Câu hỏi ôn tập Câu 1: Lịch sử phát triển TMĐT mức độ ứng dụng TMĐT Giai đoạn 1: Thương mại Thông tin (i-Commerce) Thông tin (Information) lên mạng web Trao đổi, đàm phán, đặt hàng qua mạng (e-mail, chat, forum ) Thanh toán, giao hàng truyền thống - Mua máy tính, email, lập website - Giao dịch với khách hàng, nhà cung cấp email - Tìm kiếm thông tin web - Quảng bá doanh nghiệp web - Hỗ trợ khách hàng sản phẩm, dịch vụ Giai đoạn 2: Thương mại Giao dịch (t-Commerce) Hợp đồng điện tử (ký kết qua mạng) Thanh toán điện tử (thực qua mạng) (online transaction) - Xây dựng mạng nội doanh nghiệp - Ứng dụng phần mềm quản lý Nhân sự, Kế toán, Bán hàng, Sản xuất, Logistics - Chia sẻ liệu đơn vị nội doanh nghiệp Giai đoạn 3: Thương mại “cộng tác”(c-Business) Integrating / Collaborating Nội doanh nghiệp phận lkết (integrating) kết nối với đối tác kinh doanh (connecting) - Liên kết doanh nghiệp với nhà cung cấp, khách hàng, ngân hàng, quan quản lý nhà nước - Triển khai hệ thống phần mềm Quản lý khách hàng (CRM), Quản lý nhà cung cấp (SCM), Quản trị nguồn lực doanh nghiệp (ERP) Câu 2: Phân loại TMĐT - B2B (Business to Business): Doanh nghiệp bán hàng cho doanh nghiệp khác Ví dụ: Wal-Mart, Siemens - B2C (Business to Consumer): Doanh nghiệp bán hàng cho người tiêu dùng Ví dụ:Amazon.com, Pets.com, Merrill Lynch Online - C2C (Consumer to Consumer): Khách hàng với khách hàng Câu 3: Kiến trúc TMĐT Backbone: hệ thống cáp có băng thông cao truyền liệu dùng cho truyền liệu qua mạng Internet Nhà cung cấp dịch vụ mạng (Network Service Provider – NSP): UUNet, CerfNet, IBM, BBN Planet, SprintNet, PSINet… Điểm truy cập mạng (Network Access Point) gọi Internet Exchange Point (IX) Các nhà cung cấp dịch vụ internet (ISP-Internet Service Provider) mua lại băng thông NSP bán cho khách hàng tổ chức, công ty, trường học, cá nhân vv Câu 4: Các rủi ro ATTT Internet - Virus mã độc hại Internet  Virus  Sâu máy tính(Worm)  Trojan - Tin tặc       Thực phân tích tìm vết Liệt kê, tổng hợp thông tin Tìm cách truy cập thông qua việc lợi dụng người sử dụng hệ thống Nâng cấp quyền Thu thập mật bí mật hệ thống khác Cài đặt cổng hậu (backdoor)  Khai thác hệ thống - Gian lận thẻ tín dụng  Truyền thống:  Thương mại: - Gian lận thẻ tín dụng  Truyền thống: thẻ tín dụng bị mất, bị đánh cắp; thông tin số thẻ, mã số định danh cá nhân (PIN), thông tin khách hàng bị tiết lộ sử dụng bất hợp pháp  TMĐT: mối đe dọa lớn bị “mất” thông tin liên quan đến thẻ thông tin giao dịch sử dụng thẻ trình diễn giao dịch - Sự lừa đảo  tin tặc sử dụng địa thư điện tử giả mạo danh người  thay đổi làm chệch hướng liên kết Web tới địa khác với địa thực => Các hành vi lừa đạo đe dọa tính toàn vẹn, mà đe dọa tính xác thực giao dịch TMĐT - Từ chối dịch vụ  sử dụng lưu lượng rác (spam) làm tràn ngập dẫn tới tắc nghẽn mạng  sử dụng số lượng lớn máy tính công vào mạng từ nhiều điểm khác gây nên tải khả cung cấp dịch vụ - Kẻ trộm mạng  chương trình nghe trộm, giám sát di chuyển thông tin mạng  Xem thư điện tử - Sự công từ bên doanh nghiệp - Đánh cắp định danh:  Định danh số: thể người hệ thống thông tin o Danh tính người sử dụng o Các yếu tố đặc trưng  Các trường hợp tội phạm đánh cắp định danh o Sử dụng định danh ăn cắp để mở tài khoản kiếm lợi o Sử dụng định danh ăn cắp để lạm dụng tài khoản có người chủ thật o Ăn cắp định danh tội phạm: tội phạm đánh cắp định danh người khác đưa định danh cho phận luật pháp thay cho định danh - Khai thác lỗ hổng - Khai thác lỗi vận hành - Tấn công Web ứng dụng:  Các nguy phân tích OWASP (Open Web Application Security Project) o A1: Dữ liệu đầu vào không kiểm tra o A2: