Tải bản đầy đủ (.docx) (23 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. Quản trị Web

Đề cương thương mại điện tử

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (336.91 KB, 23 trang )

Câu hỏi ôn tập
Câu 1: Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của
TMĐT
Giai đoạn 1: Thương mại Thông tin (i-Commerce) Thông tin
(Information) lên mạng web. Trao đổi, đàm phán, đặt hàng qua mạng (e-mail,
chat, forum...). Thanh toán, giao hàng truyền thống.
- Mua máy tính, email, lập website
- Giao dịch với khách hàng, nhà cung cấp bằng email
- Tìm kiếm thông tin trên web
- Quảng bá doanh nghiệp trên web
- Hỗ trợ khách hàng về sản phẩm, dịch vụ
Giai đoạn 2: Thương mại Giao dịch (t-Commerce) . Hợp đồng điện tử (ký
kết qua mạng). Thanh toán điện tử (thực hiện qua mạng) (online transaction).
- Xây dựng mạng nội bộ doanh nghiệp
- Ứng dụng các phần mềm quản lý Nhân sự, Kế toán, Bán hàng, Sản xuất,
Logistics
- Chia sẻ dữ liệu giữa các đơn vị trong nội bộ doanh nghiệp
Giai đoạn 3: Thương mại “cộng tác”(c-Business). Integrating /
Collaborating. Nội bộ doanh nghiệp các bộ phận lkết (integrating) và kết nối
với các đối tác kinh doanh (connecting)
- Liên kết doanh nghiệp với nhà cung cấp, khách hàng, ngân hàng, cơ
quan quản lý nhà nước
- Triển khai các hệ thống phần mềm Quản lý khách hàng (CRM), Quản lý
nhà cung cấp (SCM), Quản trị nguồn lực doanh nghiệp (ERP).
Câu 2: Phân loại TMĐT
- B2B (Business to Business): Doanh nghiệp này bán hàng cho doanh
nghiệp khác
Ví dụ: Wal-Mart, Siemens
- B2C (Business to Consumer): Doanh nghiệp bán hàng cho người tiêu
dùng
Ví dụ:Amazon.com, Pets.com, Merrill Lynch Online


- C2C (Consumer to Consumer): Khách hàng với khách hàng


Câu 3: Kiến trúc TMĐT

Backbone: là hệ thống cáp có băng thông cao truyền dữ liệu dùng cho truyền dữ liệu
qua mạng Internet
Nhà cung cấp dịch vụ mạng (Network Service Provider – NSP): UUNet, CerfNet,
IBM, BBN Planet, SprintNet, PSINet…
Điểm truy cập mạng (Network Access Point) còn gọi là Internet Exchange Point (IX)
Các nhà cung cấp dịch vụ internet (ISP-Internet Service Provider) mua lại băng thông
của các NSP và bán cho các khách hàng là các tổ chức, công ty, trường học, cá nhân vv..

Câu 4: Các rủi ro mất ATTT của Internet
- Virus và các mã độc hại trên Internet
 Virus
 Sâu máy tính(Worm)
 Trojan
-

Tin tặc







Thực hiện phân tích tìm vết
Liệt kê, tổng hợp các thông tin

Tìm cách truy cập thông qua việc lợi dụng người sử dụng hệ thống
Nâng cấp quyền
Thu thập các mật khẩu và các bí mật hệ thống khác
Cài đặt cổng hậu (backdoor)


 Khai thác hệ thống
-

Gian lận thẻ tín dụng

 Truyền thống:
 Thương mại:
- Gian lận thẻ tín dụng
 Truyền thống: thẻ tín dụng bị mất, bị đánh cắp; các thông tin về số
thẻ, mã số định danh cá nhân (PIN), các thông tin về khách hàng bị
tiết lộ và sử dụng bất hợp pháp
 TMĐT: mối đe dọa lớn nhất là bị “mất” các thông tin liên quan đến
thẻ hoặc các thông tin về giao dịch sử dụng thẻ trong quá trình diễn ra
giao dịch
-

Sự lừa đảo
 tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một
người nào đó
 thay đổi hoặc làm chệch hướng liên kết Web tới một địa chỉ khác
với địa chỉ thực
=> Các hành vi lừa đạo không những đe dọa tính toàn vẹn, mà
còn đe dọa tính xác thực của các giao dịch TMĐT
- Từ chối dịch vụ

 sử dụng những lưu lượng rác (spam) làm tràn ngập và dẫn tới tắc

nghẽn mạng
 sử dụng số lượng lớn máy tính tấn công vào một mạng từ nhiều

điểm khác nhau gây nên sự quá tải về khả năng cung cấp dịch vụ
-

Kẻ trộm trên mạng
 chương trình nghe trộm, giám sát sự di chuyển của thông tin trên

mạng
 Xem lén thư điện tử
-

Sự tấn công từ bên trong doanh nghiệp

-

Đánh cắp định danh:
 Định danh số: sự thể hiện của một người trong hệ thống thông tin
o Danh tính của người sử dụng
o Các yếu tố đặc trưng


