Prezentace se nahrává, počkejte prosím

Prezentace se nahrává, počkejte prosím

Zabezpečení www stránek

Podobné prezentace


Prezentace na téma: "Zabezpečení www stránek"— Transkript prezentace:

1 Zabezpečení www stránek
Teoretická část Petr JANOUŠEK PEF, INFO 5. ročník 2005 / 2006

2 Autentizace a autorizace
ověření totožnosti uživatele pomocí hesla či šifrovacího klíče identifikační kartou pomocí biometriky Autorizace ověření práv uživatele pro vykonání určité činnosti

3 HTTP autentizace ve standardech protokolu HTTP/1.1
uživatelské jméno a heslo putuje sítí znovu s každým dalším požadavkem lze zabezpečit šifrovaným přenosem nemožnost jakýmkoliv spolehlivým způsobem donutit klientský prohlížeč k "odhlášení"

4 Formulářová autentizace
WWW aplikace sama zašle klientovi stránku s přihlašovacím formulářem po jeho odeslání se data ověří a vytvoří se aktuální session klient nadále zasílá jen session token během uživatelské autentizace by měla být komunikace zašifrovaná ( SSL )

5 Challenge/response autentizace i přes nechráněný komunikační kanál
skriptování na straně prohlížeče (JavaScript) s přihlašovací stránkou zaslán náhodně vygenerovaný řetězec zřetězení zadaného hesla s obdrženým náhodným řetězcem + upravení hashovací funkcí (např. MD5)

6 Řízení přístupu řešení kontroly a řízení přístupu osob do daného objektu volné řízení přístupu řízení přístupu založené na úrovních citlivosti řízení přístupu založené na rolích

7 Volné řízení přístupu o přístupu ke zdroji či informaci rozhodováno na základě autentizačních údajů každý vlastník zdroje či informace sám rozhoduje o přidělení přístupových práv ostatním uživatelům zcela podle vlastního uvážení administrátoři systému nemohou řídit přístup centrálně

8 Řízení přístupu s úrovněmi citlivosti
každý uživatel je zařazen na určitou úroveň důvěryhodnosti zdrojům a informacím přiděleny různé úrovně citlivosti při přístupu uživatele k některému objektu se úroveň jeho důvěryhodnosti porovnává s úrovní citlivosti daného objektu každý uživatel může číst a zapisovat informace do stejné nebo nižší úrovně, než do které je sám přiřazen

9 Řízení přístupu založené na rolích
přístup ke zdrojům a informacím je založen na rolích a odpovědnostech každého uživatele o přidělení rolí rozhoduje administrátor aplikace zásada "Least Privilege" - co nejmenší oprávnění každý uživatel má přístup jen k těm částem, které skutečně potřebuje využívat


Stáhnout ppt "Zabezpečení www stránek"

Podobné prezentace


Reklamy Google