Lỗi kiểm soát truy cập nguồn tài nguyên o A3: Lỗi liên quan đến trình quản lý xác thực phiên truy cập o A4: Lỗi Cross Site Scripting (XSS) o A5: Lỗi tràn đệm - Tấn công máy chủ Web  Các công dựa lỗ hổng hệ điều hành máy chủ chứa ứng dụng web  Tấn công lỗ hổng liên quan đến vấn đề quản trị Web - Tấn công trình duyệt web  Dữ liệu đầu vào không kiểm tra  Lỗi kiểm soát truy cập nguồn tài nguyên  Lỗi liên quan đến trình quản lý xác thực phiên truy cập  Lỗi Cross Site Scripting (XSS)  Lỗi tràn đệm  Lỗi Injection  Quy trình quản lý báo lỗi  Lưu trữ thiếu an toàn  Từ chối dịch vụ  Quản lý cấu hình thiếu an toàn Câu 5: Trình bày công sau cách phòng chống: Phishing: - Là hình thức gian lận để có thông tin nhạy cảm như: username, password, creditcard cách giả mạo thực thể đáng tin cậy trình giao tiếp mạng Sử dụng email, tin nhắn gửi đến người dùng yêu cầu cung cấp thông tin cần thiết - Cách phòng chống: + Cảnh giác trước thông tin lạ, lời quảng cáo, email mang tính chất đánh vào tâm lí người dùng nhận quà, tạo lại tài khoản + Sử dụng công cụ phát web không tin cậy + Dùng giao thức https truy cập trang web chứa nhiều thông tin mật gmail Sesion Hijacking: - Tấn công lên phiên làm việc client server đánh cắp cookie người dùng sau họ bước qua phiên xác thực để chiếm lấy phiên làm việc Chủ động tính toán giá trị tuầ tự gói tin tcp session Thụ động thu thập thông tin truyền thông chiếm cookie - Phòng chống: + sử dụng mã hóa + Hạn chế kết nối đầu vào + Giảm truy cập từ xa + Có chế độ xác thực Mạnh + Nâng cao nhận thức an toàn thông tin + Sử dụng thông tin truy cập khác cho tài khoản khác Từ chối dịch vu: - Ngăn cản người dùng hợp pháp truy cập sử dụng dịch vụ Làm tràn ngập mạng, gây kết nối tới dịch vụ mục đích làm server không đáp ứng yêu cầu client Bản chất: kẻ công chiếm lượng lớn băng thông, nhớ làm khả xử lí yêu cầu dịch vụ từ client - Phòng chống: gia tăng tài nguyên(băng thông, CPU, disk space, memory) Tài nguyên phát tán rộng Internet - Giảm thiểu tác hại: cản lọc đặc điểm cụ thể dựa thông tin từ logs từ packet điều yêu cầu người quản trị phải am hiểu logs gói tin Ấn định sô lần truy cập khoảng thời gian định Virus: - Là chương trình, đoạn mã tự nhân chép Có thể thực hành động xóa liệu, làm hỏng ổ cứng, làm cho chương trình hoạt động không Nhằm mục đích lấy cắp liệu người dùng, thông tin nhạy cảm, mở cổng sau cho tin tặc xâm nhập, công chiếm quyền điều khiển - Phòng chống: sử dụng antivirus, lưu ổ đĩa, sử dụng tường lửa, cập nhật vá lỗi Phân biệt phần mềm độc hại: adware, spyware, Trojan horse, worm cách phòng tránh Các loại phần mềm độc hại: • Spyware: đánh cắp thông tin • Adware: hiển thị popup quảng cáo không mong muốn • Trojan horse: tồn dạng ẩn bên chương trình có ích, thực hành vi ác ý theo ý đồ người viết, khả tự nhân bản, tính chất lây lan • Back door: có tính chất giống trojan horse, mở cửa hậu để kẻ công kết nối đến • Worrm: có tính chất phá hoại virus hoạt động âm thầm trojan, tốc độ lây lan nhanh, hoạt động độc lập Tự nhân nó, không cần chương trình chủ thể để lây lan Tự tìm môi trường, tự tìm cách lây lan cách dựa vào điểm yếu hệ điều hành, hệ thống mạng mà không cần tác động người dùng chương trình khác Cách phòng chống: • sd phần mềm Antivirus; • cập nhật hệ điều hành, ứng dụng thường xuyên để vá lỗi; • sử dụng chữ ký số để bảo file hệ thống file điều khiển; Câu 7: Trình bày giao thức SSH - SSH – Secure Shell: Là giao thức giúp thiết lập kết nối đến tài nguyên cách bảo mật - Nằm tầng (tầng ứng dụng) mô hình TCP/IP a Chức - Đảm bảo thực lệnh từ xa an toàn (Secure command shell, remote execution of commands) - Đảm