 Các trường hợp tội phạm đánh cắp định danh
o Sử dụng định danh ăn cắp để mở tài khoản mới kiếm lợi
o Sử dụng định danh ăn cắp được để lạm dụng tài khoản hiện

có của người chủ thật.

o Ăn cắp định danh tội phạm: khi tội phạm đánh cắp định danh

của 1 người khác và đưa định danh đó cho bộ phận luật pháp
thay thế cho định danh của mình
-

Khai thác lỗ hổng

-

Khai thác lỗi vận hành

-

Tấn công Web và ứng dụng:
 Các nguy cơ được phân tích bởi OWASP (Open Web Application

Security Project)
o A1: Dữ liệu đầu vào không được kiểm tra
o A2: Lỗi kiểm soát truy cập nguồn tài nguyên
o A3: Lỗi liên quan đến quá trình quản lý xác thực và phiên

truy cập
o A4: Lỗi Cross Site Scripting (XSS)
o A5: Lỗi tràn bộ đệm
-

Tấn công trên máy chủ Web
 Các tấn công này dựa trên lỗ hổng của hệ điều hành máy chủ chứa


ứng dụng web
 Tấn công các lỗ hổng liên quan đến vấn đề quản trị Web
-

Tấn công trên trình duyệt web
 Dữ liệu đầu vào không được kiểm tra
 Lỗi kiểm soát truy cập nguồn tài nguyên
 Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập
 Lỗi Cross Site Scripting (XSS)
 Lỗi tràn bộ đệm
 Lỗi Injection
 Quy trình quản lý báo lỗi
 Lưu trữ thiếu an toàn
 Từ chối dịch vụ
 Quản lý cấu hình thiếu an toàn


Câu 5: Trình bày về các tấn công sau và cách phòng chống:
Phishing:
-

Là một hình thức gian lận để có được những thông tin nhạy cảm như:
username, password, creditcard... bằng cách giả mạo một thực thể đáng
tin cậy trong quá trình giao tiếp trên mạng. Sử dụng email, tin nhắn gửi
đến người dùng yêu cầu cung cấp thông tin cần thiết.
- Cách phòng chống:
+ Cảnh giác trước những thông tin lạ, lời quảng cáo, email mang tính chất
đánh vào tâm lí người dùng như nhận quà, tạo lại tài khoản...
+ Sử dụng những công cụ phát hiện web không tin cậy
+ Dùng giao thức https khi truy cập những trang web chứa nhiều thông

tin mật như gmail.
Sesion Hijacking:
- Tấn công lên phiên làm việc giữa client và server đánh cắp cookie người
dùng sau khi họ bước qua phiên xác thực để chiếm lấy phiên làm việc.
Chủ động tính toán các giá trị tuầ tự của gói tin trong tcp session. Thụ
động thì thu thập thông tin truyền thông chiếm được cookie.
- Phòng chống:
+ sử dụng mã hóa
+ Hạn chế các kết nối đầu vào
+ Giảm truy cập từ xa
+ Có chế độ xác thực Mạnh
+ Nâng cao nhận thức an toàn thông tin.
+ Sử dụng thông tin truy cập khác nhau cho các tài khoản khác nhau.
Từ chối dịch vu:
- Ngăn cản người dùng hợp pháp truy cập và sử dụng một dịch vụ nào đó.
Làm tràn ngập mạng, gây mất kết nối tới dịch vụ... mục đích làm server
không đáp ứng được yêu cầu của client. Bản chất: kẻ tấn công chiếm một
lượng lớn băng thông, bộ nhớ và làm mất khả năng xử lí các yêu cầu dịch
vụ từ các client.


- Phòng chống: gia tăng tài nguyên(băng thông, CPU, disk space,
memory). Tài nguyên phát tán rộng trên Internet.
- Giảm thiểu tác hại: cản lọc những đặc điểm cụ thể dựa trên thông tin từ
logs hoặc từ packet điều này yêu cầu người quản trị phải am hiểu về logs
cũng như các gói tin. Ấn định sô lần truy cập trong một khoảng thời gian
nhất định.
Virus:
- Là một chương trình, đoạn mã tự nhân bản và sao chép. Có thể thực hiện
các hành động như xóa dữ liệu, làm hỏng ổ cứng, làm cho chương trình

hoạt động không đúng... Nhằm mục đích lấy cắp dữ liệu người dùng,
thông tin nhạy cảm, mở cổng sau cho tin tặc xâm nhập, tấn công chiếm
quyền điều khiển.
- Phòng chống: sử dụng antivirus, sao lưu ổ đĩa, sử dụng tường lửa, cập
nhật bản vá lỗi.
6. Phân biệt các phần mềm độc hại: adware, spyware, Trojan horse,
worm và cách phòng tránh
Các loại phần mềm độc hại:

• Spyware: đánh cắp thông tin.
• Adware: hiển thị popup quảng cáo không mong muốn.
• Trojan horse: tồn tại dưới dạng ẩn bên trong chương trình có ích, thực
hiện hành vi ác ý theo ý đồ người viết, không có khả năng tự nhân bản,
không có tính chất lây lan.
• Back door: có tính chất giống trojan horse, mở một cửa hậu để kẻ tấn
công kết nối đến.
• Worrm: có tính chất phá hoại của virus và hoạt động âm thầm của trojan,
tốc độ lây lan nhanh, hoạt động độc lập. Tự nhân bản chính nó, không cần
chương trình chủ thể để lây lan. Tự tìm môi trường, tự tìm cách lây lan
bằng cách dựa vào điểm yếu của hệ điều hành, hệ thống mạng mà không
cần sự tác động của người dùng hoặc chương trình khác.


Cách phòng chống:

• sd phần mềm Antivirus;
• cập nhật hệ điều hành, ứng dụng thường xuyên để vá lỗi;
• sử dụng chữ ký số để bảo về file hệ thống và file điều khiển;

Câu 7: Trình bày về giao thức SSH

- SSH – Secure Shell: Là giao thức giúp thiết lập một kết nối đến tài
nguyên một cách bảo mật
- Nằm ở tầng 4 (tầng ứng dụng) trong mô hình TCP/IP
a. Chức năng
- Đảm bảo thực hiện các lệnh từ xa an toàn (Secure command shell,
remote execution of commands)
- Đảm bảo truyền file an toàn
- Tạo các tunnel truyền dữ liệu cho các ứng dụng dựa trên TCP/IP
b. Dịch vụ cung cấp
- Tính bí mật:
+ SSH cung cấp tính bí mật bằng việc mã hóa dữ liệu đi qua mạng
+ Hỗ trợ nhiều thuật toán mã hóa đối với phiên dữ liệu, đó là những thuật
toán mã hóa chuẩn như: AES, DES, 3DES,..
- Tính toàn vẹn:
+ Giao thức SSH sử dụng phương pháp kiểm tra toàn vẹn mật mã .
Phương pháp này kiểm tra cả việc dữ liệu có bị biến đổi hay không và dữ
liệu đến có đúng là do đầu kia gửi không
+ Sử dụng thuật toán băm MD5, SHA1
- Tính xác thực:
+ Mỗi kết nối SSh gồm 2 việc xác thực: Client kiểm tra định danh của
SSH Server và Server kiểm tra định danh của người sử dụng yêu cầu truy
cập
+ SSH hỗ trợ xác thực bằng mật khẩu


+ Ngoài ra SSH còn cung cấp cơ chế mạnh hơn và dễ sử dụng hơn: Mỗi
user có nhiều chữ ký khóa công cộng và một cải tiến rlogin-style xác
thực với định danh host đc kiểm tra bằng khóa công khai
c. Kiến trúc bộ giao thức SSH


- Phía Server: Giao thức SSH transport layer protocol (TLP): Đảm bảo
tính xác thực, bí mật và toàn vẹn
- Phía Client: Giao thức xác thực người dùng UAP- user authentication
protocol
- Giao thức kết nối: CP (SSH connection protocol )
+ Thiết lập các phiên đăng nhập, thực hiện các lệnh từ xa, chuyển hướng
các kết nối TCP/IP
+ Chạy trên cả hai giao thức dành cho Server và client

Câu 8: Trình bày về giao thức SSL:
a. Chức năng: SSL/TLS đem lại các yếu tố sau cho truyền thông trên
internet:
- Bí mật - Sử dụng mật mã
- Toàn vẹn - Sử dụng MAC
- Xác thực- Sử dụng chứng chỉ X.509
b. Các bước hoạt động:
- Thiết lập một phiên làm việc
 Đồng bộ thuật toán mã hoá
 Chia sẻ khoá bí mật
 Thực hiện xác thực


- Truyền dữ liệu của ứng dụng
 Đảm bảo tính bí mật và toàn vẹn
c. Các giao thức thành phần:
- Giao thức bản ghi:

Thực hiện các quá trình đóng gói dữ liệu như: chia nhỏ dữ liệu, nén lại và
mã hóa kàm theo MAC và truyền đi dưới cấu trúc của một gói tin TCP.
- Giao thức bắt tay: Pha bắt tay:

