HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN CƠ SỞ AN TOÀN THÔNG TIN Đề tài TÌM HIỂU CÁCH THỨC SỬ DỤNG TRÌNH DUYỆT WEB AN TOÀN, TÌM HIỂU GIẢI PHÁP DUYỆT WEB AN TOÀN VỚI BROWSER IN THE BOX LỜI NÓI ĐẦU Năm 2021, toàn cầu có hơn 1,83 tỷ website và hơn 4,8 tỷ người sử dụng Internet. Mỗi người trung bình dành 6 giờ và 43 phút trực tuyến mỗi ngày. Lên mạng nhiều là thế nhưng không phải ai cũng hiểu trình duyệt là gì và tại sao trình duyệt an toàn lại quan trọng.Trình duyệt là phần mềm dùng để truy cập vào các trang web trên Internet. Khi người dùng nhập một địa chỉ website lên thanh URL, trình duyệt sẽ gửi yêu cầu truy vấn đến máy chủ chứa nội dung người dùng cần, khi máy chủ phản hồi và gửi lại dữ liệu, trình duyệt sẽ đọc và hiển thị nội dung đó lên màn hình.
Trang 1HỌC VIỆN KỸ THUẬT MẬT MÃ
KHOA AN TOÀN THÔNG TIN
CƠ SỞ AN TOÀN THÔNG TIN
Trang 2LỜI NÓI ĐẦU
Năm 2021, toàn cầu có hơn 1,83 tỷ website và hơn 4,8 tỷ người sử dụngInternet Mỗi người trung bình dành 6 giờ và 43 phút trực tuyến mỗi ngày Lên mạngnhiều là thế nhưng không phải ai cũng hiểu trình duyệt là gì và tại sao trình duyệt antoàn lại quan trọng
Trình duyệt là phần mềm dùng để truy cập vào các trang web trên Internet Khingười dùng nhập một địa chỉ website lên thanh URL, trình duyệt sẽ gửi yêu cầu truyvấn đến máy chủ chứa nội dung người dùng cần, khi máy chủ phản hồi và gửi lại dữliệu, trình duyệt sẽ đọc và hiển thị nội dung đó lên màn hình
Bằng việc lựa chọn và thực hiện đề tài “TÌM HIỂU CÁCH THỨC SỬ DỤNG TRÌNH DUYỆT WEB AN TOÀN, TÌM HIỂU GIẢI PHÁP DUYỆT WEB AN TOÀN VỚI BROWSER IN THE BOX”, nhóm em muốn tìm hiểu và đưa ra một giải
pháp tốt nhằm đảm bảo an toàn người dùng khi lướt web
Nội dung đề tài gồm các chương:
CHƯƠNG 1: KHẢO SÁT VÀ NGHIÊN CỨU THỰC TIỄN
CHƯƠNG 2: PHÂN TÍCH BROWSER IN THE BOX
CHƯƠNG 3: KẾT QUẢ THỰC NGHIỆM
Tuy đề tài đã hoàn thành nhưng vì điều kiện thời gian không cho phép cũng nhưcác tài liệu không được đầy đủ nên website vẫn còn một số hạn chế nhất định Rấtmong nhận được sự đóng góp ý kiến của các thầy, cô và các bạn để bài báo cáo ngàycàng hoàn thiện hơn, phục vụ tốt hơn
Trang 3LỜI CẢM ƠN
Trong thời gian làm đề tài cơ sở an toàn thông tin, chúng em đã nhận đượcnhiều sự giúp đỡ, đóng góp nhiệt tình của thầy cô, gia đình và bạn bè Chúng em xinchân thành cảm ơn các thầy cô giáo trong Học viện Kỹ thuật Mật Mã nói chung cùngcác thầy cô trong khoa An toàn thông tin nói riêng đã tận tình giảng dạy, truyền đạtcho chúng em những kiến thức và kinh nghiệm quý báu trong suốt thời gian học tập,giúp chúng em có được cơ sở lý thuyết vững vàng cũng như sự quan tâm và tạo mọiđiều kiện thuận lợi cho chúng em trong quá trình thực hiện đề tài cơ sở an toàn thôngtin
Cuối cùng, chúng em xin chân thành cảm ơn gia đình và bạn bè, đã luôn tạođiều kiện, quan tâm, giúp đỡ, động viên chúng em trong suốt quá trình học tập và hoànthành đề tài cơ sở an toàn thông tin
Với điều kiện thời gian cũng như kinh nghiệm còn hạn chế nên không thể tránhđược những thiếu sót Chúng em rất mong nhận được sự chỉ bảo, đóng góp ý kiến củacác thầy cô để chúng em có điều kiện bổ sung, nâng cao ý thức của mình, phục vụ tốthơn công tác thực tế sau này
Chúng em xin chân thành cảm ơn!