bảo truyền file an toàn - Tạo tunnel truyền liệu cho ứng dụng dựa TCP/IP b Dịch vụ cung cấp - Tính bí mật: + SSH cung cấp tính bí mật việc mã hóa liệu qua mạng + Hỗ trợ nhiều thuật toán mã hóa phiên liệu, thuật toán mã hóa chuẩn như: AES, DES, 3DES, - Tính toàn vẹn: + Giao thức SSH sử dụng phương pháp kiểm tra toàn vẹn mật mã Phương pháp kiểm tra việc liệu có bị biến đổi hay không liệu đến có đầu gửi không + Sử dụng thuật toán băm MD5, SHA1 - Tính xác thực: + Mỗi kết nối SSh gồm việc xác thực: Client kiểm tra định danh SSH Server Server kiểm tra định danh người sử dụng yêu cầu truy cập + SSH hỗ trợ xác thực mật + Ngoài SSH cung cấp chế mạnh dễ sử dụng hơn: Mỗi user có nhiều chữ ký khóa công cộng cải tiến rlogin-style xác thực với định danh host đc kiểm tra khóa công khai c Kiến trúc giao thức SSH - Phía Server: Giao thức SSH transport layer protocol (TLP): Đảm bảo tính xác thực, bí mật toàn vẹn - Phía Client: Giao thức xác thực người dùng UAP- user authentication protocol - Giao thức kết nối: CP (SSH connection protocol ) + Thiết lập phiên đăng nhập, thực lệnh từ xa, chuyển hướng kết nối TCP/IP + Chạy hai giao thức dành cho Server client Câu 8: Trình bày giao thức SSL: a Chức năng: SSL/TLS đem lại yếu tố sau cho truyền thông internet: - Bí mật - Sử dụng mật mã - Toàn vẹn - Sử dụng MAC - Xác thực- Sử dụng chứng X.509 b Các bước hoạt động: - Thiết lập phiên làm việc  Đồng thuật toán mã hoá  Chia sẻ khoá bí mật  Thực xác thực - Truyền liệu ứng dụng  Đảm bảo tính bí mật toàn vẹn c Các giao thức thành phần: - Giao thức ghi: Thực trình đóng gói liệu như: chia nhỏ liệu, nén lại mã hóa kàm theo MAC truyền cấu trúc gói tin TCP - Giao thức bắt tay: Pha bắt tay:  Thoả thuận thuật toán mã hoá gồm o Thuật toán mã hoá đối xứng sử dụng o Phương pháp trao đổi khoá  Thiết lập chia sẻ khoá bí mật  Thông điệp Hello  Thông điệp trao đổi khoá chứng  Thay đổi CiperSpec gửi thông điệp kết thúc pha bắt tay chuyển sang trình truyền liệu Thông điệp hello:  Client “Hello” - Khởi tạo phiên làm việc o Gửi thông tin phiên giao thức o Thông tin mã hoá sử dụng o Server chọn giao thức mã hoá phù hợp  Client yêu cầu sử dụng phiên làm việc có từ trước nằm cache o Server lựa chọn cho phù hợp Trao đổi khóa:  Server gửi chứng chứa khoá công khai (RSA) tham số Diffie-Hellman  Client tạo 48-byte ngẫu nhiên gửi tới Server sử dụng khoá công khai server  Mầm khoá bí mật tính toán o Sử dụng giá trị bí mật truyền thông điệp Hello Server Client Chứng khóa công khai:  Chứng X.509 đồng khoá công khai với định danh người dùng  Trung tâm CA tạo chứng o Dựa vào sách định danh xác nhận o Ký lên chứng  Người sử dụng chứng phải đảm bảo hợp lệ Câu 9: Trình bày giao thức SET: a vai trò: - Cung cấp tính bí mật thông tin toán đặt hàng - Đảm bảo tính toàn vẹn toàn liệu đường truyền - Cung cấp xác thực, đảm bảo người nắm giữ thẻ người dùng hợp lệ tài khoản thẻ - Cung cấp xác thực đảm bảo công ty thương mại chấp nhận giao dịch thẻ tín dụng qua mối quan hệ với tổ chức tài - Đảm bảo giải pháp đảm bảo an toàn kỹ thuật thiết kế hệ thống tốt để sử dụng để bảo vệ tất đối tác hợp lệ giao dịch thương mại điện tử - Hỗ trợ thúc đẩy tương tác phần mềm nhà cung cấp dịch vụ mạng b.các thành phần: - Chứng số: kiểm tra danh tính người dùng - Mã hóa khóa công khai: đảm bảo thông tin giao dịch bị đọc người người nhận - Chữ kí số: chứng số, kiểm tra thông tin yêu cầu có từ người c.Quá trình giao dịch - Khách hàng mở tải khoản ngân hàng hỗ trợ giao thức SET nhận thẻ tín dụng: MasterCard, Visa, vv… - Sau xác thực định danh, khách hàng nhận chứng thư điện tử X.509v3 ký ngân hàng - Công ty thương