Zoom дээр чуулганд оролцох үед хөтөч болон дотоод сервер хоорондын харилцааны урсгал нь найдвартай, найдвартай холболтыг хангах хэд хэдэн алхмуудыг агуулдаг. Энэ урсгалыг ойлгох нь локал HTTP серверийн аюулгүй байдлыг үнэлэхэд маш чухал юм. Энэ хариултанд бид харилцааны үйл явцад оролцож буй алхам бүрийн нарийн ширийнийг авч үзэх болно.
1. Хэрэглэгчийн баталгаажуулалт:
Харилцааны урсгалын эхний алхам бол хэрэглэгчийн баталгаажуулалт юм. Хөтөч нь локал сервер рүү хүсэлт илгээж, дараа нь хэрэглэгчийн итгэмжлэлийг баталгаажуулдаг. Энэхүү баталгаажуулалтын үйл явц нь зөвхөн эрх бүхий хэрэглэгчид чуулганд хандах боломжтой.
2. Аюулгүй холболтыг бий болгох:
Хэрэглэгчийг баталгаажуулсны дараа хөтөч болон локал сервер HTTPS протоколыг ашиглан аюулгүй холболт үүсгэнэ. HTTPS нь хоёр төгсгөлийн хооронд дамжуулагдсан мэдээллийн нууцлал, бүрэн бүтэн байдлыг хамгаалахын тулд SSL/TLS шифрлэлтийг ашигладаг. Энэхүү шифрлэлт нь нэвтрэлтийн итгэмжлэл эсвэл хурлын агуулга гэх мэт эмзэг мэдээллийг дамжуулах явцад аюулгүй хэвээр байлгахыг баталгаажуулдаг.
3. Бага хурлын эх сурвалжийг хүсэх:
Аюулгүй холболт үүсгэсний дараа хөтөч нь чуулганд нэгдэхийн тулд шаардлагатай нөөцийг хүсэх болно. Эдгээр нөөцөд HTML, CSS, JavaScript файлууд болон мультимедиа контент багтаж болно. Хөтөч нь шаардлагатай нөөцийг зааж өгсөн HTTP GET хүсэлтийг локал сервер рүү илгээдэг.
4. Хурлын эх сурвалжид үйлчлэх:
Хүсэлтийг хүлээн авсны дараа локал сервер тэдгээрийг боловсруулж, хүссэн нөөцийг татаж авдаг. Дараа нь энэ нь хүссэн файлуудыг HTTP хариулт болгон хөтөч рүү буцааж илгээдэг. Эдгээр хариултууд нь ихэвчлэн хүссэн эх сурвалж, зохих толгой болон төлөвийн кодыг агуулдаг.
5. Хурлын интерфейсийг үзүүлэх:
Хөтөч нь хурлын эх сурвалжийг хүлээн авсны дараа HTML, CSS болон JavaScript файлуудыг ашиглан хурлын интерфейсийг гаргадаг. Энэхүү интерфэйс нь хэрэглэгчийг бага хуралд үр дүнтэй оролцоход шаардлагатай хяналт, функцээр хангадаг.
6. Бодит цагийн харилцаа холбоо:
Чуулганы үеэр хөтөч болон локал сервер нь аудио болон видео дамжуулалт, чатын ажиллагаа болон бусад интерактив функцуудыг хөнгөвчлөхийн тулд бодит цагийн харилцаанд оролцдог. Энэхүү харилцаа холбоо нь WebRTC (Web Real-Time Communication) болон WebSocket зэрэг протоколууд дээр тулгуурладаг бөгөөд энэ нь хөтөч болон серверийн хооронд хоцролт багатай, хоёр чиглэлтэй өгөгдөл дамжуулах боломжийг олгодог.
7. Аюулгүй байдлын талаар анхаарах зүйлс:
Аюулгүй байдлын үүднээс хөтөч болон локал сервер хоорондын харилцааны бүрэн бүтэн байдал, нууцлалыг хангах нь чухал юм. Хүчтэй шифрийн иж бүрдэл болон гэрчилгээний удирдлагын практик бүхий HTTPS-ийг хэрэгжүүлэх нь чагналт, өгөгдлийг хөндлөнгийн оролцоо, дундын хүний халдлагаас хамгаалахад тусалдаг. Дотоод серверийн програм хангамжийг тогтмол шинэчилж, засварлах нь болзошгүй эмзэг байдлыг багасгадаг.
Zoom дээр хуралд оролцох үед хөтөч болон локал сервер хоорондын харилцааны урсгал нь хэрэглэгчийн баталгаажуулалт, аюулгүй холболт үүсгэх, хурлын эх сурвалжийг хүсэх, үйлчлэх, хурлын интерфейсийг үзүүлэх, бодит цагийн харилцаа холбоо зэрэг алхмуудыг агуулна. HTTPS болон тогтмол програм хангамжийн шинэчлэлт зэрэг аюулгүй байдлын найдвартай арга хэмжээг хэрэгжүүлэх нь локал HTTP серверийн аюулгүй байдлыг хангахад маш чухал юм.
Сүүлийн үеийн бусад асуулт, хариулт EITC/IS/WASF вэб програмын аюулгүй байдлын үндэс:
- Татаж авах мета өгөгдлийн хүсэлтийн толгой хэсэг гэж юу вэ, тэдгээрийг ижил гарал үүсэл болон сайт хоорондын хүсэлтийг хооронд нь ялгахад хэрхэн ашиглах вэ?
- Итгэмжлэгдсэн төрлүүд вэб програмын халдлагыг хэрхэн багасгаж, аюулгүй байдлын үнэлгээг хялбарчлах вэ?
- Итгэмжлэгдсэн төрлүүдийн өгөгдмөл бодлогын зорилго нь юу вэ, үүнийг аюулгүй бус мөрийн хуваарилалтыг тодорхойлоход хэрхэн ашиглах вэ?
- Итгэмжлэгдсэн төрлүүдийн API ашиглан итгэмжлэгдсэн төрлүүдийн объектыг үүсгэх процесс юу вэ?
- Агуулгын аюулгүй байдлын бодлого дахь итгэмжлэгдсэн төрлүүдийн заавар нь DOM-д суурилсан сайт хоорондын скриптийн (XSS) эмзэг байдлыг багасгахад хэрхэн тусалдаг вэ?
- Итгэмжлэгдсэн төрлүүд гэж юу вэ, вэб программ дахь DOM-д суурилсан XSS-ийн эмзэг байдлыг хэрхэн шийдвэрлэх вэ?
- Агуулгын аюулгүй байдлын бодлого (CSP) нь сайт хоорондын скриптийн (XSS) эмзэг байдлыг багасгахад хэрхэн туслах вэ?
- Сайт хоорондын хүсэлтийг хуурамчаар үйлдэх (CSRF) гэж юу вэ, түүнийг халдагчид хэрхэн ашиглах вэ?
- Вэб програмын XSS эмзэг байдал нь хэрэглэгчийн мэдээллийг хэрхэн эвддэг вэ?
- Вэб аппликешнүүдэд нийтлэг тохиолддог хоёр үндсэн эмзэг байдлын ангилал юу вэ?
EITC/IS/WASF Вэб Програмын Аюулгүй байдлын үндэс хэсгээс илүү олон асуулт, хариултыг харна уу