① 在手機上使用UCWEB瀏覽器登錄手機銀行安全嗎
肯定不安全啊!因為無線信號雖然也存在加密但其加密水平肯定不行啊!而且我們用uc瀏覽器的時候事實上還是經過了好幾層網關,這樣好幾個環節都有可能泄露個人信息的,所以說最好不要用手機瀏覽器登陸網銀等個人重要賬號!
② Web 網頁登陸QQ安全嗎,QQ會不會被盜
不會被盜.比QQ軟體登陸安全.
盜取網頁密碼不可能的.除非能破解TX網頁的.
木媽,鴿子,肉雞.都是在exe裡面.然後感染到QQ文件里的.
網頁就不同了.所以可以100%放心.
不過有一點不好,WEBQQ,網頁登陸不算是常用IP.
無保,一代的QQ都要在常用IP才可以改密碼.申請密保.
雖然webQQ安全.但申請密保就不好弄了.
光聊天的話.webQQ在安全不過了.
③ 用於web客戶端訪問安全的技術是
:WAF,又名Web應用防火牆,能夠對常見的網站漏洞攻擊進行防護,
④ 要想實現web應用安全有哪些防禦措施呢
傳統的方式目前已經存在了一些不足,比如對http流量或者https流量進行檢測,並不能夠完全解決用戶應用層或者Web層的安全問題。同時,要想實現web應用安全並不需要只是簡單的基於協議本身進行防禦,而更多的是要基於邏輯、基於行為、基於流程進行防禦。我比較推薦的是F5公司的產品,不僅能夠解決傳統WAF要解決的XSS,SQL注入這樣的代碼及漏洞,還能關注到像暴庫、爆破,像利用被偷盜的用戶憑證進行登陸的這樣的行為,包括對七層DDoS進行防禦的行為。最重要的是,F5的防禦方案從原來基於網路串聯部署的設備,基於協議本身的分析,要變得更加智能,要變得更加的具有控制力。關於web應用安全,F5官網上有更為詳細的介紹,不妨多關注一下。
⑤ 如何提高對基於WEB網頁用戶登錄信息的安全性
首先必須採用基於SSL的HTTPS協議代替HTTP協議
然後,可以採用一次性密碼、token生成器、usb證書等手段實現雙因素認證
以token生成器為例,登陸界面提示用戶一串隨機數,輸入token生成器,運算生成認證碼,登陸輸入用戶名,密碼及認證碼,驗證無誤才能進入系統
⑥ 普通的web系統是如何保證用戶安全登錄的
傳輸數據經過128位加密的,有的是64位,如果你給人遠程監視就沒有辦法了。
⑦ 如何讓web安全
伺服器是網路環境中為客戶機提供各種服務的、特殊的計算機系統,在網路中具有非常重要的地位,伺服器安全性顯得尤為重要。Web伺服器安全漏洞 Web伺服器上的漏洞可以從以下幾方面考慮: a.在Web伺服器上你不讓人訪問的秘密文件、目錄或重要數據。 b.從遠程用戶向伺服器發送信息時。特別是信用卡之類東西時,中途遭不法分子非法攔截。 c.Web伺服器本身存在一些漏洞,使得一些人能侵入到主機系統,破壞一些重要的數據,甚至造成系統癱瘓。 d.CGI安全方面的漏洞有: (1)有意或無意在主機系統中遺漏Bugs給非法黑客創造條件。 (2)用CGI腳本編寫的程序當涉及到遠程用戶從瀏覽器中輸入表格(Form),並進行檢索(Search index),或form-mail之類在主機上直接操作命令時,或許會給Web主機系統造成危險。提高系統安全性和穩定性 a.限制在Web伺服器開賬戶,定期刪除一些斷進程的用戶。 b.對在Web伺服器上開的賬戶,在口令長度及定期更改方面作出要求,防止被盜用。 c.盡量使FTP、MAIL等伺服器與之分開,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些無關的應用。 d.在Web伺服器上去掉一些絕對不用的如SHELL之類的解釋器,即當在你的CGI的程序中沒用到PERL時。就盡量把PERL在系統解釋器中刪除掉。 e.定期查看伺服器中的日誌logs文件。分析一切可疑事件。
⑧ [維護]如何確保Web伺服器的安全