mại chấp nhận thẻ phải có hai chứng thư X.509v3, dùng để ký dùng cho việc trao đổi khóa - Khách hàng thực đặt lệnh mua sản phẩm dịch vụ với công ty thương mại - Công ty thương mại gửi copy chứng thư cho khách hàng để thực việc xác minh - Khách hàng gửi đơn đặt hàng thông tin toán tới công ty thương mại sử dụng chứng thư số khách hàng  Đơn đặt hàng gồm có mặt hàng đặt mua  Thông tin toán chứa thông tin chi tiết thẻ tín dụng  Thông tin toán được mã hóa cho đọc công ty thương mại -  Chứng thư số khách cho phép công ty thương mại xác minh khách hàng Công ty thương mại yêu cầu kiểm chứng thông tin toán từ cổng toán trước thực chuyển hàng Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng Công ty thương mại chuyển hàng dịch vụ tới khách hàng Công ty thương mại yêu cầu toán từ cổng toán Câu 10: Các phương thức toán điện tử  Thẻ tín dụng - Sử dụng cho việc toán qua mạng internet - Có hạn chế số lượng tiền toán - Hiện sử dụng phổ biến - Là cách thức toán điện tử đắt Vd: MasterCard: $0.29 + 2% giá trị toán - Không toán với giá trị nhỏ - Không toán với giá trị toán lớn  Tiền điện tử - Là thể dạng điện tử tiền truyền thống - Được quy định nhà trung gian đầu (broker) - Được mua tiền thật từ người sử dụng - Được toán trang bán hàng có chấp nhận tiền điện tử  Séc điện tử - Có giá trị chất tương đương với séc giấy thông thường - Một file séc điện tử tài liệu điện tử có chứa liệu sau: o Số séc o Tên người trả tiền o Tên ngân hàng số tài khoản người trả tiền o Tên người nhận tiền o Số tiền trả o Đơn vị tiền o Ngày hết hạn o Chữ ký điện tử người trả tiền o Xác nhận người nhận tiền  Ví điện tử - Là phần mềm thiết bị phần cứng lưu trữ - Nó lưu trữ tiền điện tử người chủ ví dạng chuỗi bit - Tiền điện tử tải trực tuyến vào ví dùng điểm bán hàng có chấp nhận ví  Thẻ thông minh - Là thẻ nhựa có chứa microchip - Được sử dụng cách 10 năm - Được sử dụng phổ biến Châu âu, Australia, Nhật - Đầu tiên không phổ dụng mỹ, sau dần sử dụng nhiều do: o Thẻ thông minh hỗ trợ nhiều ứng dụng o Khả tương thích thẻ thông minh, thiết bị đọc thẻ  - ứng dụng ngày tăng Thẻ tín dụng Sử dụng cho việc toán qua mạng internet Có hạn chế số lượng tiền toán Hiện sử dụng phổ biến Là cách thức toán điện tử đắt Vd:  MasterCard: $0.29 + 2% giá trị toán Không toán với giá trị nhỏ Không toán với giá trị toán lớn Câu 11: Trình bày ưu nhược điểm tiền điện tử phương pháp lưu trữ, thuộc tính mong muốn vấn đề gặp phải  Ưu nhược điểm - Ưu điểm + Hiệu quả, thuận tiện + Chi phí giao dịch thấp + Bất sử dụng, không giống thẻ tín dụng, không đòi hỏi yêu cầu đặc biệt - Nhược điểm + Bị lợi dụng để rửa tiền + Khó khăn triển khai  Hai phương pháp lưu trữ - On-line + Cá nhân lưu trữ thông tin tiền điện tử + Việc lưu trữ tiền thực ngân hàng, ngân hàng lưu trữ tài khoản tiền khách hàng - Off-line + Khách hàng cung cấp thẻ thông minh phần mềm ví điện tử lưu trữ thông tin tiền +Sử dụng mã hoá để chống trộm cắp, lừa đảo tiêu tiền nhiều lần  Các thuộc tính mong muốn tiền điện tử: + Được chấp nhận rộng rãi + Có thể chia nhỏ + Không làm giả không ăn trộm + Bí mật (Không người sở hữu biết lượng tiền mình) + Vô danh (không xác định người trả tiền) + Làm việc chế độ off-line (không cần xác thực online) + Hiện chưa có hệ thống đáp ứng tất điều  Những vấn đề gặp phải: - Tiền điện tử tiêu lần - Phải tiêu giống loại tiền tệ bình thường + Phải bảo vệ chống lại giả mạo + Phải có tính chất độc lập chuyển tự không phân biệt quốc gia hay chế lưu trữ + Phải chia nhỏ thuận tiện sử dụng + Hạn chế phức tạp trọng giao dịch Câu 12: Trình bày Smart Card ứng dụng - Đặc điểm:     Là thẻ nhựa có chứa microchip Được