 Thoả thuận bộ thuật toán mã hoá gồm
o Thuật toán mã hoá đối xứng sử dụng
o Phương pháp trao đổi khoá
 Thiết lập và chia sẻ khoá bí mật
 Thông điệp Hello
 Thông điệp trao đổi khoá và chứng chỉ
 Thay đổi CiperSpec và gửi thông điệp kết thúc pha bắt tay và chuyển

sang quá trình truyền dữ liệu
Thông điệp hello:
 Client “Hello” - Khởi tạo phiên làm việc
o Gửi thông tin phiên bản giao thức
o Thông tin về bộ mã hoá sử dụng
o Server chọn giao thức và bộ mã hoá phù hợp
 Client có thể yêu cầu sử dụng các phiên làm việc đã có từ trước nằm ở

trong cache
o Server lựa chọn sao cho phù hợp


Trao đổi khóa:
 Server gửi chứng chỉ chứa khoá công khai (RSA) hoặc tham số của

Diffie-Hellman
 Client tạo ra 48-byte ngẫu nhiên gửi tới Server sử dụng khoá công

khai của server
 Mầm khoá bí mật được tính toán
o Sử dụng các giá trị bí mật truyền trong thông điệp Hello giữa


Server và Client
Chứng chỉ khóa công khai:
 Chứng chỉ X.509 đồng bộ khoá công khai với định danh người dùng
 Trung tâm CA tạo ra chứng chỉ
o Dựa vào các chính sách và các định danh được xác nhận
o Ký lên chứng chỉ
 Người sử dụng chứng chỉ phải đảm bảo là nó hợp lệ

Câu 9: Trình bày về giao thức SET:
a. vai trò:
- Cung cấp tính bí mật của thông tin thanh toán và đặt hàng
- Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền
- Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ
của tài khoản thẻ
- Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận
các giao dịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính
- Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống
tốt nhất để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch
thương mại điện tử
- Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch
vụ mạng
b.các thành phần:
- Chứng chỉ số: kiểm tra danh tính người dùng.
- Mã hóa khóa công khai: đảm bảo thông tin giao dịch không thể bị đọc
được bởi người không phải là người nhận.


- Chữ kí số: cùng chứng chỉ số, kiểm tra thông tin yêu cầu có đúng từ
người


c.Quá trình giao dịch
- Khách hàng mở một tải khoản tại ngân hàng hỗ trợ giao thức SET và
nhận một thẻ tín dụng: MasterCard, Visa, vv…
- Sau khi xác thực định danh, khách hàng sẽ nhận được chứng thư điện tử
X.509v3 được ký bởi ngân hàng.
- Công ty thương mại chấp nhận thẻ phải có hai chứng thư X.509v3, một
dùng để ký và một dùng cho việc trao đổi khóa
- Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty
thương mại
- Công ty thương mại sẽ gửi bản copy chứng thư của nó cho khách hàng
để thực hiện việc xác minh
- Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương
mại sử dụng chứng thư số của khách hàng
 Đơn đặt hàng gồm có các mặt hàng được đặt mua
 Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng
 Thông tin thanh toán được được mã hóa sao cho nó không thể được
đọc bởi công ty thương mại


-

 Chứng thư số của khách cho phép công ty thương mại xác minh
được khách hàng
Công ty thương mại yêu cầu kiểm chứng thông tin thanh toán từ cổng
thanh toán trước khi thực hiện chuyển hàng
Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng
Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng
Công ty thương mại yêu cầu thanh toán từ cổng thanh toán
Câu 10: Các phương thức thanh toán điện tử


 Thẻ tín dụng

- Sử dụng cho việc thanh toán qua mạng internet
- Có hạn chế số lượng tiền khi thanh toán
- Hiện tại được sử dụng phổ biến nhất
- Là cách thức thanh toán điện tử đắt nhất
Vd: MasterCard: $0.29 + 2% giá trị thanh toán
- Không thanh toán với giá trị nhỏ
- Không thanh toán với giá trị thanh toán lớn
 Tiền điện tử
- Là thể hiện ở dạng điện tử của tiền truyền thống
- Được quy định bởi nhà trung gian đầu cơ (broker)
- Được mua bằng tiền thật từ người sử dụng
- Được thanh toán trên các trang bán hàng có chấp nhận tiền điện tử
 Séc điện tử
- Có giá trị và bản chất tương đương với séc giấy thông thường
- Một file séc điện tử là tài liệu điện tử có chứa các dữ liệu sau:
o Số séc
o Tên người trả tiền
o Tên ngân hàng và số tài khoản của người trả tiền
o Tên người nhận tiền
o Số tiền sẽ trả
o Đơn vị tiền


o Ngày hết hạn
o Chữ ký điện tử của người trả tiền
o Xác nhận của người nhận tiền
 Ví điện tử
- Là phần mềm hoặc thiết bị phần cứng lưu trữ.

