《Web 前端黑客技术揭秘》有奖图书试读活动

fengyun530

既然都坐了板凳了。一定要参与一下！ 发表一下我的个人看法！

1，如何正确地保护信息的机密性？

     WEB开发里需要注意的东西很多，B/S架构里的常见信息传输包括：验证码、用户登陆、会员信息传递等很多领域。同样是信息传输，也分主次，根据应用场景不同，有些信息传输可以是明文，有些需要加密保护等。CSDN明文传输用户信息就导致大批帐号暴露的隐患。大家应该引以为戒。
   
      现在结合开源系统的做法，要正确保护信息的机密性，一般都要结合一些特别的机制。比如跨站传输信息，这个是比较典型的信息安全问题，大家应该都知道DISCUZ的UCenter.它能整合不同站点的用户，即一个站点注册的用户，可以在设置了UC关联的另一个站点登陆。也就是人们常说的单点登陆SSO。它的实现原理大概是：借用COOKIE的P3P性质，对用户信息进行二次加密， 具体算法开源系统里面有，它是一个随机变换的字符串，每次传输的值都不一样！解密需要根据KEY和SALT同时进行。也就是说，你即使截获了其传输的信息。没有对应的KEY和SALT.你也不知道这个传输的信息到底是什么，这样就达到多站点共享登陆的便利性，又能保证一定的安全性。
  
       还有比较普遍的验证码部分。一般人都是对系统产生的指定长度的随机验证码字符串直接传输。而比较好的做法是进行MD5不可逆加密。然后用base64再加密一次。比对的时候也是同理。比较加密后的验证码字符串和加密后的用户输入的字符串。当然不一定非得这样加密。你也可以有自己的加密算法，组成更安全的验证码信息。

2，信息在传输过程中，要注意哪些问题？

    我个人认为，信息传输过程，最应该注意的有2点：1、传输机制。2、信息的加密算法
    1、一个好的传输机制，本身就是不容易被破解。比如HTTPS传输肯定比HTTP安全。
    2、好的加密算法。即使第一条做不到，算法好无形增加了破解者难度。
    不过最终该注意哪些，还是得看具体应用场景。如果是普通资讯类站点。就没必要用HTTPS传输机制。做到第2点即可。银行、金融比较重要的领域。就必须做到第1点了。我想这个大家经常用网银都应该知道的。

3，说说读完试读章节后你的感想

    书本涉及到的细节很多，讲解得不错、挺详细的，包括了常见的SQL前端注入、XSS、跨站攻击等。其中我还测试了一个传输超长COOKIE的问题。导致结果是本地访问服务器是500错误。呵呵。这个挺好玩的。这里SQL前端注入，目前的网站已经非常少见这种漏洞了。这点还得归功于现在开源系统的成熟。也就是说一般普通方法已经很难达到破解系统的目的。

  以上是个人的一些浅见看法，欢迎指正！

heritrix

感谢CU举办的这个活动，希望这种活动能够更多一些，也希望cu越办越好