sử dụng cách 10 năm Được sử dụng phổ biến Châu âu, Australia, Nhật Đầu tiên không phổ dụng mỹ, sau dần sử dụng nhiều do: o Thẻ thông minh hỗ trợ nhiều ứng dụng o Khả tương thích thẻ thông minh, thiết bị đọc thẻ ứng dụng ngày tăng - Các loại:  Thẻ từ : Bộ nhớ 140 bytes  Thẻ nhớ : Bộ nhớ 1-4 KB memory, chip xử lý  Thẻ nhớ quang: megabytes read-only (CD-like)  Thẻ có nhúng vi xử lý :Tích hợp vi xử lý thẻ o 8-bit processor, 16 KB ROM, 512 bytes RAM o Có thẻ có vi xử lý 32-bit - Ứng dụng:  Làm vé điện tử: Được sử dụng hệ thống xe bus Seoul Hàn quốc  Làm thẻ đăng nhập, vào cửa vv (Authentication, ID)  Lưu trữ thông tin y tế  Tiền điện tử (Ecash)  Lưu trữ chương trình quyền  Lưu trữ hồ sơ cá nhân  Vv… - Ưu điểm:  Nhỏ gọn, thuận tiện giao dịch  Có thể toán giao dịch với giá trị toán nhỏ  Ẩn danh (Potentially)  Lưu trữ an toàn - Nhược điểm:  Mức giao dịch bị hạn chế (không dùng cho B2B)  Chi phí xây dựng sở hạ tầng cao  Chỉ có điểm đọc (dễ bị hỏng)  Sử dụng chưa phổ biến Câu 13: Các dịch vụ bảo mật toán  Nhóm 1: bảo mật giao dịch toán: - người dùng nặc danh: bảo vệ không tiết lộ danh tính người dùng mạng giao dịch - Không theo dấu địa điểm: bảo vệ chống tiết lộ địa điểm phát lệnh giao dịch - Người trả tiền nặc danh: bảo vệ không tiết lộ danh tính người trả tiền - Không theo dấu giao dịch toán: bảo vệ không liên hệ giao dịch toán khác khác hàng không liên kết với - Bảo mật liệu giao dịch bảo vệ chống tiết lộ liệu cụ thể giao dịch - Chống từ chối thông điệp giao dịch toán: không cho phép từ chối nguồn xuất phát thông điệp giao thức xuất phát giao dịch toán - Không lặp thông điệp giao dịch  Nhóm 2: Bảo mật tiền điện tử - Bảo vệ chống tiêu tiền nhiều lần: khối lượng tiền - Chống giả mạo tiền: chống bên không phép tạo tiền điện tử giả - Bảo vệ tiền không bị ăn trộm, chép  Nhóm 3: Bảo mật séc điện tử - Dịch vụ dựa công nghệ đặc thù hệ thống toán - Có dịch vụ Trung gian chuyển & chứng nhận toán: o B1: bên xác thực hợp pháp đứng chứng nhận o B2: chuyển tiếp tới bên xác thực trung gian lựa chọn theo nguyên tắc xác thực có giới hạn Câu 14: Các vấn đề bảo mật giao dịch toán Giả mạo tiền Giả mạo chữ ký Giả mạo séc: tài khoản ký séc Tài liệu điện tử bị chép sai, thường sai lệch Chữ ký điện tử bị biết khóa bí mật sử dụng Danh tính người trả tiền bị tiết lộ Câu 15: Trình bày bước tạo chư ký đôi (chữ ký kép) * Các bước thực hai chữ ký sau - Lấy giá trị hàm băm đơn đặt hàng thông tin toán - Hai giá trị băm gắn kết với [H(PI) || H(OI)] băm tiếp - Khách hàng mã hóa giá trị băm cuối với khóa bí mật DS = Eprivate key C [ H(H(PI) || H(OI)) ] - Chữ ký xác minh công ty thương mại: + Công ty thương mại có: o Giá trị DS o khóa công khai khách hàng nhận từ chứng khách hàng, o Giá trị băm thông tin toán (PIMD) o Thông tin đơn hàng OI + Công ty thương mại tính hai giá trị này, hai giá trị phải nhau: H(PIMD || H(OI)) Dpublic key C[DS] - Chữ ký xác minh ngân hàng: + Ngân hàng có thông tin gồm: o giá trị DS, o Thông tin toán PI, o giá trị băm OI (OIMD) o khóa công khai khách hàng + Ngân hàng dựa tính giá trị sau: H(H(PI) || OIMD) Dpublic key C [ DS ] Câu 16: Gateway Trình bày Proxy Gateway So sánh Proxy Proxy: là máy chủ trung chuyển giữa máy khách và máy chủ chính thực sự chứa dữ liệu được máy khách truy vấn • Hoạt động: − Pục vụ, đáp ứng y/cầu từ máy khách hoặc chuyển tiếp y/cầu đó cho máy chủ # − Proxy và máy khách thiết lập một bộ đệm dùng chung để lưu dữ liệu − Client gửi yêu cầu tài liệu mà trước đó Proxy đã lưu bộ đệm chia sẻ Với điều kiện tài liệu đó là mới nhất và Server chứa tài liệu này cho phép Proxy chuyển cho Client thì Proxy sẽ trả về tài