众所周知,我们正处在一个存在着各种诈骗、劫持的网络年代,我们的各种帐号密码或用户信息很多时候都能很容易地被黑客窃取。
由此很多网站使用HTTPS来保护用户的信息不被窃取。
而HTTPS本身所使用的SSL协议也并不是完美无缺,即使能确保本机安全,也还存在着各种SSL劫持了,令人防不胜防。
曾经发生过并被大众知晓的SSL劫持有:Comodo CA被黑客入侵用于伪造SSL证书、DigiNotar CA被黑客入侵用于伪造SSL证书、
法国政府伪造CA证书用于劫持Gmail等。当然,还有广为流传的CNNIC,虽然并没有被发现进行过SSL劫持,不过鉴于其之前的所作所为,
很多人还是很担心某天会针对自己进行劫持,而针对单人的劫持比较难以发现。
所以很多人为了安全起见,将CNNIC的SSL证书标记为不信任,但由此带来了一些问题,比如中国区的战网使用了CNNIC颁发的证书导致无法连接,
中国区的Windows Azure也使用了CNNIC颁发的证书导致无法连接等问题。而除了CNNIC,很多人还担心很多中级CA机构会以更隐蔽的方式进行劫持。
因此我们有必要建立应用级安全系统。
1.Web段建立黑盒子JS系统,在盒子内的请求有效,在盒子外不能请求。
2.为保护请求数据的安全,在发送请求前加密数据
3.为防止请求窃取或重复提交,必须为每个请求分配钥匙
4.返回数据必须要加密,防止浏览器数据被别人窃取
BOWF框架就做到了四点。
时间: 2024-11-05 17:50:51