`
defrag_sly
  • 浏览: 129751 次
  • 性别: Icon_minigender_1
  • 来自: 上海
社区版块
存档分类
最新评论

程序的安全性包括哪些方面?是什么原因让我们不去考虑程序的安全性,程序又运行的相对安全???

    博客分类:
  • java
阅读更多
如题,欢迎大家讨论。
分享到:
评论
7 楼 fjlyxx 2009-04-02  
还是因为客户没重视吧,客户重视了你就逃不了了
6 楼 defrag_sly 2009-03-23  
但是如果想要提高安全性这方面,该怎么做呢?
5 楼 defrag_sly 2009-03-23  
mazzystar 写道
是因为我们的数据不敏感,没人黑我们

同意。
4 楼 mazzystar 2009-03-20  
是因为我们的数据不敏感,没人黑我们
3 楼 defrag_sly 2009-03-20  
权限控制,不错,一个好的权限管理,的确可以提高应用的安全性。
想必权限控制肯定也不是唯一的办法。希望大家有更深入的讨论。
比如在,架构层次,语言层次,设计模式,硬件环境,企业应用,门户网站。
请大家不要吝啬哦。
2 楼 metadmin 2009-03-20  
如果一个系统,权限控制的非常好,让用户没有缝隙可钻。比如(SQL注入、url带有参数绕过界面菜单控制)。  如果做到这样,那么我认为这个系统是安全的。

引出如下问题:
1,能否将权限从业务中剥离出来,因为程序中充满if / else 判断不好看,也增加出现不安全要素可能性;
2,怎样让权限管理变的简单,不仅实施起来非常容易,而且需求发生变动的时候,也要能快速挑战过来。

有兴趣可以浏览我SINA BLOG: http://blog.sina.com.cn/metadmin 。



------------
实现细粒度权限管理
www.metadmin.com
1 楼 metadmin 2009-03-20  
我就说权限管理吧,因为我是专门权限管理的,我在这个领域搞了4年。

权限管理范畴
1,功能级权限,可以让最终用户设置。(用户--角色--权限模型)
2,细粒度权限,根据用户需求,软件开发者开发在系统里面的。比如总公司HR用户登录看到全部员工信息,分公司HR用户登录查看到本分公司及下属营业部员工信息。
(细粒度权限,大多系统都是写死的,也就是硬编码。当需求变化的时候,又要改代码。不排除有些企业开发出系统,可以改改参数表之类,可以解决问题的)


权限应用场景最好应该是怎样的
1,业务方法,比如向数据插入、删除、修改数据,不要考虑权限,就是简单的SQL语句;
2,在控制层需要权限的地方,执行权限判断。
例子:
public class ControlServlet extends HttpServlet {
   ....
   // 权限判断
   if( condtion1 && condition 2 ) {
         // 满足条件1和条件2,插入      
simpleBusinessMethod.insert( entity );
   } else if( condition3 ) {
      //满足条件3,插入
      simpleBusinessMethod.insert( entity );
   }
   ....
}

相关推荐

    微信小程序安全测试指南

    总而言之,微信小程序安全测试是一个多方面、多层次的过程,它要求测试人员具备广泛的知识和灵活的测试能力。在执行测试工作时,测试人员不仅要熟悉微信小程序的架构和开发流程,还要了解相关的测试工具和网络协议,...

    软件安全性测试(完整版)

    通过以上步骤,我们可以构建一个相对完善的安全测试框架,有效地提高软件的安全性。同时,持续的安全测试和更新是必要的,因为新的威胁和攻击手段总是在不断演变。因此,软件安全性测试不仅仅是一个一次性活动,而是...

    程序在内存中运行的奥秘

    此外,还特别提到了安全性方面的考量,比如随机地址空间布局技术的应用。理解这些基础概念有助于开发者更好地管理内存资源,提升程序的性能和稳定性。同时,对于系统管理员来说,了解内存管理机制也有助于优化系统的...

    iOS程序的逆向与安全

    iOS作为苹果公司的移动操作系统,因封闭性和安全性而受到一部分用户的青睐,然而这并不意味着iOS程序不存在安全风险。本文将从多个维度探讨iOS程序逆向工程与安全防护的相关知识。 首先,我们需要了解iOS程序安全在...

    asp.net程序部署后用c#调用cmd不运行方案

    通过以上分析和建议,我们可以看到,在解决这类问题时,需要从多个角度进行思考和排查,包括但不限于权限、路径、参数以及错误处理等方面。只有综合考虑并逐一排除潜在的障碍,才能最终找到问题的症结所在,并有效...

    欧姆龙CP1H项目程序,程序包含四轴?一个NC413轴控制模块一起五个,有轴的点动,回零,相对与绝对定位,扩展两个I/O模块,整

    复位程序用于初始化系统状态,手动模式则允许操作员通过手动输入来控制设备,提高了操作的灵活性和安全性。 8. **程序流程**:描述中的“程序流程清晰明了”意味着程序结构良好,易于理解和维护。良好的编程实践有...