liệu cho Client Gateway: là điểm gắn kết giữa ứng dụng và tài nguyên, ứng dụng có thể yêu cầu (qua một giao thức bất kỳ) gateway pục vụ y/cầu nào đó Gateway có thể thực hiện truy vấn CSDL tạo nội dung động (gateway đóng vai trò portal nhận request và trả lời) • Hoạt động: − Gateway nhận request từ Client và gửi cho Server; Gateway nhận response từ Server và trả về cho Client; Gateway có thể mã hóa và giải mã các request So sánh Proxy và Gateway: • Giống nhau: Thực hiện chuyển tiếp các request và response giữa Client và Server • Khác nhau: Proxy Gateway - Thực hiện kết nối giữa các ứng dụng có giao thức giống - Chuyển tải dữ liệu từ mạng này sang mạng khác, từ giao thức - Có thể suốt với người dùng hoặc không suốt này sang giao thức khác với người dùng nếu Proxy cung cấp thêm một số dịch vụ - Luôn suốt với người gia tăng dùng Câu 17: Trình bày Web Cache - Khái niệm: Web cache máy cho phép bạn lưu trữ tạm thời tài nguyên tải từ trình duyệt (Browser) Chẳng hạn files download, hình ảnh, liệu…của trang web mà bạn vừa ghé qua Tiện ích giúp giảm thiểu việc sử dụng băng thông (bandwidth) truy cập máy chủ để tải tài nguyên tài nguyên lưu nhớ Cache có khả thực thi mà không cần phải tải tài nguyên Nghĩa liệu nhớ Cache mà trình duyệt truy cập tới tải Web cache đặt servers client - Mục tiêu: • Giảm tải cho server • Nâng cao hiệu hiệu hệ thống mạng - Giải pháp: • Giải pháp thực làm lưu lại nội dung web server truy cập, yêu cầu đến nội dung đến Phân loại: Có loại web cache chính: • Brower cache: • Proxy cache • Gateway cache - Câu 18: Trình bày công nghệ chuyển hướng (redirection) Redirection kỹ thuật sử dụng phổ biến ứng dụng web luôn phải: • Thực giao dịch HTTP an toàn, tin cậy • Giảm độ trễ • Duy trì ổn định băng thông mạng - Các công nghệ chuyển hướng • HTTP redirection  Mục đich:  Giảm độ trễ  Chọn đường ngắn  Hạn chế:  Hạn chế:  Yêu cầu máy chủ phải xử lý tất yêu cầu  Người sử dụng phải chờ lâu phải lần yêu cầu thực  Nếu máy chủ ban đầu không hoạt động trang web không hoạt động - DNS redirection  Mục đich:  Giảm độ trễ  Chọn đường ngắn  Hạn chế:  • IP MAC forwarding • IP Address Forwarding • Câu 19: So sánh việc sử dụng Dedicated Server Shared Server Dedicated Server Shared Server(virtual Hosting) - Thuê riêng máy chủ để đặt ứng dụng web - Đặt nhiều ứng dụng web máy chủ - Toàn quyền quản lý Server (có thể cài đặt theo nhu cầu sử dụng) - Không cài đặt phần mềm - Tự chủ việc đảm báo an toàn bảo mật cho Server - Không cấu hình Server theo yêu cầu vấn để bảo đảm an toàn cho server không tự chủ - Không phải chia sẻ tài nguyên (CPU, nhớ, băng thông) với người khác - Hiệu xuất website đặt bị ảnh hưởng hoạt động website khác phải chia sẻ tài nguyên (CPU, nhớ, băng thông với website khác) - Cho phép phục vụ lớn lượng lớn truy cập đồng thời - Lượng truy cập bị hạn chế - Khi tạo them nhiều site khác không tốn chi phi - Cần có chi phí để tạo them nhiều site - Chi phí Cao - Chi phí thấp - Cần nhân lục có trình độ để quản lý vận hành máy chủ - Không phải quan tâm đến việc quản lý Server Câu 20: Trình bày ghi nhật ký server web; mục đích, giá trị thường ghi lại Mục đích: Kiểm tra vấn đề server proxy (ví dụ: xem có request bị lỗi) tạo thống kê lượng truy cập ứng dụng web từ xác định lượng Server, băng thông, cần thiết cho ứng dụng web hữu ích cho nhiều vấn đề khác - Các giá trị thường ghi lại: • HTTP method (PUT, GET, POST, vv ) • Phiên giao thức HTTP client Server - • • • • • URL tài nguyên yêu cầu Mã trạng thái HTTP response Kích cỡ thông điệp request response Thời gian giao dịch thực Giá trị Header trình duyệt người dùng tham chiếu tài