大型票务系统中username和password的安全性问题

讨论请移步至:http://www.zhiliaotech.com/ideajam/idea/detail/307

相关文章:

《今天你买到票了吗?——从铁道部12306.cn站点漫谈电子商务站点的“海量事务快速处理”系统》

不能简单套用“实物电商系统”对“大型票务系统”做需求分析

“大型票务系统”和“实物电商系统”在不能提供商品(服务)时给消费者带来的影响有巨大差异

“大型票务系统”和“实物电商系统”的系统边界之间的差别与联系

“大型票务系统”和“实物电商系统”按系统边界分析各种业务形式

“大型票务系统”和“实物电商系统”在支付方面的差别和联系

“大型票务系统”和“实物电商系统”在恶意订单方面的差别与联系

大型票务系统自身特点所引入的安全性问题

“大型票务系统”和“实物电商系统”在“库存”计算方面的巨大差异

“大型票务系统”和“实物电商系统”在接入管理方面的差异

“大型票务系统”和“实物电商系统”在和企业其它部门关系的联系和误区

“大型票务系统”和“实物电商系统”和企业其它部门的依赖关系对项目管理的影响

“大型票务系统”和“实物电商系统”的数据库选型

“大型票务系统”中对机器恶意訪问的处理——验证码

“大型票务系统”中地恶意訪问的处理——“接入管理”部分

讨论安全性,首先要看要预防哪些不安全,也就是隐患点。

先说各种系统中都会涉及的username和password的安全性问题。

一,浏览器的安全隐患。眼下的处理方式主要是採用专门的password输入控件

二,password传输隐患。能够採用HTTPS协议,或者在传输时对password进行加密,最好的不可逆加密

三,server端的安全隐患。主要是常常见到的被攻击爆库

除了通常的攻击爆库隐患外,对于username和password的安全还应遵循例如以下几个要求:

一,验权server应当独立部署,避免同一server上其它应用被侵入后当跳板侵入用户信息。

二,验权server的请求应当是单向的,也就是仅仅传入password(最好是单向加密后的password),而不会传出password

比如常见的接口设计包含:

一,注冊。传入username、单向加密后的password。返回值为:注冊成功,注冊失败(原因)

二,登录。传入username、单向加密后的password。返回值为:登录成功,登录失败(原因)

三,改动password。传入username,单向加密后的原password,单向加密后的新password。返回值为:改动成功、改动失败(原因)。

联系作者:QQ 443089607 微信:huzhenghui
产品经理请加QQ群 189763636 群07期Axure7PM交互

posted @ 2014-08-06 15:48  hrhguanli  阅读(199)  评论(0编辑  收藏  举报