在某种程度上我们可以说,没有Web,就没有Internet。可是在大部分情况下,Web应用程序及Web站点往往易遭受到各种各样的攻击,Web数据在网络传输过程中也很容易被窃取或盗用。因此如何能够使Web及数据传输更加安全,是一个应该引起广泛注意地问题。
从总体情况来看,保护Web站点免受攻击的最重要的措施就是加强安全意识和提高安全防范措施。
一般情况下,攻击者攻击Web的主要目的在于:
1、非法偷窥;
2、伪装成Web站点的合法访问者;
3、伪装成Web站点管理员;
4、试图控制Web站点主机。
一、 非法偷窥
阻止Web攻击者监听行为的最有效方法就是要对Web站点和访问者之间所建立的连接进行有效加密。几乎所有的Web浏览器和服务器都具备发送和接收加密通道上的数据的能力,这些加密数据被SSL和TLS这两个相关的协议管理。其中SSL由Netscape产生,TLS与SSL3.0兼容。图1是微软公司的IE5.0浏览器软件中的Internet选项,它显示了有关安全问题的协议。
图1 IE5.0支持的各种加密协议
Web浏览器在连接一般的WEB站点通常使用的是HTTP(超文本传输协议),地址栏中URL一般形式为http://www.somewhere.com。而当Web浏览器连接到一个安全站点时,浏览器将使用HTTPS (超文本安全传输协议)来建立一个加密连接,地址栏中的URL通常的形式为https://www.somewhere.com。
