① 在手机上使用UCWEB浏览器登录手机银行安全吗
肯定不安全啊!因为无线信号虽然也存在加密但其加密水平肯定不行啊!而且我们用uc浏览器的时候事实上还是经过了好几层网关,这样好几个环节都有可能泄露个人信息的,所以说最好不要用手机浏览器登陆网银等个人重要账号!
② Web 网页登陆QQ安全吗,QQ会不会被盗
不会被盗.比QQ软件登陆安全.
盗取网页密码不可能的.除非能破解TX网页的.
木妈,鸽子,肉鸡.都是在exe里面.然后感染到QQ文件里的.
网页就不同了.所以可以100%放心.
不过有一点不好,WEBQQ,网页登陆不算是常用IP.
无保,一代的QQ都要在常用IP才可以改密码.申请密保.
虽然webQQ安全.但申请密保就不好弄了.
光聊天的话.webQQ在安全不过了.
③ 用于web客户端访问安全的技术是
:WAF,又名Web应用防火墙,能够对常见的网站漏洞攻击进行防护,
④ 要想实现web应用安全有哪些防御措施呢
传统的方式目前已经存在了一些不足,比如对http流量或者https流量进行检测,并不能够完全解决用户应用层或者Web层的安全问题。同时,要想实现web应用安全并不需要只是简单的基于协议本身进行防御,而更多的是要基于逻辑、基于行为、基于流程进行防御。我比较推荐的是F5公司的产品,不仅能够解决传统WAF要解决的XSS,SQL注入这样的代码及漏洞,还能关注到像暴库、爆破,像利用被偷盗的用户凭证进行登陆的这样的行为,包括对七层DDoS进行防御的行为。最重要的是,F5的防御方案从原来基于网络串联部署的设备,基于协议本身的分析,要变得更加智能,要变得更加的具有控制力。关于web应用安全,F5官网上有更为详细的介绍,不妨多关注一下。
⑤ 如何提高对基于WEB网页用户登录信息的安全性
首先必须采用基于SSL的HTTPS协议代替HTTP协议
然后,可以采用一次性密码、token生成器、usb证书等手段实现双因素认证
以token生成器为例,登陆界面提示用户一串随机数,输入token生成器,运算生成认证码,登陆输入用户名,密码及认证码,验证无误才能进入系统
⑥ 普通的web系统是如何保证用户安全登录的
传输数据经过128位加密的,有的是64位,如果你给人远程监视就没有办法了。
⑦ 如何让web安全
服务器是网络环境中为客户机提供各种服务的、特殊的计算机系统,在网络中具有非常重要的地位,服务器安全性显得尤为重要。Web服务器安全漏洞 Web服务器上的漏洞可以从以下几方面考虑: a.在Web服务器上你不让人访问的秘密文件、目录或重要数据。 b.从远程用户向服务器发送信息时。特别是信用卡之类东西时,中途遭不法分子非法拦截。 c.Web服务器本身存在一些漏洞,使得一些人能侵入到主机系统,破坏一些重要的数据,甚至造成系统瘫痪。 d.CGI安全方面的漏洞有: (1)有意或无意在主机系统中遗漏Bugs给非法黑客创造条件。 (2)用CGI脚本编写的程序当涉及到远程用户从浏览器中输入表格(Form),并进行检索(Search index),或form-mail之类在主机上直接操作命令时,或许会给Web主机系统造成危险。提高系统安全性和稳定性 a.限制在Web服务器开账户,定期删除一些断进程的用户。 b.对在Web服务器上开的账户,在口令长度及定期更改方面作出要求,防止被盗用。 c.尽量使FTP、MAIL等服务器与之分开,去掉ftp,sendmail,tftp,NIS,NFS,finger,netstat等一些无关的应用。 d.在Web服务器上去掉一些绝对不用的如SHELL之类的解释器,即当在你的CGI的程序中没用到PERL时。就尽量把PERL在系统解释器中删除掉。 e.定期查看服务器中的日志logs文件。分析一切可疑事件。
⑧ [维护]如何确保Web服务器的安全
Web服务器是组织的门面并且提供了进入网络的简单方法。所有的Web服务器都与安全事件相关,一些更甚。最近安全焦点列出了微软IIS服务器的116个安全问题,而开放源码的Apache有80个。 许多Web服务器默认装有标准通用网关接口(CGI),例如ColdFusion,它可以用于处理恶意请求。既然它们很容易发现并且在root权限下运行,骇客开发易受攻击的CGI程序来摧毁网页,盗取信用卡信息并且为将来的入侵设置后门。通用法则是,在操作系统中移除样本程序,删除bin目录下的CGI原本解释程序,移除不安全的CGI原本,编写更好的CGI程序,决定你的Web服务器是否真的需要CGI支持。 检查Web服务器,只允许需要分发的信息驻留在服务器上。这个问题有时会被误解。大多数服务器在root下运行,所以骇客可以打开80端口,更改日志文件。他们等待进入80端口的连接。接受这个连接,分配给子程序处理请求并回去监听。子程序把有效的用户标识改为“nobody”用户并处理请求。当“服务器以root运行”时,并未向所设想的用户告警。这个警告是关于配置成以root运行子程序的服务器(例如,在服务器配置文件中指定root用户)。以root许可进入的每一个CGI原本都可以访问你的系统。 在“chroot”环境中运行Web服务器。运行chroot系统命令可以增强Unix环境中Web服务器的安全特性,因为此时看不到服务器上文件目录的任何部分——目录上的所有内容都不能访问。在chroot环境中运行服务器,你必需创建一整个微型root文件系统,包括服务器需要访问的所有内容,还包括特定的设备文件和共享库。你还要调整服务器配置文件中的全部路径名,使之与新的root目录相关联。 如果你的系统被用于攻击其他系统,小心引起诉讼。如果不能击退每一次攻击,至少确保你用于追溯恶意事件的审核文件记录信息的安全。
