接上篇
在对安全有很高限制的地方,我们应该提供视图 供用户操作,不提供基础数据库表。<o:p></o:p>
在我们的技术服务平台上,我们应该考虑使用这种方式,<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
1、 注册用户和非注册用户所能访问的资源存放在不同的文件夹中-------------------页面原型人员和开发人员尤其注意<o:p></o:p>
2、 限制用户存放在服务器上的文件数量、大小、格式<o:p></o:p>
比如:在文件上传的时候,要限制用户上传的文件的格式,大小等等,在后台做校验<o:p></o:p>
<o:p> </o:p>
3、 检验I/O的数据<o:p></o:p>
前台使用JS 验证并不能得到让人满意的效果,在服务器端有必要进行再次检验<o:p></o:p>
<o:p> </o:p>
4、 暴力破解<o:p></o:p>
一般都是选用验证码,但是一定要是有背景的验证码<o:p></o:p>
5、 隐私的保护<o:p></o:p>
6、 Web service的安全问题<o:p></o:p>
对此,目前我们要考虑的是AJAX的安全问题。<o:p></o:p>
对AJAX的安全方面目前大家都还在沉迷于它的客户感受,没考虑安全方面问题。<o:p></o:p>
我们在这里能做的就是:<o:p></o:p>
1) 少暴露不必要的业务方法----DWR框架<o:p></o:p>
2) ……… -------dojo框架<o:p></o:p>
3) 不建议使用原始的javaScript + XML来处理AJAX<o:p></o:p>
Web service的问题中还有 XPATH、 XML 、XHTML、WDSL、SOAP等存在着一定的漏洞。<o:p></o:p>
这些在以后做技术服务平台的时候,再去考虑。<o:p></o:p>
7、 每一步动作,均写到日志表<o:p></o:p>
<o:p> </o:p>
为以后出现安全漏洞查找<o:p></o:p>
18、URL重写<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p></o:p>
1. 方案选择:<o:p></o:p>
业界对JAVA EE的解决方案是这样的:<o:p></o:p>
1) CA<o:p></o:p>
2) SSL<o:p></o:p>
3) JAAS<o:p></o:p>
4) ACEGI<o:p></o:p>
1.1. CA<o:p></o:p>
对我们来说, 不是多重要,CA需要认证机构发证书
1.2. SSL<o:p></o:p>
在ACEGI中去做
<o:p> </o:p>
1.3. JAAS<o:p></o:p>
编程式的------------------不采用,在此不做介绍,有感兴趣的,找我提供一些资料
<o:p> </o:p>
1.4. ACEGI-----SSO<o:p></o:p>
由于我们要写2套姐妹系统----电子商务网和技术服务平台<o:p></o:p>
就存在着两套用户注册与登陆,这样用户在使用起来比较麻烦,让人反感。<o:p></o:p>
这样就存在一个需求:就是将2套乃至今后更多套的用户的登陆和授权统一起来,集中在一套页面去维护多套系统。<o:p></o:p>
为此,我们就需要单点登陆来处理。<o:p></o:p>
这样就直接使用acegi和cas来进行开发,方便以后系统的扩展和维护。<o:p></o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
<o:p> </o:p>
附:<o:p></o:p>
Acegi特性说明:<o:p></o:p>
1、 便携性----方便部署
2、 多认证方式 -------ssl form
3、 保护http请求不需要在web.xml文件中配置,直接在<bean></bean>文件中配置即可-------很好(配置即可)
4、 保护服务层的业务方法
这个只有EJB3才能享受的到,acegi也提供了,只要是POJO受管就可(配置即可)
<o:p> </o:p>
5、 灵活的安全传输通道 ---可以在http https之间灵活的切换(配置即可)
6、 安全性上下文的传播-----------目前还不需要
7、 提供标签库操作
8、 提供remember---me认证----cookie---------------用户登陆
9、 提供EhCache集成
10、 提供优异的Captcha集成
11、 支持Spring的事件机制
12、 很好的国际化问题
13、 提供一流的并发会话处理
<o:p> </o:p>
Acegi简单示例一个<o:p></o:p>
见gww的开发源码。
<o:p> </o:p>
分享到:
相关推荐
2. 软件安全承诺书的内容:软件安全承诺书的内容包括软件开发和服务提供商需要遵守的规章和规范,如遵守国家法律法规、保护个人数据和隐私、保护公司经济利益和科技优势、严格遵守公司的约定和买方/客户的指示等。...
