软件开发厂商在关键应用安全上下工夫?

一般意义上的安全确实包含很多内容,大到信息安全体系,小到缓冲区溢出造成的漏洞,还包含有相应管理制度等。

作为软件开发厂商,如何在自己的职权范围内保证关键应用的安全?以下观点也许能给你有所启示。

1)应用安全需求评估

这本来应该是最终用户完成的工作,可根据现状,这几乎是不在可能的,不如让我们把它做成选择题,由用户去画勾。

2)典型安全应用模型与安全策略的研究

在一些广泛使用的大系统,如操作系统、应用服务器、数据库服务器中,它们都有很先进和成熟的安全模型和安全策略控制,例如访问控制列表(ACL)、数据库操作权限分配、AD 中的代理管理等,都是值得深入研究和借鉴的。

3)安全代码实践研究

缓冲区溢出产生漏洞和构建 SQL 语句攻击是当前许多系统中出现的问题,其实只要在编码的时候稍加注意,这些失误很容易就可以避免,所以有必要建立一套代码审查办法,同时使用黑箱的方式对代码进行进行粒度很细的模拟攻击,以尽早发现安全问题。

4) 整理和建立各个平台安全工具集

DES、RSA、MD5、SHA这些优秀的、应用广泛的加密或散列函数对于安全编码有很大帮助,有必要把它们收集、整理在一起,为开发人员提供一个开发工具包。

.NET 和 Java 在这方面已经做的很好了,但在 Cobol、C/C++ 这些语言平台上,还需要做点工作。

在 IPSec 不能使用或不能到达未端的情况下,如果能做一套基于 PKI 的数据通信工具包,那一定是十分完美了。

5)安全测试与审计实施研究

在软件开发厂商里,有必要建立独产的安全测试部门,对公司的产品进行各种安全测试(黑箱和白箱),同时,在指定时间隔内,在用户允许的情况下,对产品的实际运行状况安全审计,以加强系统的安全级别。

6)建立应用安全评价体系

怎么样才能说我的系统安全性高?怎么样说出去让人相信? 没有评价体系和评价标准是不行的,Windows 的 C2 级安全性就是来自于 TCSEC,现在的 TCSEC 变成 CC (通用安全评价体系)了,这个东西太大,在参考它的基础上,有必要结合自己的实际情况,建立适合自身特点的安全评价体系,这样可以更有针对性,如对于金融行业应用来说。

学习,学习,努力学习…

前几天在China-Pub上买了三本书。

《ASP.NET Intranet 高级编程》,实际就是讲解IBuySpy的,不是很推荐,属于典型的流水帐式,典型的Wrox图书(N多人,一人一章),没什么深入的东东。只所以买,是抱着“少吃两次KFC而已”的心理把它拖进购物篮的…

《ASP.NET 分布式数据应用程序高级编程》,买这本书的原因是以前看过这本书两位作者之一写的《ASP.NET WebForms 高级编程》,对那本书颇有好感,所以就本着相信作者的态度,选了这本书。翻了翻,还不错,讲解了各种环境下,数据的存取、传递和数据层的设计等等。

《高级 .NET 程序设计》,讲解IL、CLR、GC的书,比Jeffery的那本《Applied…》更深入,不知行文能否比得上。作者好像就是那个写那本大块头的《C#高级编程》的。这里再夸Jeffery的那本书,不但内容充实,而且循序渐进、行文轻松,阅读起来毫丝不觉艰深,实在是难得。

顺便再罗列一下以前看过的.NET书籍:

《Microsoft.Net 程序设计技术内幕》,Jeff Prosise写的,名为“内幕”,实为入门(真不知道译者怎么翻译的的书名),而且是一本ASP.NET的入门书,原著和翻译都没得说,偶三个月前就是靠这本书入门.NET的。庆幸自己选对了入门书。

《Applied .Net Framework Programming 中文第一版》,最有名的作者加上最差劲的翻译,呵呵,不过偶实话实说,只要你不是刚学写程序的,还是可以看的,反正我是觉得基本上看起来没有障碍,很多地方都可以“中译英”猜出原文笑脸。现在出了中文修订本,没买的人有福了。