nguyên Câu 21: browser - Trình bày web server, tương tác web server web Khái niệm: Web Server (máy phục vụ Web): máy tính mà cài đặt phần mềm phục vụ Web, người ta gọi phần mềm Web Server Vai trò Web server: • Nhận yêu cầu từ trình duyệt - Cung cấp • Dịch vụ truy xuất các tài liệu siêu liên kết • Quản lý việc truy cập đến website • Cung cấp số chế cho việc thực mã scripts phía Server (ASP, PHP, JSP, vv )  CGI-Common Gateway Interface  API-Application Programming Interface • Tạo file nhật ký thống kê sử dụng - Một số loại web server: apache , microsof, nginx … - Các công việc thực phía server • Nhận kết nối:  Nhận từ chối kết nối  Xác định định danh máy Client  Xác định danh người dùng (ident protocol) • Nhận request từ client  Nhận request từ client  Đọc request biểu diễn dạng phù hợp cho việc xử lý • Xử lý request:  Khi web server nhận request xử lý request tùy thuộc vào dạng request • Truy cập vào tài nguyên request  Web Server hỗ trợ nhiều dạng ánh xạ tài nguyên dạng đơn giản sử dụng request URI để đến tài nguyên webserver • Tạo HTTP response với kết theo yêu cầu client  Khi web server định danh tài nguyên, thực hành động request method (PUT, GET, DELETE, vv…) - tạo response cho client Response gồm có: mã trạng thái, header, nội dung • Gửi response cho client  Server cần lưu lại toàn trạng thái kết nối từ client, để gửi response cho client cách xác • Ghi lại giao dịch vào file nhật ký  Khi giao dịch hoàn tất, web server ghi vào file nhật ký mô tả giao dịch vừa thực - Tương tác web brower webserver là: Web brower đóng vai trò kết nối tới web client để kết nối tới web server, web brower gửi yêu cầu web server gửi trả lời yêu cầu hiển thị lên web brower cho người dùng Câu 22: Trình bày HTTP cookie: Khái niệm, thuộc tính,… Khái niệm: Là đoạn liệu nhỏ trao đổi thành phần tham gia truyền thông gồm thông tin tên máy chủ, thông tin điều khiển, nhãn thời gian vv thông tin lưu phía client • Cookie thường dùng để lưu giữ trạng thái cho giao thức HTTP lưu lại client • Cookie nằm phần header HTTP request • Nó dùng để lưu trữ thông tin người dùng sử dụng ứng dụng liệu khác session • Cookie thường có khoảng thời gian có hiệu lực định domain cookie có hiệu lực, thường người lập trình định • Cookie bị đánh cắp thông qua phương pháp công XSS, Man In The Middle Attack - Các thuộc tính cookie • Tên-name • Giá trị-value • Thời gian hết hạn cookie • Đường dẫn cookie hợp lệ • Miền mà cookie hợp lệ • Vv - Ví dụ: HTTP Cookies Set-Cookie: NAME=VALUE; expires=DATE; Cookie: NAME1=OPAQUE_STRING1; [...]... với giá trị thanh toán lớn  Tiền điện tử - Là thể hiện ở dạng điện tử của tiền truyền thống - Được quy định bởi nhà trung gian đầu cơ (broker) - Được mua bằng tiền thật từ người sử dụng - Được thanh toán trên các trang bán hàng có chấp nhận tiền điện tử  Séc điện tử - Có giá trị và bản chất tương đương với séc giấy thông thường - Một file séc điện tử là tài liệu điện tử có chứa các dữ liệu sau: o Số... Công ty thương mại gửi xác nhận đơn đặt hàng tới khách hàng Công ty thương mại chuyển hàng hoặc dịch vụ tới khách hàng Công ty thương mại yêu cầu thanh toán từ cổng thanh toán Câu 10: Các phương thức thanh toán điện tử  Thẻ tín dụng - Sử dụng cho việc thanh toán qua mạng internet - Có hạn chế số lượng tiền khi thanh toán - Hiện tại được sử dụng phổ biến nhất - Là cách thức thanh toán điện tử đắt nhất... thư điện tử X.509v3 được ký bởi ngân hàng - Công ty thương mại chấp nhận thẻ phải có hai chứng thư X.509v3, một dùng để ký và một dùng cho việc trao đổi khóa - Khách hàng thực hiện đặt lệnh mua sản phẩm hoặc dịch vụ với công ty thương mại - Công