Trang 4MỤC LỤC
DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT i
CHƯƠNG 1 KHẢO SÁT VÀ Tìm hiểu thực tiễn 1
1.1 Đặt vấn đề 1
1.2 Xác định mục tiêu 1
1.3 Phương pháp nghiên cứu 1
1.4 Tổng quan về trình duyệt web an toàn 1
1.4.1 HTTP 1
1.4.2 HTTPS 4
1.4.3 HTTP và HTTPS khác nhau như thế nào ? 5
1.4.4 Cách sử dụng trình web an toàn 8
CHƯƠNG 2 PHÂN TÍCH BROWSER IN THE BOX 11
2.1 Giới thiệu chung Browser in the box 11
2.1.1 Tổng quan 11
2.1.2 Các ưu điểm của Browser in the box 13
2.1.3 Công nghệ và phương thức hoạt động 13
2.2 Tìm hiểu sâu về cơ chế của Browser in the box .15
KẾT LUẬN 18
TÀI LIỆU THAM KHẢO 19
Trang 5DANH MỤC KÝ HIỆU VÀ CHỮ VIẾT TẮT
HTTP Hyper Text Transfer Protocol
HTTPS Hyper Text Transfer Protocol Secure
MAC Mandatory access control
DAC Discretionary access control
VPN Virtual Private Network
Trang 6CHƯƠNG 1 KHẢO SÁT VÀ TÌM HIỂU THỰC TIỄN
1.1 Đặt vấn đề
Browser in the box là ứng dụng hàng đầu cung cấp các giải pháp bảo mật, tíchhợp các công nghệ nhằm giúp người dùng truy cập trình duyệt web một cách an toàn
1.2 Xác định mục tiêu
Tìm hiểu lý thuyết trình duyệt web an toàn
Áp dụng vào việc nghiên cứu giải pháp duyệt web an toàn với Browser in thebox
1.3 Phương pháp nghiên cứu
Tham khảo tài liệu : Sử dụng các kiến thức được học trên trường kết hợp vớicác thông tin thu thập được từ các tài liệu khác trên Internet như tạp chí, sách,các website về lập trình
Phân tích, ứng dụng kiến thức đã tìm hiểu vào việc sử dụng Browser in the box
1.4 Tổng quan về trình duyệt web an toàn
1.4.1 HTTP
1.4.1.1 HTTP là gì?
HTTP là từ viết tắt của Hyper Text Transfer Protocol nghĩa là Giao thức Truyền tải Siêu Văn Bản được sử dụng trong www HTTP là 1 giao thức cho
phép tìm nạp tài nguyên, chẳng hạn như HTML doc
Nó là nền tảng của bất kỳ sự trao đổi dữ liệu nào trên Web và cũng là giao thứcgiữa client (thường là các trình duyệt hay bất kỳ loại thiết bị, chương trình nào)
và server (thường là các máy tính trên đám mây) 1 doc hoàn chỉnh được tái tạo
từ các doc con khác nhau được fetch – tìm nạp, chẳng hạn như văn bản, mô tảlayout, hình ảnh, video, script v v…
Được thiết kế lần đầu từ những năm 90, HTTP là 1 giao thức có thể mở rộngvốn đã phát triển dần theo thời gian 1 giao thức lớp ứng dụng được gửi thông
Trang 7qua nền tảng TCP/IP , hay qua 1 kết nối TCP được mã hóa TLS Mặc dù về mặt
lý thuyết, bất kỳ giao thức truyền tải đáng tin cậy nào cũng có thể được sửdụng
Nhờ vào khả năng mở rộng của nó, HTTP được sử dụng để không chỉ tìm nạpcác tài liệu siêu văn bản mà còn cả hình ảnh và video hoặc để đăng tải nội dunglên server, giống như với các kết quả form HTML HTTP cũng có thể được sửdụng để tìm nạp các phần của các doc nhằm cập nhật các trang web theo yêucầu