- Nó lưu trữ tiền điện tử của người chủ ví dưới dạng chuỗi bit.
- Tiền điện tử có thể tải trực tuyến vào ví và dùng tại các điểm bán hàng
có chấp nhận ví
 Thẻ thông minh
- Là thẻ nhựa có chứa một microchip
- Được sử dụng cách đây hơn 10 năm
- Được sử dụng phổ biến tại Châu âu, Australia, và Nhật bản
- Đầu tiên thì không được phổ dụng ở mỹ, nhưng sau đó thì dần được sử
dụng nhiều do:
o Thẻ thông minh hỗ trợ nhiều ứng dụng
o Khả năng tương thích giữa thẻ thông minh, thiết bị đọc thẻ và các

-

ứng dụng ngày càng tăng
Thẻ tín dụng
Sử dụng cho việc thanh toán qua mạng internet
Có hạn chế số lượng tiền khi thanh toán
Hiện tại được sử dụng phổ biến nhất
Là cách thức thanh toán điện tử đắt nhất
Vd:
 MasterCard: $0.29 + 2% giá trị thanh toán
Không thanh toán với giá trị nhỏ
Không thanh toán với giá trị thanh toán lớn

Câu 11: Trình bày ưu nhược điểm của tiền điện tử và phương pháp lưu
trữ, các thuộc tính mong muốn và những vấn đề gặp phải.
 Ưu nhược điểm

- Ưu điểm

+ Hiệu quả, thuận tiện


+ Chi phí giao dịch thấp
+ Bất cứ ai cũng có thể sử dụng, không giống như thẻ tín dụng, không đòi
hỏi các yêu cầu đặc biệt
- Nhược điểm
+ Bị lợi dụng để rửa tiền
+ Khó khăn khi triển khai
 Hai phương pháp lưu trữ
- On-line
+ Cá nhân không phải lưu trữ thông tin về tiền điện tử
+ Việc lưu trữ tiền được thực hiện bởi ngân hàng, ngân hàng sẽ
lưu trữ các tài khoản tiền của khách hàng
- Off-line
+ Khách hàng được cung cấp thẻ thông minh hoặc phần mềm ví
điện tử trong đó lưu trữ các thông tin về tiền của mình
+Sử dụng mã hoá để chống trộm cắp, lừa đảo hoặc tiêu tiền
nhiều lần
 Các thuộc tính mong muốn của tiền điện tử:
+ Được chấp nhận rộng rãi
+ Có thể chia nhỏ được
+ Không làm giả và không ăn trộm được
+ Bí mật (Không ai ngoài người sở hữu biết lượng tiền của mình)
+ Vô danh (không ai có thể xác định được người trả tiền)
+ Làm việc được ở chế độ off-line (không cần xác thực online)
+ Hiện nay chưa có một hệ thống nào đáp ứng được tất cả các điều này
 Những vấn đề gặp phải:
- Tiền điện tử chỉ được tiêu một lần
- Phải được tiêu giống như các loại tiền tệ bình thường

+ Phải được bảo vệ chống lại sự giả mạo
+ Phải có tính chất độc lập và chuyển tự do không phân biệt quốc gia
hay cơ chế lưu trữ
+ Phải chia nhỏ được và thuận tiện trong sử dụng
+ Hạn chế sự phức tạp trọng giao dịch


Câu 12: Trình bày về Smart Card và các ứng dụng của nó
-

Đặc điểm:





Là thẻ nhựa có chứa một microchip
Được sử dụng cách đây hơn 10 năm
Được sử dụng phổ biến tại Châu âu, Australia, và Nhật bản
Đầu tiên thì không được phổ dụng ở mỹ, nhưng sau đó thì dần được
sử dụng nhiều do:
o Thẻ thông minh hỗ trợ nhiều ứng dụng
o Khả năng tương thích giữa thẻ thông minh, thiết bị đọc thẻ và các
ứng dụng ngày càng tăng

-

Các loại:
 Thẻ từ : Bộ nhớ 140 bytes
 Thẻ nhớ : Bộ nhớ 1-4 KB memory, không có bộ chip xử lý

 Thẻ nhớ quang: 4 megabytes read-only (CD-like)
 Thẻ có nhúng bộ vi xử lý :Tích hợp bộ vi xử lý trên thẻ
o

8-bit processor, 16 KB ROM, 512 bytes RAM

o Có cả các thẻ có bộ vi xử lý 32-bit
-

Ứng dụng:
 Làm vé điện tử: Được sử dụng đầu tiên ở hệ thống xe bus ở Seoul

Hàn quốc
 Làm thẻ đăng nhập, ra vào cửa vv.. (Authentication, ID)
 Lưu trữ thông tin y tế
 Tiền điện tử (Ecash)
 Lưu trữ các chương trình bản quyền
 Lưu trữ hồ sơ cá nhân
 Vv…
-