2. 软件安全实现:使用各种安全机制和技术来保护软件系统的安全。 3. 软件安全测试:对软件系统进行测试,以确保其安全性和可靠性。 4. 软件安全需求及设计:根据用户的需求和安全标准,设计和实现软件系统的安全...
安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件安全防范软件
第二章软件安全需求分析 * 业务需求提出人员和需求分析人员的责任:确定业务风险,提出系统功能、性能及数据等方面的业务安全需求。 * 需求分析人员的责任:根据业务安全需求,进行资产识别、资产分析和风险分析,...
本次实验是电子科技大学信息与软件工程学院的一次软件安全设计课程,旨在让学生通过使用微软的Threat Analysis & Modeling (TAM)工具2.0版本,理解和掌握软件安全威胁建模的方法。实验重点在于利用TAM进行人力资源...
软件安全测试报告.pdf
2. 分析文件:软件会自动检测并识别PDF中的安全设置。 3. 选择解除选项:用户根据需要选择要解除的安全限制,如打印、编辑、复制等。 4. 解除限制:点击开始或解除按钮,软件将执行解除过程。这可能需要一些时间,...
### 软件安全实现与安全编程技术 在当今数字化时代,软件安全变得越来越重要。随着互联网技术的发展和应用范围的不断扩大,各种形式的安全威胁也日益增多,这使得软件安全成为了一个不可忽视的问题。《软件安全实现...
《软件安全实现:安全编程技术》是一本图书,全书共分为16章,针对安全编程技术进行讲解,主要涵盖了基本安全编程、应用安全编程、数据保护编程以及其他内容共四大部分:第一部分包含内存安全、线程/进程安全、异常/...
### 开源软件源代码安全缺陷分析报告 #### 一、概述 随着信息技术的快速发展,开源软件已成为现代软件生态系统中不可或缺的一部分。据统计,几乎所有的组织在构建其IT系统时都会使用到开源软件。开源软件因其免费...
### 信息安全技术应用软件安全编程指南 #### 一、引言与背景 随着信息技术的快速发展,应用软件在各个领域扮演着越来越重要的角色。然而,软件中存在的安全漏洞也日益成为不容忽视的问题。为了确保软件产品的安全...
《信息系统软件开发安全管理办法》是针对学院信息系统软件开发过程中安全问题的一个重要指导文件,旨在确保软件的安全、可靠、高效,并满足业务需求。本办法详细规定了软件开发的各个阶段的安全管理责任、流程和要求...
《GJB_102A-2012 军用软件安全性设计指南》是针对军事领域软件开发的重要规范,旨在确保军用软件在设计、开发、测试和维护过程中的安全性和可靠性。这份指南是中国军事标准(GJB,国家军用标准)的一部分,对军事...
《应用系统软件安全服务方案》主要探讨了在互联网环境下,如何确保应用系统软件的安全、高效运行及维护。以下是对方案的详细解读: 1. **应用系统软件升级**:当业务扩展,原有系统架构无法满足需求时,需要进行...
《软件安全性测试》 在信息化社会中,软件的安全性已经成为我们关注的重要焦点。软件安全性测试是一种专门用于评估软件产品在面临各种威胁时的防御能力,确保软件在设计、开发、运行过程中不会因为潜在的安全漏洞而...
在代码层,软件安全是主要的安全问题,即汽车电子平台软件中的软件漏洞可能会引发风险。在数据层,信息安全是主要的安全问题,即智能网联车中的各类数据需要通过网络上传,所涉及的隐私面临着被窃取、伪造、篡改、...
《外包软件开发安全管理规定》是...综上所述,外包软件开发安全管理规定涵盖了组织结构、责任分配、版权保护、安全测试、监控和记录等方面,为企业建立了一套全面的外包软件安全管理体系,以降低风险,保障业务安全。
软件安全的七个接触点分别是:软件安全的概念、安全漏洞、风险管理框架、安全开发生命周期、软件安全的七个接触点、安全设计原则、安全测试技术。 软件安全问题加剧的三个趋势是互联性、可扩展性和复杂性。互联性是...
对于软件安全设计而言,物理安全是基础,而网络安全、主机安全、应用安全和数据安全等其他方面同样重要,它们共同构成了全方位的信息安全保障体系。在实际操作中,还需要根据具体需求和风险评估来调整和完善这些设计...