1.4.1.2 Các khía cạnh cơ bản của Http.
HTTP đơn giản: HTTP thường được thiết kế để trở nên đơn giản và thân thiện
để con người có thể đọc được, ngay cả khi có thêm sự phức tạp được giới thiệutrong HTTP/2 bằng cách đóng gói các HTTP message thành các frame Với cácHTTP message, chúng ta có thể được đọc và hiểu được, cung cấp khả năngtesting hơn cho các dev và giảm thiểu độ phức tạp cho bất cứ người mới nào
HTTP có thể mở rộng: Được giới thiệu trong HTTP/1.0, các header HTTP làmcho giao thức này dễ dàng mở rộng và thử nghiệm hơn nữa Chức năng mớithậm chí có thể được giới thiệu bằng 1 thỏa thuận đơn giản giữa 1 client và 1máy chủ về ngữ nghĩa của 1 header mới
HTTP là stateless, nhưng không sessionless:
Không có liên kết giữa 2 yêu cầu được thực hiện liên tiếp trên cùng 1 kết nối Điều này ngay lập tức có khả năng trở thành vấn để với người dùng cố gắng tương tác với các trang nhất định 1 cách mạch lạc, chẳng hạn như sử dụng shopping cart trên các trang e-commerce, tức thương mại điện tử
Nhưng trong khi cốt lõi bản thân HTTP là stateless, các cookie HTTP cho phép sử dụng các session trạng thái Sử dụng khả năng mở rộng header, các cookie HTTP được thêm vào quy trình vận hành, cho phép tạo các session trên mỗi yêu cầu HTTP để chia sẻ cùng 1 ngữ cảnh hay cùng 1 trạng thái
Trang 81.4.1.3 Cấu trúc cơ bản của HTTP
Giao thức HTTP là gì ?
HTTP còn là 1 giao thức Yêu cầu – Phản hồi dựa trên cấu trúc Client – Server.
Client và Server giao tiếp với nhau bằng cách trao đổi các message độc lập (tráingược với 1 luồng dữ liệu) Các message được gửi bởi client, thông thường là 1
trình duyệt web, được gọi là các yêu cầu và message được gửi bởi server như 1
sự trả lời, được gọi là phản hồi.
1.4.1.4 Kết nối của HTTP
Một kết nối được kiểm soát tại layer truyền tải, do đó về cơ bản nằm ngoàiphạm vi của HTTP Dù HTTP không yêu cầu giao thức truyền tải cơ bản phảidựa trên sự kết nối, vì chỉ yêu cầu nó đáng tin cậy hoặc không bị mất message(ít nhất là trình báo 1 lỗi) Trong số hai giao thức truyền tải phổ biến nhất trênInternet, TCP thì đáng tin cậy còn UDP thì không HTTP do đó dựa vào tiêuchuẩn TCP vốn là connection-based (dựa trên sự kết nối)
Trang 9 Trước khi 1 client và server có thể trao đổi 1 cặp yêu cầu – phản hồi HTTP, chúng phải thiết lập 1 kết nối TCP, 1 quá trình vốn yêu cầu 1 số vòng lặp Hoạt động mặc định của HTTP/1.0 là mở 1 kết nối TCP riêng biệt cho từng cặp yêu cầu – phản hồi HTTP Điều này làm nó kém hiệu quả hơn việc chia sẻ 1 kết nối TCP đơn lẻ khi nhiều yêu cầu được gửi liên tiếp.
Để giảm thiểu lỗ hỏng này, HTTP/1.1 đã giới thiệu pipelining (nhưng được chứng minh là khá khó để thực hiện) và kết nối liên tục: kết nối TCP bên dưới
có thể được kiểm soát 1 phần bằng cách sử dụng tiêu đề Connection HTTP/2
đã tiến 1 bước xa hơn bằng cách ghép các thông báo qua 1 kết nối duy nhất, giúp giữ cho kết nối ổn định và hiệu quả hơn
Các thử nghiệm đang được tiến hành để thiết kế một giao thức truyền tải tốt hơn phù hợp hơn với HTTP Ví dụ: Google đang thử nghiệm QUIC được xây dựng trên UDP để cung cấp giao thức truyền tải cũng đáng tin cậy và hiệu quả hơn
1.4.2 HTTPS
1.4.2.1 HTTPS là gì ?
HTTPS (Hypertext Transfer Protocol Secure) là giao thức truyền tải siêu văn
bản an toàn Thực chất, đây chính là giao thức HTTP nhưng tích hợp thêm
Trang 10Chứng chỉ bảo mật SSL nhằm mã hóa các thông điệp giao tiếp để tăng tính bảomật Có thể hiểu, HTTPS là phiên bản HTTP an toàn, bảo mật hơn
HTTPS hoạt động tương tự như HTTP, tuy nhiên được bổ sung thêm chứng
chỉ SSL (Secure Sockets Layer – tầng ổ bảo mật) hoặc TLS (Transport Layer Security – bảo mật tầng truyền tải) Hiện tại, đây là các tiêu chuẩn bảo
mật hàng đầu cho hàng triệu website trên toàn thế giới
Cả SSL và TLS đều sử dụng hệ thống PKI (Public Key Infrastructure -hạ tầngkhóa công khai) không đối xứng Hệ thống này sử dụng hai “khóa” để mã hóathông tin liên lạc, “khóa công khai” (public key) và “khóa riêng” (private key).Bất cứ thứ gì được mã hóa bằng khóa công khai chỉ có thể được giải mã bởikhóa riêng và ngược lại Các tiêu chuẩn này đảm bảo các nội dung sẽ được mãhóa trước khi truyền đi, và giải mã khi nhận Điều này khiến hacker dù có chenngang lấy được thông tin cũng không thể “hiểu” được thông tin đó