ty thương mại sẽ gửi bản copy chứng thư của nó cho khách hàng để thực hiện việc xác minh - Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương. .. tài khoản của người trả tiền o Tên người nhận tiền o Số tiền sẽ trả o Đơn vị tiền o Ngày hết hạn o Chữ ký điện tử của người trả tiền o Xác nhận của người nhận tiền  Ví điện tử - Là phần mềm hoặc thiết bị phần cứng lưu trữ - Nó lưu trữ tiền điện tử của người chủ ví dưới dạng chuỗi bit - Tiền điện tử có thể tải trực tuyến vào ví và dùng tại các điểm bán hàng có chấp nhận ví  Thẻ thông minh - Là thẻ nhựa... tin thanh toán tới công ty thương mại sử dụng chứng thư số của khách hàng  Đơn đặt hàng gồm có các mặt hàng được đặt mua  Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng  Thông tin thanh toán được được mã hóa sao cho nó không thể được đọc bởi công ty thương mại -  Chứng thư số của khách cho phép công ty thương mại xác minh được khách hàng Công ty thương mại yêu cầu kiểm chứng thông tin... lưu trữ thông tin về tiền điện tử + Việc lưu trữ tiền được thực hiện bởi ngân hàng, ngân hàng sẽ lưu trữ các tài khoản tiền của khách hàng - Off-line + Khách hàng được cung cấp thẻ thông minh hoặc phần mềm ví điện tử trong đó lưu trữ các thông tin về tiền của mình +Sử dụng mã hoá để chống trộm cắp, lừa đảo hoặc tiêu tiền nhiều lần  Các thuộc tính mong muốn của tiền điện tử: + Được chấp nhận rộng rãi... giao thức xuất phát giao dịch thanh toán - Không lặp thông điệp giao dịch  Nhóm 2: Bảo mật tiền điện tử - Bảo vệ chống tiêu tiền nhiều lần: trên cùng 1 khối lượng tiền - Chống giả mạo tiền: chống bên không phép tạo ra tiền điện tử giả - Bảo vệ tiền không bị ăn trộm, sao chép  Nhóm 3: Bảo mật séc điện tử - Dịch vụ dựa trên công nghệ đặc thù của hệ thống thanh toán này - Có dịch vụ Trung gian chuyển... cùng với khóa bí mật DS = Eprivate key C [ H(H(PI) || H(OI)) ] - Chữ ký được xác minh bởi công ty thương mại: + Công ty thương mại có: o Giá trị DS o khóa công khai của khách hàng nhận được từ chứng chỉ của khách hàng, o Giá trị băm của thông tin thanh toán (PIMD) o Thông tin về đơn hàng OI + Công ty thương mại có thể tính hai giá trị này, và hai giá trị này phải bằng nhau: H(PIMD || H(OI)) Dpublic key... chuyển tiếp tới bên xác thực trung gian tiếp theo được lựa chọn theo nguyên tắc xác thực có giới hạn Câu 14: Các vấn đề trong bảo mật giao dịch thanh toán Giả mạo tiền Giả mạo chữ ký Giả mạo séc: không có tài khoản vẫn ký séc Tài liệu điện tử bị sao chép sai, thường sai lệch Chữ ký điện tử có thể bị bất kỳ ai biết khóa bí mật sử dụng Danh tính người trả tiền có thể bị tiết lộ Câu 15: Trình bày các bước... khi thanh toán Hiện tại được sử dụng phổ biến nhất Là cách thức thanh toán điện tử đắt nhất Vd:  MasterCard: $0.29 + 2% giá trị thanh toán Không thanh toán với giá trị nhỏ Không thanh toán với giá trị thanh toán lớn Câu 11: Trình bày ưu nhược điểm của tiền điện tử và phương pháp lưu trữ, các thuộc tính mong muốn và những vấn đề gặp phải  Ưu nhược điểm - Ưu điểm + Hiệu quả, thuận tiện + Chi phí giao ... ty thương mại -  Chứng thư số khách cho phép công ty thương mại xác minh khách hàng Công ty thương mại yêu cầu kiểm chứng thông tin toán từ cổng toán trước thực chuyển hàng Công ty thương mại. .. toán trang bán hàng có chấp nhận tiền điện tử  Séc điện tử - Có giá trị chất tương đương với séc giấy thông thường - Một file séc điện tử tài liệu điện tử có chứa liệu sau: o Số séc o Tên người... hạn o Chữ ký điện tử người trả tiền o Xác nhận người nhận tiền  Ví điện tử - Là phần mềm thiết bị phần cứng lưu trữ - Nó lưu trữ tiền điện tử người chủ ví dạng chuỗi bit - Tiền điện tử tải trực