`
yaya_wiscom
  • 浏览: 49908 次
  • 性别: Icon_minigender_1
  • 来自: 南京
社区版块
存档分类
最新评论

安全性考虑

阅读更多

我们知道, NetID是西安**学生在数字化校园中的唯一身份, 从教务处网站到饭卡, 从菩提帐号到学生邮箱, 都是于NetID绑定的. 一旦NetID对应的密码外泄, 学生在数字化校园中的整套服务将受到威胁. 因此NetID的安全保护不可小视.

本科生**服务[1]使用学生的NetID身份登录, 应该是因为每个NetID对应一名学生, 因此可以完成学生的身份认证工作. 但是登录的方式却有点奇怪: 在**服务网站上输入用户名密码登录. 本来验证用户名密码是否匹配应该是统一身份认证系统[2]的事情, 毕竟, **服务网站只需要知道一个学生对应的NetID就够了, 没必要也不应该知道他的密码. 无论是OAuth还是SSO, 都可以很棒地完成这一点, 技术上不存在难度. 统一身份认证系统应该类似于人人网或者新浪微博这样的服务, 集中管理用户信息, 而**服务等周边服务应该类似于人人网或者新浪微博的第三方应用, 从人人网/新浪微博获得用户的授权, 而无需知道用户的帐号和密码.

好吧, 就算**服务非要知道我的NetID密码, 那我也没得说. 但是能不能在网络连接层面提高点安全性呢? 登陆时密码是明文发送的, 意味着处在相同交换网络中的攻击者可以很容易地截获密码(如利用ARP攻击), 并且选课服务同机房的服务器在技术上也有截获学生NetID的密码的可能性. 从访问者到**服务器的路由上, 有心人想要抓取这段密码实在是a piece of cake. 是否可以考虑利用脚本在表单提交前将密码做一次加密运算然后在服务器上解密呢? 技术上是可以做到的. 但是更推荐的做法是实现端到端加密访问, 也就是传说中的全程HTTPS, 正如gmail做的那样.

至于统一身份认证系统, 能采用https访问真是难能可贵 看得出开发者也是知道密码在传输中是需要加密的. 可是, 能不能不要用自签名的证书呢? 当大家都设置了安全例外, 那安全性自然就是0. 别忘了HTTPS的MITM也是很成熟的. 买一个正规的证书会需要多少钱呢? 对一个学校的网络中心这样的机构来说, 真的不多.

**服务首页网页设计得还是不错的, 相信对这个团队来说, 就以上几点作出改进也不是难事. 辛苦了.

总结一下几点建议:
1. 密码认证只交给CAS完成;
2. 涉及安全的服务, 全程HTTPS;
3. CAS不要采用自签名证书, 买一个. 

分享到:
评论

相关推荐

    ChatGPT技术的数据隐私保护与安全性考虑.docx

    ChatGPT技术的数据隐私保护与安全性考虑 ChatGPT技术的数据隐私保护与安全性考虑是当前人工智能技术发展过程中不可忽视的一个重要问题。随着ChatGPT技术的日益普及,数据隐私保护和安全性问题也日益突出。为了解决...

    嵌入式设计的那些安全性考虑事项

    ### 嵌入式设计安全性考虑的关键点 随着物联网(IoT)的迅速发展和普及,嵌入式设备越来越频繁地接入互联网,从而使得网络安全问题日益凸显。黑客们利用各种手段试图突破这些设备的安全防线,以达到窃取数据、复制...

    ·【ARM】嵌入式设计的安全性考虑事项

    因此,嵌入式设备必须提高安全性,以防止黑客复制IP、盗窃数据或侵入系统,可是对于嵌入式工程师来说,安全是又一个极其复杂的主题,在为嵌入式微控制器设计系统时,很难把握到底需要怎样的保护力度。

    Python技术的安全性考虑.docx

    Matlab技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题

    ChatGPT技术的隐私保护和安全性考虑.docx

    ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题

    ChatGPT技术的数据隐私和安全性考虑.docx

    ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题

    ChatGPT技术的隐私保护与数据安全性考虑.docx

    ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题

    ChatGPT技术应用中的隐私保护与安全性考虑.docx

    ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题

    ChatGPT技术的隐私和安全性考虑与解决方案.docx

    ChatGPT技术的使用教程、使用方法、使用技巧、使用注意事项、使用中常见问题

    软件设计中安全性与易用性的考虑

    1. **整体性思考**:无论是安全性还是易用性,都需要从软件的全局出发来考虑,不能仅仅关注某个局部或单一功能。 2. **全面考量**:设计时需要综合考虑系统架构、开发团队的技术能力和市场需求等因素。 3. **早期...

    嵌入式设计的安全性考虑事项

    因此,嵌入式设备必须提高安全性,以防止黑客复制IP、盗窃数据或侵入系统,可是对于嵌入式工程师来说,安全是又一个极其复杂的主题,在为嵌入式微控制器设计系统时,很难把握到底需要怎样的保护力度。  图1:安全性...

    强化车票系统安全:C++中的安全编码实践

    本文将探讨在C++中实现车票系统时的安全性考虑,包括输入验证、密码学应用、错误处理和日志记录等。通过实际代码示例,展示如何构建一个安全、稳定的车票系统。 在C++中实现车票系统时,安全性是一个多方面的考量,...

    嵌入式设计的安全性考虑事项-ARM

    因此,嵌入式设备必须提高安全性,以防止黑客复制IP、盗窃数据或侵入系统,可是对于嵌入式工程师来说,安全是又一个极其复杂的主题,在为嵌入式微控制器设计系统时,很难把握到底需要怎样的保护力度。  为了简化...

    通过DES算法解密和获取数据的功能

    安全性考虑:由于DES算法的密钥长度较短(56位),其安全性已经受到挑战。因此,在需要高安全性的场合,建议使用更先进的加密算法,如AES算法。 性能考虑:DES算法虽然实现简单,但加密解密速度相对较慢。在需要处理...

    WiMAX网络安全是否存在通用标准?

    事实上,空中接口只是安全性考虑的一部分。最为一个电信级设备,所有设备都要求 能够做到可管、可控,这样的系统才是安全的。必须能够防止非法终端设备(CPE)接入,防止非法用户接入,防止数据非法窃听。

    烟草行业信息化方案.pdf

    烟草行业的安全性考虑包括了接入方式安全性考虑和系统安全策略考虑。接入方式安全性考虑是指烟草行业中信息系统的接入方式是否安全,而系统安全策略考虑是指烟草行业中信息系统的安全策略是否完善。烟草行业的安全性...

    嵌入式系统/ARM技术中的嵌入式设计的安全性考虑事项

    因此,嵌入式设备必须提高安全性,以防止黑客复制IP、盗窃数据或侵入系统,可是对于嵌入式工程师来说,安全是又一个极其复杂的主题,在为嵌入式微控制器设计系统时,很难把握到底需要怎样的保护力度。   ...

Global site tag (gtag.js) - Google Analytics