1.4.3 HTTP và HTTPS khác nhau như thế nào ?
Mặc dù cùng là giao thức truyền tải thông tin trên mạng internet, nhưng HTTP vàHTTPS có những điểm khác nhau cốt lõi khiến cho HTTPS được ưa chuộng hơn trêntoàn thế giới
Trang 111.4.3.2 Port trên HTTP và HTTPS
Port là cổng xác định thông tin trên máy khách, sau đó phân loại để gửi đếnmáy chủ Mỗi Port mang một số hiệu riêng với chức năng riêng biệt Giao thứcHTTP sử dụng Port 80, trong khi đó HTTPS sử dụng Port 443 – đây chính làcổng hỗ trợ mã hóa kết nối từ máy tính client đến server, nhằm bảo vệ gói dữliệu đang được truyền đi
1.4.3.3 Mức độ bảo mật của HTTP và HTTPS
Khi máy khách truy cập một website, giao thức HTTPS sẽ hỗ trợ xác thực tính đích danh của website đó thông qua việc kiểm tra xác thực bảo mật (Security Certificate)
Các xác thực bảo mật này được cung cấp và xác minh bởi Certificate Authority (CA) – các tổ chức phát hành các chứng thực các loại chứng thư số cho người dùng, doanh nghiệp, máy chủ, mã nguồn, phần mềm Các tổ chức này đóng vai
Trang 12trò là bên thứ ba, được cả hai bên tin tưởng để hỗ trợ quá trình trao đổi thông tin
an toàn
Đối với HTTP, vì dữ liệu không được xác thực bảo mật nên sẽ không có gì đảm bảo được phiên kết nối của người dùng có đang bị “nghe lén” hay không, hoặc người dùng đang cung cấp thông tin cho website thật hay một website giả mạo
1.4.3.4 Có nên sủ dụng HTTPS
Trước đây, HTTPS thường được sử dụng cho các website tài chính, ngân hàng,thương mại điện tử để bảo mật thông tin thanh toán online Tuy nhiên trong thời
điểm hiện tại, HTTPS đã trở thành tiêu chuẩn bảo mật tối thiểu mà tất cả các
website doanh nghiệp cần phải đáp ứng Vì những lý do sau đây:
HTTPS bảo mật thông tin người dùng:
Giao thức HTTPS sử dụng phương thức mã hóa (encryption) để đảm bảocác thông điệp trao đổi giữa máy khách và máy chủ không bị kẻ thứ ba(hackers) đọc được
Nếu truy cập một website không được cài đặt giao thức HTTPS, ngườidùng sẽ đối diện với nguy cơ bị tấn công sniffing Hacker có thể “chenngang” vào kết nối giữa máy khách và máy chủ, đánh cắp các dữ liệu màngười dùng gửi đi (password, thông tin thẻ tín dụng, văn bản email,…)
và các thông tin sẵn có từ website Thậm chí, mọi thao tác của ngườidùng trên website đều có thể bị quan sát, ghi lại mà họ không hề haybiết
Với giao thức HTTPS, người dùng và máy chủ hoàn toàn có thể tintưởng rằng các thông điệp chuyển giao qua luôn trong trạng thái nguyênvẹn, không qua bất kì chỉnh sửa, sai lệch nào so với dữ liệu đầu vào
Tránh lừa đảo bằng website giả mạo: Trên thực tế, bất kì server nào cũng cóthể giả dạng là server để lấy thông tin từ người dùng, lừa đảo dưới hình thứcPhishing Với giao thức HTTPS, trước khi dữ liệu giữa máy khách và máychủ được mã hóa để tiếp tục trao đổi, trình duyệt trên máy khách sẽ yêu cầukiểm tra chứng chỉ SSL từ máy chủ, đảm bảo rằng rằng người dùng đanggiao tiếp với đúng đối tượng mà họ muốn Chứng chỉ SSL/TSL của HTTPS
Trang 13sẽ giúp xác minh đó là website chính thức của doanh nghiệp chứ không phải
là website giả mạo
Giao thức HTTPS tăng uy tín website đối với người dùng:
Một số trình duyệt web phổ biến như Google Chrome, Mozilla Firefox,Microsoft Edge, hay Apple Safari đều có những cảnh báo người dùng vềnhững website “không bảo mật” sử dụng HTTP Động thái này giúp bảo