    软件安全开发模型的研究(精).pdf

    软件开发过程中存在的安全问题包括没有明确用户对安全性方面的需求、设计上没有安全性的考虑、程序设计中的安全漏洞、代码中存在漏洞、开发人员在程序中开的后门、开发人员在程序中植入恶意代码、引用别人的代码或...

    易语言把运行程序改名源码.rar

    "易语言把运行程序改名源码"这个标题和描述表明,这个压缩包包含的是一个易语言编写的源代码,该源代码实现的功能是在程序运行过程中改变自身的文件名。 在计算机编程中,程序运行时改名是一个相对复杂的过程,因为...

    Windows操作系统安全性.pptx

    服务程序漏洞主要出现在像PWS这样的可选服务组件中,这些服务的安全性相对较弱,容易成为攻击目标。 本地攻击主要针对系统的直接访问,如口令保护、屏幕保护和内存中的口令。Windows 9x的口令保护机制实际上并不...

    windows服务启动另外一个应用程序

    在实现过程中,还需要考虑错误处理、权限控制、资源管理等多个方面,确保服务的稳定性和安全性。同时,由于涉及到跨会话交互,可能需要管理员权限才能正常工作。 总结来说,"Windows服务启动另外一个应用程序"是一...

    在网页上调用桌面exe程序的简单方法

    综上所述,虽然使用ActiveXObject调用桌面exe程序在技术上是可行的,但在实际开发中,需要考虑浏览器兼容性、安全性以及用户隐私保护等多方面因素。随着Web技术的进步,未来的开发应该更多地关注安全、高效和现代化...

    易语言源码易语言全盘禁止卡巴程序运行源码.rar

    本资源"易语言源码易语言全盘禁止卡巴程序运行源码.rar"是一个使用易语言编写的源代码,旨在实现阻止卡巴斯基(Kaspersky)安全软件在操作系统中运行的功能。 首先,我们需要了解易语言的基本结构和语法。易语言的...

    《静态应用程序安测试工具(SAST)能力要求》《交互.pdf

    SAST工具属于静态扫描,不依赖于程序运行状态,安全介入位置相对更加靠前。 三、SAST工具的特点 SAST工具的特点是通过分析或者检查源程序的语法、结构、过程、接口等信息,利用数据流分析、控制流分析、语义分析等...

    易语言源码运行外部程序.rar

    此外,为了确保程序的稳定性和安全性,我们需要注意一些最佳实践。例如,确保引用的程序路径正确无误,避免空格和特殊字符可能导致的问题;在调用外部程序时,考虑到权限问题,确保当前用户有执行该程序的权限;在...

    一个用于加解密的小程序

    非对称加密如RSA、ECC(Elliptic Curve Cryptography),则使用一对公钥和私钥,公钥用于加密,私钥用于解密,安全性更高但计算成本相对较高。 这个“加解密”小程序可能采用了其中的一种或多种加密技术,为用户...

    Docker容器安全性解决方案.pdf

    Docker 容器安全性解决方案 Docker 容器安全性解决方案是指为了确保 Docker 容器在应用中能够安全运行,避免可能出现的安全问题和风险,而采取的一系列安全机制和解决方案。该解决方案主要包括容器虚拟化安全、容器...

    程序分析原理(Principles of Program Analysis)

    程序分析在软件工程、编译器设计、安全性验证、性能优化等多个领域都有广泛的应用。这一主题涉及到的知识点丰富多样,包括静态分析、动态分析、形式化方法以及相关的数据结构和算法。 1. **静态分析**:静态分析是...

    去除谷歌浏览器以开发者模式运行的扩展程序Chorme

    3. **定期检查更新**:即使扩展程序在非开发者模式下运行,也应定期检查更新,以保持安全性和功能性。 4. **安全扫描**:使用反病毒软件对已安装的扩展进行扫描,确保没有恶意软件。 提供的文件"chrome_Patch74.exe...

    功能强大的拱坝计算程序

    总结来看,“功能强大的拱坝计算程序”不仅提高了工程计算的效率和精确度,更在确保拱坝这一大型水利结构安全运行方面发挥了不可估量的作用。无论是在新建的拱坝项目中,还是对现有拱坝进行定期的安全性检查,该计算...

    留意PHP代码的安全性有效避开恶意程序

    在PHP编程中,确保代码安全性至关重要,因为不安全的代码可能导致数据泄露、系统被恶意攻击甚至整个服务器瘫痪。标题和描述中提到的焦点在于预防用户通过恶意输入破坏程序。下面我们将详细讨论PHP代码中可能出现的...

Global site tag (gtag.js) - Google Analytics