本文总结了在使用Web时将要面临的一些安全威胁的类别。一种归类的方式是将它们区分为被动和主动攻击:被动攻击包括在浏览器和服务器通信时窃听,获得原本被限制使用的权限;主动攻击包括伪装成其他用户、篡改客户和服务器之间的消息或篡改Web站点的信息。
另一种分类方法是按威胁的位置分类:Web服务器、Web浏览器和服务器与浏览器之间的网络通信。服务器与浏览器的安全问题是计算机系统自身的安全性问题。
完整性:主要受到的威胁有修改用户数据、特洛伊木马浏览器、内存修改、修改传送中的消息,造成的后果分别是:消息丢失、机器损害、易受所有其他威胁的攻击。
应对措施:加密的校验和。
保密性:主要受到的威胁有网上窃听、窃取服务器数据、窃取客户端数据、窃取网络配置信息、窃取客户端与服务器通话信息。造成的后果分别是信息失窃和秘密失窃。
应对措施:加密、Web代理
拒绝服务:主要受到的威胁有破坏用户线程、用假消息使机器溢出、填满硬盘或内存、使用DNS攻击来孤立机器。造成的后果分别是通信中断、信号干扰以及阻止正常工作。
应对措施:难于防止。
认证:主要受到的威胁有伪装成合法用户、伪造数据。造成的后果分别是用户错误和相信虚假信息。
应对措施:加密技术。