vệ thông tin của người dùng khi lướt web, bao gồm thông tin cá nhân,thẻ ngân hàng và dữ liệu nhạy cảm khác
HTTPS chậm hơn HTTP nhưng không đáng kể: Nhược điểm duy nhấtcủa HTTPS so với HTTP là sử dụng HTTPS khiến tốc độ giao tiếp(duyệt web, tải trang đích) giữa Client và Server chậm hơn HTTP Tuynhiên nhờ công nghệ phát triển, sự khác biệt đã đạt tới giới hạn tiệm cậnbằng 0
1.4.4 Cách sử dụng trình web an toàn
1.4.4.1 Cập nhật trình duyệt thường xuyên
Các phần mềm mà người dùng sử dụng hằng ngày được tạo ra từ hàng nghìn, thậm chí hàng triệu dòng lệnh khác nhau Trước khi xuất bản, các lập trình viên đều đã kiểm tra một cách rất cẩn thận nhưng vẫn không thể tránh được những sai sót.Hacker cũng nhắm đến tấn công các phần mềm có lượng người sử dụng nhiều nhất
Vậy nên, nếu là một phần mềm được đầu tư bài bản thì nhà phát triển họ sẽ phát hành các bản cập nhật định kỳ (có thể là hàng tháng hoặc hằng năm), bản cập nhật
có thể là các bản vá lỗi, vá các lỗ hổng bảo mật, hoặc là bổ sung thêm các tính năngmới cho phần mềm
Trình duyệt web cũng là một phần mềm, không những thế nó còn là cánh cửa để máy tính kết nối với Internet Chính vì vậy, việc đảm bảo cho các trình duyệt luôn được cập nhật phiên bản mới nhất là một trong những việc rất nên làm
Trang 141.4.4.2 Tắt cookie nếu không thực sự cần thiết
Cookie là một file tạm được tạo ra một cách tự động khi truy cập vào một trangweb bất kỳ Lúc này, Cookie sẽ lưu lại toàn bộ thông tin của người dùng như là tàikhoản cá nhân, lịch sử truy cập các trang web, thiết bị dùng để lướt web
Trên lý thuyết thì Cookie vô hại, nó được sử dụng để mang lại những trải nghiệmtốt hơn, liền mạch hơn Tuy nhiên nó đã và đang bị lợi dụng, chủ yếu là để khaithác quảng cáo và bán cho các nhà quảng cáo Vì vậy chúng ta nên hạn chế hoặc tắtCookie đi nếu cảm thấy không thực sự cần thiết
1.4.4.3 Sử dụng VPN
VPN hay Virtual Private Network là một công nghệ cho phép người dùng tạo mộtkết nối an toàn cho riêng mình ngay trên chính mạng công cộng (thường làInternet) Với VPN, mọi lưu lượng truy cập Internet của người dùng đều được mãhóa; và lưu lượng truy cập sẽ được định tuyến lại qua một máy chủ VPN thay vìdùng các ISP thông thường Nói một cách ngắn gọn, mọi dữ liệu của người dùngđều được bảo vệ khi họ online
VPN không chỉ giúp bảo vệ dữ liệu người dùng, mà còn được dùng để truy cậpnhững trang web vốn bị hạn chế về mặt địa lý Người dùng có thể chọn sử dụngứng dụng VPN miễn phí hoặc trả phí Lẽ dĩ nhiên, ứng dụng VPN tính phí sẽ hỗ trợnhiều tính năng hơn và cho tốc độ truyền tải dữ liệu nhanh hơn
1.4.4.4 Proxy server
Ngoài cách sử dụng VPN, sử dụng các máy chủ Proxy (Proxy Server) cũng là mộtcách giúp người dùng tự bảo vệ mình trên môi trường Internet đầy nguy hiểm.Người dùng có thể chọn lựa sử dụng Proxy nền tảng web vì chúng rất dễ dùng Chỉcần khởi động trình duyệt, truy cập vào những địa chỉ cung cấp Proxy nhưAnonymouse hay Kproxy rồi nhập địa chỉ trang web cần xem là xong Nhữngproxy này đáp ứng tốt nhu cầu duyệt nhanh một website nào đó
Người dùng cũng có thể chọn cách cấu hình máy chủ Proxy thủ công với các địachỉ Proxy đáng tin cậy như HideMyAss và ProxyNova Những dịch vụ này cập