《白帽子讲 Web 安全》二刷笔记

安全问题的本质是信任的问题。 安全是一个持续的过程。 一、安全世界观 三要素:机密性,完整性,可用性 额外要素:可审计性,不可抵赖性 安全评估过程:资产等级划分,威胁分析,风险分析,设计安全方案。 互联网安全问题的核心,是数据安全问题。 优秀的安全方案: 有效的解决问题 用户体验好 高性能 低耦合 易于扩展升级 Secure by default 原则,最小权限,多用白名单。 白名单: 端口 软件 XSS允许标签 Flash crossdomain 允许跨域调用列表 Linux 普通用户+Sudo 纵深防御原则,从前端入口开始,层层加固。 数据和代码分离原则,对用户数据进行 过滤、编码 等手段。 不可预测性原则,让攻击者找不到规律,猜不到遍历规则,提高攻击门槛。 比如,CSRF 防御中使用的 token 二、浏览器安全 Web 构筑在同源策略之上。带 src 属性的标签加载资源,实际上是模拟 GET,加载资源,且被浏览器限制读写权限。Google chrome 采用多进程架构,进程间使用 SandBox 严格隔离。既提高了安全性,又使得体验提升。通过沙箱和api 对数据进行访问保护。比如 php 通过 api 调用本地文件,而不是直接访问。Google 的 SafeBrowing API 提供恶意网址库。先进浏览器支持 EVSSL 证书,即通常的绿色提示。比较有效地防钓鱼网站。X-Content-Security-Policy […]

Posted in Architecture, Security | Leave a comment

(三)数字证书与数字签名

作者:kim 时间:Apr 11, 2015 版权:非商用,自由转载,请保留原文地址。     一直对 对称加密、非对称加密、SSL、TLS、CA、根证书、信息指纹、数字签名、数字身份证、数字证书 等等知识处于一个模糊状态。 花了几天读了几十篇博文,再自己实践下,终于搞清了,很多以前不清楚的细节都补足。自己画了一张图,权当自学总结! 下一篇将会进入 iOS 证书的剖析 :p      

Posted in Algorithm, Network Protocol, Security, Training | Tagged , , , , , , , , , , | Leave a comment