Web伺服器是組織的門面並且提供了進入網路的簡單方法。所有的Web伺服器都與安全事件相關,一些更甚。最近安全焦點列出了微軟IIS伺服器的116個安全問題,而開放源碼的Apache有80個。 許多Web伺服器默認裝有標准通用網關介面(CGI),例如ColdFusion,它可以用於處理惡意請求。既然它們很容易發現並且在root許可權下運行,駭客開發易受攻擊的CGI程序來摧毀網頁,盜取信用卡信息並且為將來的入侵設置後門。通用法則是,在操作系統中移除樣本程序,刪除bin目錄下的CGI原本解釋程序,移除不安全的CGI原本,編寫更好的CGI程序,決定你的Web伺服器是否真的需要CGI支持。 檢查Web伺服器,只允許需要分發的信息駐留在伺服器上。這個問題有時會被誤解。大多數伺服器在root下運行,所以駭客可以打開80埠,更改日誌文件。他們等待進入80埠的連接。接受這個連接,分配給子程序處理請求並回去監聽。子程序把有效的用戶標識改為「nobody」用戶並處理請求。當「伺服器以root運行」時,並未向所設想的用戶告警。這個警告是關於配置成以root運行子程序的伺服器(例如,在伺服器配置文件中指定root用戶)。以root許可進入的每一個CGI原本都可以訪問你的系統。 在「chroot」環境中運行Web伺服器。運行chroot系統命令可以增強Unix環境中Web伺服器的安全特性,因為此時看不到伺服器上文件目錄的任何部分——目錄上的所有內容都不能訪問。在chroot環境中運行伺服器,你必需創建一整個微型root文件系統,包括伺服器需要訪問的所有內容,還包括特定的設備文件和共享庫。你還要調整伺服器配置文件中的全部路徑名,使之與新的root目錄相關聯。 如果你的系統被用於攻擊其他系統,小心引起訴訟。如果不能擊退每一次攻擊,至少確保你用於追溯惡意事件的審核文件記錄信息的安全。
⑨ 如何解決Web系統單用戶登錄問題,不是單點登錄
隨著用戶不斷擴大的需求,更多的系統被建造起來。為了獲得更好的用戶體驗,需要實現用戶單點登錄。所謂單點登錄,就是用戶在一個系統上登錄後,其他系統就不需要重復登錄。單點的登錄的好處很明顯,提高了用戶體驗度。如何實現單點登錄,在這里我提供兩種解決方案: 1和b A B兩個站點, 只要在A,B任何一個站點登錄後,兩個網站就都可以使用,不需要在另一個站點登錄了。而通過基於cookie的實現方式,前提是兩個系統共享一級域名,並且用戶要可以唯一標示。上面這兩個站點的一級域名是the;具體處理過程如下:當用戶在其中某一個站點登錄,就設置一個cookie信息,該cookie包含標識用戶ID,為了安全,還需要利用對該cookie的值加密。當用戶訪問其他網站的時候,首先判斷是否存在cookie,如果有的話,便解密該cookie,獲取用戶信息,設置用戶為登錄狀態。 下面是PHP示例代碼 function login() //正常的登錄 { '); } funtion sign() { $sign = $_COOKIE['sign']; if(!empty($sign)) { $sign = decrypt($sign); ..........///登錄成功 } } 這里需要注意的是:加解密一定需要做安全驗證。但是這個方法也不夠完美,兩個站點必須有相同一級域名;另外這種完全基於cookie的方式,安全性不夠高。 2.採用專門登錄系統。 所有的站點共享一個登錄系統;當用戶在其中的一個站點登錄成功時, 該系統調用其他站點的登錄介面,完成用戶在其他站點的登錄,同時設置相應的登錄信息;或者在用戶登錄時,只在該系統保存用戶登錄信息,當用戶在其他站點登錄時,必須請求該系統介面,獲取用戶是否登錄的信息。前一種方式的缺點是:不管用戶有沒有使用其他站點,那些站點都需要保存用戶狀態;後一種方式就把所有的壓力都轉移到登錄系統上面來。而如果要實現用戶退出的統一操作,就需要站點調用登錄系統的退出介面,然後登錄系統介面調用其他站點的退出介面;或者設置一個標記,如果這個標記不存在則標示用戶退出,此時只要把該標示清空即可,其他站點發現該標示不存在就知道用戶已經退出系統。 這種處理方式需要在登錄系統和個站點之間規定登錄介面,和注銷介面。通過這些介面,個站點可以很方便的處理用戶登錄或退出: function login() { $info = callLoginServer(); //訪問登錄伺服器 if(!empty($info)) //登錄成功了 } //用戶沒有登錄,則在本系統中登錄並調用登錄伺服器介面 function loging() //本系統登錄 { .....//登錄成功 callSeverLogin();//通知用戶登錄 } 上面只是簡單的邏輯結構,對於正式的系統需要做具體的處理。 如果大家還有更好的方法,歡迎一起討論!
