电子商务网站,互联网的安全防御相当重要,尤其是牵扯到支付这一块的。本文总结了一些比较通用的 web 安全防御常识,供大家参考一下,也希望可以和关心这一块的同行一起讨论一下这方面的话题。
1. 信息传输加密
https 使用对称加密还是非对称加密?
对称加密使用 DES 还是 AES?
非对称加密使用 RSA 还是 DSA?
- 使用什么加密算法,在购买证书的时候就要确定。一般是用 RSA 2048 位。
SSL 证书需要不需要购买?
- 不需要购买的理由 - 我们使用HTTPS的目的就是希望服务器与客户端之间传输内容是加密的,防止中间监听泄漏信息,去证书服务商那里申请证书不划算,因为使用服务的都是固定客户和自己内部人士,所以我们自己给自己颁发证书,忽略掉浏览器的不信任警报即可。一般内部使用的都是自己给自己颁发证书。而开放给客户的网站则一般都是购买了证书的,但也不排除一些网站出于成本的考虑而没有购买,比如 12306 铁路购票网站,会过日子啊。
- 需要购买的理由 - 用户体验好、专业性强。
双向验证还是单向验证?
- 单向验证验证的是服务器;双向验证服务器客户端互相验证。
- 对于服务器来讲,单向验证能够保证传输的数据加密过了;双向验证不仅保证传输数据加密,还能够保证客户端来源的安全性。
- 如果使用双向验证的话,需要客户端浏览器导入证书。
- 出于客户体验的考虑,大部分 https 网站使用的都是单向验证(比如 CSDN 登录),一些安全性要求高的使用的是双向验证(比如招行网上银行、支付宝)。