Phân biệt SHTTP và HTTPS

Discussion in 'Bảo Mật - Security' started by [Zee], May 30, 2009.

  1. Offline

    [Zee]

    • Active Member

    Message Count:
    178
    Likes Received:
    40
    Trophy Points:
    28
    Https là http over SSL còn shttp là secure http.

    * SHTTP là một giao thức bảo mật sử dụng để mã hoá và host các thông tin nhạy cảm trên web. Nó là một phần rất quan trọng trong việc bảo mật các dữ liệu như tài chính, các thông tin tối quan trọng. Secure HTTP được phát triển bởi Enterprise Integration Technoloy (EIT) đưa ra năm 1995 và được tổ chức CommerceNet Project tại Silicon Valley public ra ngoài.

    Là một giao thức mở rộng từ giao thức HTTP hỗ trợ bảo mật dữ liệu trong quá trình truyền qua World Wide Web. Không phải tất cả các Web Brower và các server đều hỗ trợ S-HTTP. Một công nghệ khác cũng đảm bảo bảo mật trong quá trình truyền qua WWW là Secure Socket Layer (SSL) được sử dụng nhiều hơn. Tuy nhiên SSL và S-HTTP có thể rất khó thiết kế và sử dụng kết hợp chúng với nhau. Khi một SSL được thiết lập nó sẽ giúp bảo mật thông tin truyền giữa hai máy tính, S-HTTP được thiết lập để gửi những đoạn messages một cách bảo mật. Cả hai giao thức đều đuợc tổ chức Internet Engineering Task Force IETF coi là chuẩn chung.

    Cung cấp cho hệ thống một giải pháp bảo mật tối ưu dựa trên môi trường Web, với HTTP. Nó cho phép client và server thương lượng độc lập với nhau trong: Phương thức mã hoá, phương thức xác thực, và sử dụng digital signature, và tích hợp nhiều phương pháp với nhau. Nó hỗ trợ nhiều khả năng mã hoá dữ liệu như, triple DES và nhiều phương pháp khác. Sử dụng SHTTP bắt đầu bằng việc chuyển các messages với những thông tin quan trọng cần được mã hoá, hash (băm - theo thuật toán nào đó như DES chẳng hạn), và các thuật toán signature. Và nó có thể thực hiện trên các header và các nội dung trong quá trình truyền.

    SHTTP cung cấp toàn bộ cả ba tính năng: Bảo đảm thông tin không bị lộ (tối mật - confidentiality), xác thực (authentication), tính toàn vẹn thông tin (Integrity) cho một file cơ bản nào đó. Web site với tính năng bảo mật được áp dụng để truyền các thông tin cần tính bảo mật cao như Credit card, các thông tin các nhân, mật khẩu, tài khoản người dùng, bảo mật các thông tin truyền trên mạng Internet cho một tổ chức.

    Có hai tổ chức đưa ra là: Secure Socket Layer (SSL) từ Netcape và Secure HTTP (S-HTTP) từ Enterprise Integration Technology. Được áp dụng trong thương mại cung cấp tính năng bảo mật cực cao ví như Secure Electrolic Transactions (SET), cho quá trình truyền các thông tin như MasterCard và Vista.

    * Hoạt động của Https như sau, thông thường thì các trình duyệt như IE hay fire fox đều tích hợp việc nhận dạng ( hay trust) các certificate của các CA, một ứng dụng hay website muốn sử dụng chứng thực điện tử của các CA này, thì phải bỏ tiền ra để duy trì chứng thực điện tử trên các CA server này, khi một user mở một phiên truy cập đến server của website.

    - Bước 1: nó sẽ được chuyển đến server của CA, server của CA sẽ cung cấp cho user chứng thực điện tử, vậy là xong bước thứ nhất.

    - Bước thứ 2: trình duyệt của user sẽ xác thực xem chứng thực điện tử này có trust hay không, sẽ hiện lên bảng thống báo.

    - Bước thứ 3: sau khi đã trust, trình duyệt sẽ tự tạo ra một key, sau đấy lấy public key trong chứng thực điện tử mà vừa nhận, mã hóa key đấy và gửi cho server web.

    - Bước 4: server web sẽ lấy private key của mình, giải mã thông tin vừa nhận, lấy được key mà trình duyệt web của user tạo ra,nó sẽ dùng key này để mã hóa các dữ liệu để gửi cho user.

    Ứng dụng của HTTPS là cung cấp bảo mật cho tất cả các thông tin cần bảo mật trên nền Web.

    Vậy cứ thông tin nào cần bảo mật trên nền web thì có thể ứng dụng nó. Nhưng đi kèm với quá trình bảo mật có nghĩa hệ thống của bạn phải xử lý nhiều hơn.

    Cân nhắc sử dụng bảo mật là một điều vô cùng quan trọng, vừa đảm bảo tính an toàn cho các thông tin quan trọng, vừa đảm bảo tốc độ trả lời cho các truy vấn bình thường.

    Do đó khi một quá trình truyền dữ liệu quan trọng sẽ cần phải bảo mật như: Username, password các thông tin quan trọng khác. VD nhu ứng dụng: Các hệ thống Mails, ngân hàng, các thanh toán trực tuyến,...

    Một ví dụ điển hình là trang web bình thường ai cũng vào được cần tốc độ cao chứa các thông tin không quan trọng không cần sử dụng HTTPS:

    http://volam.zing.vn/shxt/

    Khi bạn đăng nhập vào tài khoản người dùng trang web sẽ chỉ bạn đến địa chỉ buộc phải có tính bảo mật cao hơn đó là:

    https://id.zing.vn/login/index.1.html

    Đây là ví dụ điển hình. lấy từ cách thực hiện và sử dụng HTTPS của vinagame vào trò chơi võ lâm.

    Theo VnExperts
    ________________________________________

    Bonus thêm tấm hình lấy từ HVA :D [IMG]

Share This Page