《ASP.NET WebForms 高级编程》,这本书是一本难得的佳作,作者的写作水平不容质疑。没有多层设计等深入的东西,但是有很多值得学习的内容和技巧。作者设计网页认真的态度值得钦佩,在页面设计上考虑了各种浏览器(IE、Netscape、Mozila、Opera、IBM的盲人用发声浏览器、纯文本显示的Lynx什么的…各种支持或不支持Cookie,支持或不支持JavaScript的浏览器)的兼容性和可浏览性。

《ASP.NET Web 站点高级编程》,在Amazon上评价颇高,内容也确实不错,全书精华在讲述全站框架、设计(所有数据存取类、商务逻辑类和页面的)基类和权限角色管理两章,后面的那些模块基本上都是罗列代码,重复着一遍遍演示怎么用三层来进行设计等等之类的(接近于罗嗦)。

下阶段要阅读的东东(好像地球人都知道了哈…):

《ESP 2.0 中文版》,感谢Microsoft翻译过来了,呵呵,chm版本有了,呵呵…

《A First Look At ASP.NET 2.0》,应该是第一本“(打折的)全面”ASP.NET 2.0的书籍,chm版本也有了,呵呵…

流水帐

近几日,更多的人开始把我们的博客(Blog,原意 Web Log)当成论坛来使用,我们希望以后大家还是还“博客”以本色,不要把这儿当成讨论问题或者回答问题的场所。如果出现三次以上,我们将考虑封闭帐号。至于什么是“博客”,可以到Google上搜一下。

另外,亚洲博客大奖赛现在开始了,我们在首页上已经做了一个链接,希望各位朋友在没有事情的时候,可以帮助我们去投上几票吐舌笑脸,地址就在:http://www.flyingchair.net/vote.php?categoryID=2

本站的很多网友开始制作一些免费的出版物贡献给广大网友,比如近日的模式书,就已经出现过多个版本了。不知道大家可否在自己的出版物里面加上博客堂的链接呢?所有图标可以在这儿选择: http://blog.joycode.com/joy/gallery/299.aspx ,而链接即可以指向博客堂的首页,也可以指向你在博客堂的首页。

另外,也有很多朋友喜欢在各种网站上发表一些文章,那么可否顺便提一下博客堂呢?最好能够给出博客堂的链接了咧嘴笑脸,我已经发现现在有n多网站从博客堂转载文章了。但没有得到大家的授权,也不知道该如何做,是否对这种转载允许?

以上是今天的流水帐。

告MVP同志书

其实我掩饰不了内心的兴奋,但同时,我也有丝丝的不舍。

怀着异样的心情,从我的首页上,将MVP的图标撤走,同时,又以兴奋的心情把这个消息一一通知我MSN上在线的朋友们。

从去年四月份,当选首届Asia MVP以来,MVP已经成为我生活中必不可少的一部分。是我动力的来源,信心的基石。因为MVP项目,我认识了Grace,认识了小马哥、认识了Playyuer、认识了Zee等等众多的网络高手。

也因为MVP项目,我可以与原来只闻其名,不见其人的高手们把杯言欢,还记得MVP峰会期间的那些夜晚,几个朋友围坐在马兰拉面的桌前那温馨的聊天场景吗?还记得峰会开场时大家的欢呼吗?

更因为MVP项目,我在拜见岳父岳母时,几乎拿到了满分的印象分。

可是,今天,我却要告别MVP项目了。在我得到这个消息之前,我与Grace讨论过好几次,探讨过各种可能性。Grace曾经给我一个新的职位,叫“资深MVP Friend吐舌笑脸”。不过我更希望成为大家当中的一分子,一起为这个项目默默努力,在国内打造MVP的品牌!!

分手时刻,只希望MVP项目能够越办越好。当然,与MVP告别,并不代表与博客堂告别,同样,在这儿,我也许下愿望,希望博客堂越办越好,在明年能够出更多的MVP!!咧嘴笑脸

现在还只是刚签了Offer Letter,与微创签的,在微软的TS部门工作。不过我仍然心存一丝希望,希望MVP项目总部负责人可以确认一下,与微创签约,我仍然可以做MVP咧嘴笑脸

革命尚未成功,同志仍须努力!!