⑨ 如何解决Web系统单用户登录问题,不是单点登录
随着用户不断扩大的需求,更多的系统被建造起来。为了获得更好的用户体验,需要实现用户单点登录。所谓单点登录,就是用户在一个系统上登录后,其他系统就不需要重复登录。单点的登录的好处很明显,提高了用户体验度。如何实现单点登录,在这里我提供两种解决方案: 1和b A B两个站点, 只要在A,B任何一个站点登录后,两个网站就都可以使用,不需要在另一个站点登录了。而通过基于cookie的实现方式,前提是两个系统共享一级域名,并且用户要可以唯一标示。上面这两个站点的一级域名是the;具体处理过程如下:当用户在其中某一个站点登录,就设置一个cookie信息,该cookie包含标识用户ID,为了安全,还需要利用对该cookie的值加密。当用户访问其他网站的时候,首先判断是否存在cookie,如果有的话,便解密该cookie,获取用户信息,设置用户为登录状态。 下面是PHP示例代码 function login() //正常的登录 { '); } funtion sign() { $sign = $_COOKIE['sign']; if(!empty($sign)) { $sign = decrypt($sign); ..........///登录成功 } } 这里需要注意的是:加解密一定需要做安全验证。但是这个方法也不够完美,两个站点必须有相同一级域名;另外这种完全基于cookie的方式,安全性不够高。 2.采用专门登录系统。 所有的站点共享一个登录系统;当用户在其中的一个站点登录成功时, 该系统调用其他站点的登录接口,完成用户在其他站点的登录,同时设置相应的登录信息;或者在用户登录时,只在该系统保存用户登录信息,当用户在其他站点登录时,必须请求该系统接口,获取用户是否登录的信息。前一种方式的缺点是:不管用户有没有使用其他站点,那些站点都需要保存用户状态;后一种方式就把所有的压力都转移到登录系统上面来。而如果要实现用户退出的统一操作,就需要站点调用登录系统的退出接口,然后登录系统接口调用其他站点的退出接口;或者设置一个标记,如果这个标记不存在则标示用户退出,此时只要把该标示清空即可,其他站点发现该标示不存在就知道用户已经退出系统。 这种处理方式需要在登录系统和个站点之间规定登录接口,和注销接口。通过这些接口,个站点可以很方便的处理用户登录或退出: function login() { $info = callLoginServer(); //访问登录服务器 if(!empty($info)) //登录成功了 } //用户没有登录,则在本系统中登录并调用登录服务器接口 function loging() //本系统登录 { .....//登录成功 callSeverLogin();//通知用户登录 } 上面只是简单的逻辑结构,对于正式的系统需要做具体的处理。 如果大家还有更好的方法,欢迎一起讨论!
⑩ 如何实现一个安全的Web登陆
对于 Web 应用程序,安全登录是很重要的。但是目前大多数 Web 系统在发送登录密码时是发送的明文,这样很容易被入侵者监听到密码。当然,通过 SSL
来实现安全连接是个不错的方法,但是很多情况下我们没办法将服务器设置为带有 SSL 的 Web 服务器。因此如果在登录系统中加入安全登录机制,则可以在没有 SSL
的 Web 服务器上实现安全登录。
要实现安全登录,可以采用下面三种方法,一种基于非对称加密算法,一种基于对称加密算法,最后一种基于散列算法。
非对称加密算法中,目前最常用的是 RSA 算法和
ECC(椭圆曲线加密)算法。要采用非对称加密算法实现安全登录的话,首先需要在客户端向服务器端请求登录页面时,服务器生成公钥和私钥,然后将公钥随登录页面一起传递给客户端浏览器,当用户输入完用户名密码点击登录时,登录页面中的
JavaScript
调用非对称加密算法对用户名和密码用用公钥进行加密。然后再提交到服务器端,服务器端利用私钥进行解密,再跟数据库中的用户名密码进行比较,如果一致,则登录成功,否则登录失败。
对称加密算法比非对称加密算法要快得多,但是对称加密算法需要数据发送方和接受方共用一个密钥,密钥是不能通过不安全的网络直接传递的,否则密钥和加密以后的数据如果同时监听到的话,入侵者就可以直接利用监听到的密钥来对加密后的信息进行解密了。
如何用 hmac
算法实现安全登录。首先在客户端向服务器端请求登录页面时,服务器端生成一个随机字符串,连同登录页面一同发送给客户端浏览器,当用户输入完用户名密码后,将密码采用
MD5 或者 SHA1 来生成散列值作为密钥,服务器端发送来的随机字符串作为消息数据,进行 hmac
运算。然后将结果提交给服务器。之所以要对用户输入的密码进行散列后再作为密钥,而不是直接作为密钥,是为了保证密钥足够长,而又不会太长。服务器端接受到客户端提交的数据后,将保存在服务器端的随机字符串和用户密码进行相同的运算,然后进行比较,如果结果一致,则认为登录成功,否则登录失败。当然如果不用
hmac 算法,直接将密码和服务器端生成的随机数合并以后再做 MD5 或者 SHA1,应该也是可以的。
这里客户端每次请求时服务器端发送的随机字符串都是不同的,因此即使入侵者监听到了这个随机字符串和加密后的提交的数据,它也无法再次提交相同的数据通过验证。而且通过监听到的数据也无法计算出密钥,所以也就无法伪造登录信息了。
对称和非对称加密算法不仅适用于登录验证,还适合用于最初的密码设置和以后密码修改的过程中,而散列算法仅适用于登录验证。但是散列算法要比对称和非对称加密算法效率高。