網路與網站安全.ppt

* * 第一層防火牆存取控制 第二層IDS(入侵偵測系統)察覺攻擊 步驟 下載並安裝aspnet_setreg.exe程式(/default.aspx?scid=kb;en-us;Q329290#3) 執行: aspnet_setreg –k:software\ASP.NET Web應用程式名稱\Identity -u:帳號 -p:密碼 修改Web.config, 加入identity標籤 identity impersonate=true userName=registry:HKLM\software\WebApplication1\Identity \ASPNET_SETREG,userName password=registry:HKLM\software\WebApplication1\Identity \ASPNET_SETREG,password / 5-* 步驟(續) 在網頁執行所在的Windows伺服器上建立網頁執行欲使用的帳號(帳號和密碼必須和使用aspnet_setreg登記的帳號和密碼相同) 附予Web應用程式欲執行的身份對c:\Windows目錄\Microsoft.NET\Framework\版本\Temporary ASP.NET Files目錄完全控制的權限 必須附予ASPNET(IIS 5.0)帳號或Network Service(IIS 6.0)帳號對以下的鍵讀取的權限: HKEY_LOCALMACHINE\software\WebApplication1\Identity\ASPNET_SETREG 附予ASP.NET網頁應用程式執行使用的身份登入和使用資料庫的權限 5-* 關閉網站的Trace和Debug功能 關閉Trace功能 trace enabled=false requestLimit=10 pageOutput=false traceMode=SortByTime localOnly=true / 關閉Debug功能 compilation defaultLanguage=vb debug=false / 調整customErrors設定 customErrors mode=RemoteOnly / 5-* 避免使用Cookieless Session configuration system.web sessionState mode=InProc stateConnectionString=tcpip=StateServer的IP:42424 sqlConnectionString= data source=SQLServer的IP;user id=帳號;password=密碼 cookieless=false timeout=20 / /system.web configuration 5-* 5-* Module 5-2-3:隱私保護 隱私權 誰擁有我的個人資料？ 他們使用我的資料是否合法？ 哪些人沒有經過個人同意而看過我的資料？ 我的隱私權受到保障了嗎？ 5-* 隱私權--誰擁有我的個人資料？ 貸款 百貨公司記帳卡 郵購 訂雜誌 繳稅表格 申請學校、工作或加入俱樂部 保險公司 住院記錄 銀行 監理處 政黨組織 慈善機構 其他? 5-* 隱私權--他們如何取得我的資料？ 5-* 隱私權法案 公平信用報告法 – 1970 資訊自由法 – 1970 聯邦隱私法 – 1974 租片隱私防護法 – 1988 電腦比對與個人隱私保護法 – 1988 5-* 公司正在監視你!? 監視軟體 電腦螢幕畫面 電子郵件 每分鐘敲擊鍵盤的次數 員工休息的時間 哪些電腦檔案有被使用和使用了多久 個人隱私促進團體正在督促政府立法，要求雇主在監視員工之前必須先警告員工 5-* 網站正在監視你!? 誰記錄了以下資料? 你剛剛去過哪個網站 你在網站上的一舉一動 你所使用的電腦軟硬體 按了哪些電腦按鍵 使用者按了哪些滑鼠鈕從這個網站到另一個網站 使用者在網站上選了哪些網頁來瀏覽 5-* 誰在監視你?! Cookie 儲存關於你的資訊 檔案是儲存在你自己的硬碟裡 對你有益的用法 儲存你的瀏覽喜好 網路購物 有安全保護的網站會將你的密碼保存在 cookie 裡 比較引人爭議的用法 為廣告商記錄你的瀏覽習慣 你可以設定瀏覽器拒絕 cookie 或是要在你電腦上放 cookie時警告你 有軟體可以協助你管理硬碟上的 cookie 5-* 隱私權