BTW:千元大奖项目原贴有误,截止日期应该是本周三,希望大家继续踊跃参加!!!

一种观点:微软是否将太多的内容塞进了System这个根命名空间之中?

System这个命名空间中的内容“暗示”它们是核心的、必需的、无处不在的,但是微软是否将过多的内容塞入到System这个根命名空间呢?

Yukon小组和WinFS小组将他们的类放在System.Data.SqlServer和System.Storage里面,也许Microsoft.SqlServer和Microsoft.WinFS是更合适的地方。

再比如,Oracle.OracleClient(或者更好的Oracle.Data.OracleClient)应该比System.Data.OracleClient更好。ODBC小组就做得很好,他们将他们的内容放在了Microsoft.Data.ODBC里面。

也许不久,System这个根命名空间会变得想过去的Win32 API一样,变成一个巨大的扁平的API索引。

原文见:http://www.asp.net/Forums/ShowPost.aspx?tabindex=1&PostID=407089

ASP.NET 2.0中更好的Code-Beside特性

ASP.NET 2.0中,将现阶段用于实现页面-代码分离的Code-Behind方式改为了Code-Beside方式,更加简明和舒适笑脸

Code-Behind方式通过继承实现,用下面链接中的文章的话说,“excellent OO, but awkward in practice”,呵呵,.Net Framework 1.2将支持Partial Class特性,于是ASP.NET也使用了更加漂亮的Code-Beside方式。

一篇言简意赅的介绍文章:
ASP.NET v2.0: Code-Beside Replaces Code-Behind

千元大奖,你有兴趣吗?

悬赏寻求问题解决方案,所有博客堂网友及访客均有权夺奖吐舌笑脸

博客堂以后会定期推出一些技术问题,寻找解决方案,而且奖金都十分丰厚。希望大家能够在时间约束内给出解决方案。当然,所有解决方案我们只会取最佳解决方案的提供者给予奖励,而且不会公布此最佳解决方案的内容,请大家谅解。

本期问题如下:如何使用Windows Messenger或者MSN Messenger进行编程?

问题描述:

  1. 给出微软在其网站上提供的关于Windows Messenger与MSN Messenger编程的白皮书或者其它技术资料的链接地址(或者第三方的技术资料亦可),越多越好。要附上个人对这些资料的介绍。
  2. 按照以下需求写一个简单的Windows Application(使用C#语言):
    • 集成Windows Messenger控件及MSN Messenger控件在其中;
    • 可以使用Passport帐号访问微软即时消息服务器;
    • 可以使用代理服务器设置;
    • (可选)可以访问企业服务器内的Microsoft Live Communication Server
  3. 时间:2003-12-7至2003-12-10
  4. 奖金:人民币一千元整

请大家奖自己的解决方案发往[email protected]

把微软键盘买回来了…

办公室的键盘一直让我深恶痛绝,老早就决定买个新键盘回来了。前两天一直在pconline.com.cn上看有关键盘的文章,由于偶的工作关系,对MS的东东当然还是特别关注啦,于是决定买MS的键盘,MS的东东不管软件还是硬件都是一个字,“贵”,最便宜的键盘都是99,但还是决定买这款最便宜的Basic Keyboard。今天去赛格,直奔一个键盘专卖,他们只卖微软和罗技的键盘鼠标,偶实在不会侃价,最后只以95成交。唉,同档次的罗技居然只报65,偶差点想买那款了。

现在正在用着,一个字,“爽”。

其实偶对微软的无线键盘鼠标套装兴趣也是非常大的,可惜价格…低、中、高档的价格分别是599、799、999…

关注博客堂征文活动

博客堂杯征文活动截止到今天,已经算全部结束了,在此期间,我们接受到很多投稿,但请原谅我们,没有做好统计,而且由于组织上的问题,大部分人员都是把自己的文章贴在了自己的站点上,给评选带来了麻烦,为了更加方便的进行评选,希望参加此次大赛的同志们,能够把自己的文章链接在本文后以添加评论的方式写出来。

我们的评委是小气的神、思归、知秋一叶,本次大赛的结果将在十二月十五日正式推出,将由Grace Zhang同志为大家分发奖品吐舌笑脸