Categories

Tags

大型网站的 HTTPS 实践(4):协议层以外的实践

除了协议层以外,大型网站在实践 HTTPS 时还需要注意以下方面: 1. 合理配置 SSL/TLS 协议版本和加密套件:网站需要根据实际需求,配置 SSL/TLS 协议版本和加密套件,避免使用弱加密算法和易受攻击的协议版本。 2. HTTPS 证书管理:需要定期更新证书,避免过期或被吊销的证书导致网站不可访问或被攻击。此外,需要保障证书的安全性,避免私钥泄露导致证书失效。 3. 前端页面安全策略:需要采用 CSP 等安全策略,防止 XSS、CSRF 攻击等前端安全问题。还需要避免在前端代码中引用不安全的内容(如 HTTP 资源、第三方脚本等)。 4. 安全代码开发:需要遵循安全代码开发规范,避免代码漏洞和安全问题。需要使用安全开发工具,对代码进行漏洞扫描和安全检查。 5. 安全日志和监控:需要对网站进行安全日志和监控,及时发现异常行为和安全事件。需要建立安全事件响应机制,及时处理攻击事件和应对安全漏洞。 总之,实践 HTTPS 不仅仅是协议层的配置和优化,还需要综合考虑各个方面的安全问题,确保大型网站的安全稳定运行。

 Public @ 2023-04-15 21:00:35

企业网站常见耗资源、大流量、被挂马的原因分析与对策

企业网站常见的耗资源、大流量、被挂马的原因主要有以下几个方面: 1. 数据库查询效率低下:企业网站大多需要使用数据库来存储和查询数据,如果查询效率不高,会导致网站访问速度变慢,增加了服务器负载,从而引起耗资源的问题。 2. 图片、视频等媒体过多:企业网站往往需要展示很多的产品图片、宣传视频等多媒体文件,这些文件的体积较大,如果不合理地管理和优化,会导致网站流量过大,占用服务器带宽和存储空间。

Public @ 2023-06-01 08:50:28

如何防止“被黑”?

定期检查服务器日志等方式发现问题,检查是否有可疑的针对非前台页面的访问。经常检查网站文件是否有不正常的修改或者增加。关注操作系统,以及所使用程序的官方网站。及时下载补丁,修补安全漏洞;必要时建议直接更新至最新版本。修改开源程序关键文件的默认文件名,作弊者通常通过程序自动扫描某些特定的文件是否存在来判断是否使用了某套程序。修改默认管理员用户名,提高管理后台的密码强度,使用字母、数字以及特殊符号多种组

 Public @ 2019-01-20 15:37:27

大型网站的 HTTPS 实践(4):协议层以外的实践

百度在2015年即完成HTTPS改造,那大型网站的HTTPS改造中都有哪些实践经验,学堂君特分析这篇干货满满系列内容,转自百度运维博客。1 前言网上介绍 HTTPS  的文章并不多,更鲜有分享在大型互联网站点部署 HTTPS  的实践经验,我们在考虑部署HTTPS 时也有重重的疑惑。本文为大家介绍百度 HTTPS 的实践和一些权衡, 希望以此抛砖引玉。2 协议层以外的实践工作2

 Public @ 2022-08-20 15:22:21

大型网站的 HTTPS 实践(1):HTTPS 协议和原理

百度在2015年即完成HTTPS改造,那大型网站的HTTPS改造中都有哪些实践经验,学堂君特分析这篇干货满满系列内容,转自百度运维博客。1 前言百度已经于近日上线了全站 HTTPS 的安全搜索,默认会将 HTTP 请求跳转成 HTTPS。本文重点介绍 HTTPS 协议, 并简单介绍部署全站 HTTPS 的意义。2 HTTPS 协议概述HTTPS 可以认为是 HTTP + TLS。HTTP 协议大家

 Public @ 2019-08-30 15:22:20

更多您感兴趣的搜索

0.435867s