Ưu điểm:
 Nhỏ gọn, thuận tiện trong giao dịch


 Có thể thanh toán cả các giao dịch với giá trị thanh toán nhỏ
 Ẩn danh (Potentially)
 Lưu trữ an toàn
-


Nhược điểm:
 Mức giao dịch bị hạn chế (không dùng được cho B2B)
 Chi phí xây dựng cơ sở hạ tầng cao
 Chỉ có một điểm đọc (dễ bị hỏng)
 Sử dụng chưa được phổ biến

Câu 13: Các dịch vụ bảo mật thanh toán
 Nhóm 1: bảo mật giao dịch thanh toán:
- người dùng nặc danh: bảo vệ không tiết lộ danh tính người dùng trong
mạng giao dịch
- Không theo dấu được địa điểm: bảo vệ chống tiết lộ địa điểm phát lệnh
giao dịch
- Người trả tiền nặc danh: bảo vệ không tiết lộ danh tính người trả tiền
- Không theo dấu được giao dịch thanh toán: bảo vệ không liên hệ 2 giao
dịch thanh toán khác nhau của cùng 1 khác hàng không liên kết với
nhau
- Bảo mật dữ liệu giao dịch bảo vệ chống tiết lộ các dữ liệu cụ thể trong
giao dịch
- Chống từ chối thông điệp giao dịch thanh toán: không cho phép từ chối
nguồn xuất phát thông điệp giao thức xuất phát giao dịch thanh toán
- Không lặp thông điệp giao dịch
 Nhóm 2: Bảo mật tiền điện tử
- Bảo vệ chống tiêu tiền nhiều lần: trên cùng 1 khối lượng tiền
- Chống giả mạo tiền: chống bên không phép tạo ra tiền điện tử giả
- Bảo vệ tiền không bị ăn trộm, sao chép
 Nhóm 3: Bảo mật séc điện tử
- Dịch vụ dựa trên công nghệ đặc thù của hệ thống thanh toán này.
- Có dịch vụ Trung gian chuyển & chứng nhận thanh toán:



o B1: bên xác thực hợp pháp đứng ra chứng nhận
o B2: chuyển tiếp tới bên xác thực trung gian tiếp theo được
lựa chọn theo nguyên tắc xác thực có giới hạn
Câu 14: Các vấn đề trong bảo mật giao dịch thanh toán
Giả mạo tiền
Giả mạo chữ ký
Giả mạo séc: không có tài khoản vẫn ký séc
Tài liệu điện tử bị sao chép sai, thường sai lệch
Chữ ký điện tử có thể bị bất kỳ ai biết khóa bí mật sử dụng
Danh tính người trả tiền có thể bị tiết lộ.

Câu 15: Trình bày các bước tạo chư ký đôi (chữ ký kép)

* Các bước thực hiện hai chữ ký như sau
- Lấy giá trị hàm băm của đơn đặt hàng và thông tin thanh toán
- Hai giá trị băm này được gắn kết với nhau [H(PI) || H(OI)] và được
băm tiếp
- Khách hàng mã hóa giá trị băm cuối cùng với khóa bí mật
DS = Eprivate key C [ H(H(PI) || H(OI)) ]
- Chữ ký được xác minh bởi công ty thương mại:
+ Công ty thương mại có:
o Giá trị DS


o khóa công khai của khách hàng nhận được từ chứng chỉ của
khách hàng,
o Giá trị băm của thông tin thanh toán (PIMD)
o Thông tin về đơn hàng OI
+ Công ty thương mại có thể tính hai giá trị này, và hai giá trị này
phải bằng nhau: H(PIMD || H(OI))

Dpublic key C[DS]
- Chữ ký được xác minh bởi ngân hàng:
+ Ngân hàng được có các thông tin gồm:
o giá trị DS,
o Thông tin thanh toán PI,
o giá trị băm OI (OIMD)
o khóa công khai của khách hàng
+ Ngân hàng dựa trên đó có thể tính được các giá trị sau:
H(H(PI) || OIMD)
Dpublic key C [ DS ]
Câu 16:
Gateway

Trình bày về Proxy và Gateway. So sánh giữa Proxy và

Proxy: là máy chủ trung chuyển giữa máy khách và máy chủ chính thực sự chứa dữ
liệu được máy khách truy vấn.

• Hoạt động:
− Pục vụ, đáp ứng y/cầu từ máy khách hoặc chuyển tiếp y/cầu đó cho máy
chủ #.
− Proxy và máy khách thiết lập một bộ đệm dùng chung để lưu dữ liệu..
− Client gửi yêu cầu 1 tài liệu mà trước đó Proxy đã lưu trên bộ đệm chia
sẻ. Với điều kiện tài liệu đó là mới nhất và Server chứa tài liệu này cho
phép Proxy chuyển cho Client thì Proxy sẽ trả về tài liệu cho Client.


