容的URL，例如“site.com/resource/profile/jon profile.docx”，并在分類法中導航，以便在技術上不應該訪問/profile/目錄時訪問它們。

DNS欺騙：HTTP嚴重依賴域名服務，它將域名（如brightedge.com）與底層IP地址關聯(lián)起來。不好的參與者會故意將IP地址DNS對與“欺騙”DNS相關聯(lián)，從而將用戶從他們打算導航到完全不同的站點。

位置頭和欺騙：類似于DNS欺騙問題，托管多個彼此沒有關聯(lián)的組織的服務器必須檢查位置頭和內容位置頭的值，以確保這些組織不會試圖侵犯他們不擁有的資源。

身份驗證憑據(jù)和空閑Web客戶端：HTTP沒有客戶端丟棄緩存身份驗證憑據(jù)的方法

HTTP代理和緩存（“中間人”攻擊）

對代理的拒絕服務攻擊（Ddos）

二、如何解決HTTP安全風險？

采用HTTPS是解決安全風險最有效也是最簡單的方法。你只需要購買一張HTTPS證書（SSL證書），部署到你的服務器上，客戶端通過瀏覽器訪問，就可以通過HTTPS進行訪問了，此時，客戶端與服務器端的數(shù)據(jù)交互。全部為密文，而且SSL證書的域名將根據(jù)你的瀏覽器的域名進行匹配，瀏覽器會自動組織DNS攻擊，這樣就能輕松防范HTTP安全風險。

網頁題目：HTTP安全風險是什么
網頁鏈接：http://www.muchs.cn/news41/200541.html

成都網站建設公司_創(chuàng)新互聯(lián)，為您提供響應式網站、微信公眾號、關鍵詞優(yōu)化、App開發(fā)、網站維護、網站制作

廣告

聲明：本網站發(fā)布的內容（圖片、視頻和文字）以用戶投稿、用戶轉載內容為主，如果涉及侵權請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內容未經允許不得轉載，或轉載時需注明來源： 創(chuàng)新互聯(lián)