Stáhnout prezentaci
Prezentace se nahrává, počkejte prosím
1
Zabezpečení www stránek
Teoretická část Petr JANOUŠEK PEF, INFO 5. ročník 2005 / 2006
2
Autentizace a autorizace
ověření totožnosti uživatele pomocí hesla či šifrovacího klíče identifikační kartou pomocí biometriky Autorizace ověření práv uživatele pro vykonání určité činnosti
3
HTTP autentizace ve standardech protokolu HTTP/1.1
uživatelské jméno a heslo putuje sítí znovu s každým dalším požadavkem lze zabezpečit šifrovaným přenosem nemožnost jakýmkoliv spolehlivým způsobem donutit klientský prohlížeč k "odhlášení"
4
Formulářová autentizace
WWW aplikace sama zašle klientovi stránku s přihlašovacím formulářem po jeho odeslání se data ověří a vytvoří se aktuální session klient nadále zasílá jen session token během uživatelské autentizace by měla být komunikace zašifrovaná ( SSL )
5
Challenge/response autentizace i přes nechráněný komunikační kanál
skriptování na straně prohlížeče (JavaScript) s přihlašovací stránkou zaslán náhodně vygenerovaný řetězec zřetězení zadaného hesla s obdrženým náhodným řetězcem + upravení hashovací funkcí (např. MD5)
6
Řízení přístupu řešení kontroly a řízení přístupu osob do daného objektu volné řízení přístupu řízení přístupu založené na úrovních citlivosti řízení přístupu založené na rolích
7
Volné řízení přístupu o přístupu ke zdroji či informaci rozhodováno na základě autentizačních údajů každý vlastník zdroje či informace sám rozhoduje o přidělení přístupových práv ostatním uživatelům zcela podle vlastního uvážení administrátoři systému nemohou řídit přístup centrálně
8
Řízení přístupu s úrovněmi citlivosti
každý uživatel je zařazen na určitou úroveň důvěryhodnosti zdrojům a informacím přiděleny různé úrovně citlivosti při přístupu uživatele k některému objektu se úroveň jeho důvěryhodnosti porovnává s úrovní citlivosti daného objektu každý uživatel může číst a zapisovat informace do stejné nebo nižší úrovně, než do které je sám přiřazen
9
Řízení přístupu založené na rolích
přístup ke zdrojům a informacím je založen na rolích a odpovědnostech každého uživatele o přidělení rolí rozhoduje administrátor aplikace zásada "Least Privilege" - co nejmenší oprávnění každý uživatel má přístup jen k těm částem, které skutečně potřebuje využívat
Podobné prezentace
© 2024 SlidePlayer.cz Inc.
All rights reserved.