Gateway: là điểm gắn kết giữa ứng dụng và tài nguyên, 1 ứng dụng có thể yêu cầu
(qua một giao thức bất kỳ) gateway pục vụ y/cầu nào đó. Gateway có thể thực hiện truy vấn
CSDL hoặc tạo ra các nội dung động (gateway đóng vai trò như 1 portal nhận request và trả

lời).

• Hoạt động:

− Gateway nhận request từ Client và gửi cho Server; Gateway nhận
response từ Server và trả về cho Client; Gateway có thể mã hóa và giải
mã các request.
So sánh Proxy và Gateway:

• Giống nhau: Thực hiện chuyển tiếp các request và response giữa Client
và Server.
• Khác nhau:
Proxy

Gateway

- Thực hiện kết nối giữa các ứng dụng có giao thức giống - Chuyển tải dữ liệu từ mạng này
nhau.
sang mạng khác, từ giao thức
- Có thể trong suốt với người dùng hoặc không trong suốt này sang giao thức khác.
với người dùng nếu Proxy cung cấp thêm một số dịch vụ - Luôn trong suốt với người
gia tăng.
dùng.

Câu 17: Trình bày về Web Cache.
- Khái niệm:
Web cache là một bộ máy cho phép bạn lưu trữ tạm thời các tài nguyên tải
về từ trình duyệt (Browser). Chẳng hạn như các đã files download, các
hình ảnh, dữ liệu…của một trang web mà bạn vừa ghé qua. Tiện ích này
giúp giảm thiểu việc sử dụng băng thông (bandwidth) truy cập máy chủ để

tải về các tài nguyên bởi các tài nguyên đã được lưu trong bộ nhớ Cache thì
vẫn có khả năng thực thi mà không cần phải tải mới các tài nguyên đó.
Nghĩa là dữ liệu trong bộ nhớ Cache là một bản sao của các bản chính mà
trình duyệt đã truy cập tới và tải về.
Web cache được đặt giữa các servers và client.
- Mục tiêu:
• Giảm tải cho server
• Nâng cao hiệu năng hiệu năng hệ thống mạng


-

Giải pháp:
• Giải pháp thực hiện là làm lưu lại nội dung của web server được truy
cập, những yêu cầu đến nội dung đến

Phân loại:
Có 3 loại web cache chính:
• Brower cache:
• Proxy cache
• Gateway cache
-

Câu 18: Trình bày về các công nghệ chuyển hướng (redirection)
Redirection là kỹ thuật sử dụng phổ biến hiện nay bởi vì ứng dụng web
luôn luôn phải:
• Thực hiện các giao dịch HTTP an toàn, tin cậy
• Giảm độ trễ
• Duy trì ổn định băng thông mạng
- Các công nghệ chuyển hướng

• HTTP redirection
 Mục đich:
 Giảm độ trễ
 Chọn đường đi ngắn nhất
 Hạn chế:
 Hạn chế:
 Yêu cầu máy chủ phải có thể xử lý được tất cả yêu cầu
 Người sử dụng có thể phải chờ lâu vì phải 2 lần yêu cầu mới
được thực hiện
 Nếu máy chủ ban đầu không hoạt động thì trang web cũng
không hoạt động
-

DNS redirection
 Mục đich:
 Giảm độ trễ
 Chọn đường đi ngắn nhất
 Hạn chế:

• IP MAC forwarding
• IP Address Forwarding



Câu 19: So sánh giữa việc sử dụng Dedicated Server và Shared Server
Dedicated Server

Shared Server(virtual Hosting)

-


Thuê riêng máy chủ để đặt
ứng dụng web

-

Đặt nhiều ứng dụng web trên
cùng một máy chủ

-

Toàn quyền quản lý Server
(có thể cài đặt theo nhu cầu
sử dụng)

-

Không được cài đặt bất cứ
phần mềm nào trên đó

-

Tự chủ trong việc đảm báo
an toàn bảo mật cho Server

-

Không được cấu hình Server
theo yêu cầu của mình do đó
vấn để bảo đảm an toàn cho

server là không tự chủ được

-

Không phải chia sẻ tài
nguyên (CPU, bộ nhớ, băng
thông) với người khác

-

Hiệu xuất của website đặt
trên đó bị ảnh hưởng bởi hoạt
động của các website khác vì
phải chia sẻ tài nguyên (CPU,
bộ nhớ, băng thông với
website khác)