⑩ 如何實現一個安全的Web登陸
對於 Web 應用程序,安全登錄是很重要的。但是目前大多數 Web 系統在發送登錄密碼時是發送的明文,這樣很容易被入侵者監聽到密碼。當然,通過 SSL
來實現安全連接是個不錯的方法,但是很多情況下我們沒辦法將伺服器設置為帶有 SSL 的 Web 伺服器。因此如果在登錄系統中加入安全登錄機制,則可以在沒有 SSL
的 Web 伺服器上實現安全登錄。
要實現安全登錄,可以採用下面三種方法,一種基於非對稱加密演算法,一種基於對稱加密演算法,最後一種基於散列演算法。
非對稱加密演算法中,目前最常用的是 RSA 演算法和
ECC(橢圓曲線加密)演算法。要採用非對稱加密演算法實現安全登錄的話,首先需要在客戶端向伺服器端請求登錄頁面時,伺服器生成公鑰和私鑰,然後將公鑰隨登錄頁面一起傳遞給客戶端瀏覽器,當用戶輸入完用戶名密碼點擊登錄時,登錄頁面中的
JavaScript
調用非對稱加密演算法對用戶名和密碼用用公鑰進行加密。然後再提交到伺服器端,伺服器端利用私鑰進行解密,再跟資料庫中的用戶名密碼進行比較,如果一致,則登錄成功,否則登錄失敗。
對稱加密演算法比非對稱加密演算法要快得多,但是對稱加密演算法需要數據發送方和接受方共用一個密鑰,密鑰是不能通過不安全的網路直接傳遞的,否則密鑰和加密以後的數據如果同時監聽到的話,入侵者就可以直接利用監聽到的密鑰來對加密後的信息進行解密了。
如何用 hmac
演算法實現安全登錄。首先在客戶端向伺服器端請求登錄頁面時,伺服器端生成一個隨機字元串,連同登錄頁面一同發送給客戶端瀏覽器,當用戶輸入完用戶名密碼後,將密碼採用
MD5 或者 SHA1 來生成散列值作為密鑰,伺服器端發送來的隨機字元串作為消息數據,進行 hmac
運算。然後將結果提交給伺服器。之所以要對用戶輸入的密碼進行散列後再作為密鑰,而不是直接作為密鑰,是為了保證密鑰足夠長,而又不會太長。伺服器端接受到客戶端提交的數據後,將保存在伺服器端的隨機字元串和用戶密碼進行相同的運算,然後進行比較,如果結果一致,則認為登錄成功,否則登錄失敗。當然如果不用
hmac 演算法,直接將密碼和伺服器端生成的隨機數合並以後再做 MD5 或者 SHA1,應該也是可以的。
這里客戶端每次請求時伺服器端發送的隨機字元串都是不同的,因此即使入侵者監聽到了這個隨機字元串和加密後的提交的數據,它也無法再次提交相同的數據通過驗證。而且通過監聽到的數據也無法計算出密鑰,所以也就無法偽造登錄信息了。
對稱和非對稱加密演算法不僅適用於登錄驗證,還適合用於最初的密碼設置和以後密碼修改的過程中,而散列演算法僅適用於登錄驗證。但是散列演算法要比對稱和非對稱加密演算法效率高。