-

Cho phép phục vụ lớn một
lượng lớn truy cập đồng thời

-

Lượng truy cập bị hạn chế

-

Khi tạo them nhiều site khác
thì không tốn chi phi


-

Cần có chi phí để tạo them
nhiều site

-

Chi phí Cao

-

Chi phí thấp

-

Cần nhân lục có trình độ để
có thể quản lý và vận hành
máy chủ

-

Không phải quan tâm đến
việc quản lý Server

Câu 20: Trình bày về ghi nhật ký server web; mục đích, các giá trị
thường ghi lại
Mục đích: Kiểm tra các vấn đề trên server hoặc proxy (ví dụ: xem có
request nào bị lỗi) và tạo ra thống kê về lượng truy cập ứng dụng web
từ đó xác định lượng Server, băng thông, cần thiết cho ứng dụng web

ngoài ra còn hữu ích cho nhiều vấn đề khác
- Các giá trị thường được ghi lại:
• HTTP method (PUT, GET, POST, vv..)
• Phiên bản giao thức HTTP của cả client và Server
-








URL của tài nguyên được yêu cầu
Mã trạng thái HTTP của response
Kích cỡ thông điệp của request và response
Thời gian của giao dịch khi thực hiện
Giá trị Header của trình duyệt người dùng và tham chiếu tài nguyên

Câu 21:
browser.
-

Trình bày về web server, tương tác giữa web server và web

Khái niệm:

Web Server (máy phục vụ Web): máy tính mà trên đó cài đặt phần mềm
phục vụ Web, đôi khi người ta cũng gọi chính phần mềm đó là Web Server.
Vai trò của Web server:

• Nhận các yêu cầu từ trình duyệt
- Cung cấp
• Dịch vụ truy xuất các các tài liệu siêu liên kết
• Quản lý việc truy cập đến các website
• Cung cấp một số cơ chế cho việc thực hiện các mã scripts phía Server
(ASP, PHP, JSP, vv..)
 CGI-Common Gateway Interface
 API-Application Programming Interface
• Tạo ra file nhật ký và thống kê sử dụng
- Một số loại web server: apache , microsof, nginx …
- Các công việc thực hiện phía server
• Nhận kết nối:
 Nhận hoặc từ chối kết nối
 Xác định định danh máy Client
 Xác định danh người dùng (ident protocol)
• Nhận các request từ client
 Nhận các request từ client
 Đọc các request và biểu diễn ở dạng phù hợp cho việc xử lý
• . Xử lý request:
 Khi web server nhận được request nó sẽ xử lý request tùy thuộc
vào dạng request
• Truy cập vào tài nguyên được chỉ ra trong request
 Web Server hỗ trợ nhiều dạng ánh xạ tài nguyên nhưng dạng đơn
giản nhất đó là sử dụng request URI để chỉ đến tài nguyên trên
webserver.
• Tạo ra HTTP response với các kết quả theo yêu cầu của client
 Khi web server định danh được tài nguyên, nó thực hiện hành
động chỉ ra trong request method (PUT, GET, DELETE, vv…)
-



và tạo ra response cho client. Response gồm có: mã trạng thái,
header, nội dung
• Gửi response cho client
 Server cần lưu lại toàn bộ trạng thái các kết nối từ client, để có
thể gửi response cho client một cách chính xác
• Ghi lại giao dịch vào file nhật ký
 Khi giao dịch hoàn tất, web server ghi vào file nhật ký mô tả
giao dịch vừa thực hiện.
- Tương tác giữa web brower và webserver đó là:
Web brower đóng vai trò kết nối tới web client để kết nối tới web server,
web brower gửi yêu cầu và web server gửi trả lời yêu cầu và hiển thị lên
web brower cho người dùng
Câu 22: Trình bày về HTTP cookie: Khái niệm, các thuộc tính,…
Khái niệm: Là đoạn dữ liệu nhỏ được trao đổi bởi các thành phần tham
gia truyền thông gồm các thông tin về tên máy chủ, thông tin điều
khiển, nhãn thời gian vv..và những thông tin này được lưu ở phía client
• Cookie thường được dùng để lưu giữ trạng thái cho giao thức HTTP
và lưu lại trên client
• Cookie nằm ở phần header của HTTP request
• Nó còn được dùng để lưu trữ những thông tin của người dùng khi sử
dụng ứng dụng và những dữ liệu khác của session
• Cookie thường có một khoảng thời gian có hiệu lực nhất định và
domain và cookie đó có hiệu lực, thường do người lập trình quyết
định
• Cookie có thể bị đánh cắp thông qua các phương pháp tấn công như
XSS, Man In The Middle Attack...
- Các thuộc tính của cookie
• Tên-name
• Giá trị-value

• Thời gian hết hạn của cookie
• Đường dẫn cookie hợp lệ
• Miền mà cookie hợp lệ
• Vv..
-

Ví dụ: HTTP Cookies
Set-Cookie: NAME=VALUE; expires=DATE;
Cookie: NAME1=OPAQUE_STRING1;



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×