12,162
社区成员
发帖
与我相关
我的任务
分享大家给点意见吧!
写论文,想写一些关于安全的。
我是根据我参加的一个项目写的,Asp.net+Web服务。
不知道要写安全,我应该从那些方面写?
我打算这样:先写一些关于asp.net应用程序安全的;然后再写一些web服务的安全
大家给点意见,在写这两个方面的安全,应该怎么写?
对安全不是很了解。
我是根据我参加的一个项目写的,Asp.net+Web服务。
不知道要写安全,我应该从那些方面写?
我打算这样:先写一些关于asp.net应用程序安全的;然后再写一些web服务的安全
大家给点意见,在写这两个方面的安全,应该怎么写?
对安全不是很了解。
...全文
请发表友善的回复…
发表回复
jesenzlb 2003-12-17
- 打赏
- 举报
我觉得可以看看msdn中有关安全的资料
poors 2003-12-17
- 打赏
- 举报
聆听中
l_clove 2003-12-17
- 打赏
- 举报
只有一些实际应用的例子:
http://www.codeproject.com/aspnet/#Security
http://www.codeproject.com/aspnet/#Security
dahuzizyd 2003-12-17
- 打赏
- 举报
这个是帮助里关于ado.net的安全性方面的:
为了保证应用程序的安全,最重要的目标之一是保护对数据源的访问。为了保护对数据源的访问,请务必保持用户标识、密码和数据源名称等连接信息的私密性。以下是确保关键连接信息保持私密性的指南。
避免以纯文本形式存储用户标识和密码
以纯文本形式存储用户标识和密码将造成严重的安全漏洞。如果用户标识和密码是源代码的一部分,那么一旦源代码的安全受到威胁,用户标识和密码比任何时候都容易遭受攻击。即使向外部源提供的是代码的编译版本,编译的代码也可能被反汇编,从而用户标识和密码也被公开。因此,关键信息如用户标识和密码决不能以纯文本形式存在于代码中。
要保持用户标识和密码信息的私有性,您可以选择使用密码系统(请参见加密服务),但是在存储关键信息,以及与应用程序分离、而通过 NTFS 权限得到了严密保护的秘密信息时,您仍然要小心。
连接到 Microsoft SQL Server 时,也可以选择使用“集成安全性”,它使用当前活动用户的标识,而不是传递用户标识和密码。. 强烈建议使用“集成安全性”。
注意 ASP.NET 开发人员在使用“集成安全性”时需要特别注意。有关在 ASP.NET 应用程序中控制当前活动用户标识的信息,请参见 ASP.NET 模拟。
保护通用数据链接文件
可以使用“通用数据链接”(UDL) 文件为 OleDbConnection 提供连接信息。由于 UDL 文件对于您的应用程序来说是外部资源,因此应使用“新技术文件系统”(NTFS) 文件权限保护 UDL 文件,防止连接信息被公开或修改。而且,请务必提供 UDL 文件的完全限定路径,以确保对连接使用正确的 UDL 文件。
UDL 文件没有加密。如果您想使用密码系统提高连接信息的安全性,您不能使用 UDL 文件来提供连接字符串信息。
保持 Persist Security Info 为 False
将 Persist Security Info 设置为 true 或 yes 将导致在打开连接后,从连接中获得涉及安全性的信息(包括用户标识和密码)。如果在连接时要提供用户标识和密码,则最安全的做法是,使用该信息打开连接,然后立即将它丢弃。因此,最安全的选择就是将 Persist Security Info 设置为 false 或 no。
当您向不可信的源提供打开的连接,或将连接信息保存到磁盘时,这点尤其重要。将 Persist Security Info 保持为 false 确保不可信的源无法访问连接中涉及安全性的信息,还确保任何涉及安全性的信息都不能随连接字符串信息保存到磁盘中。
Persist Security Info 的默认设置为 false。
在从用户输入构造连接字符串时使用警告
当采用来自外部源(如提供用户标识和密码的用户)的连接字符串信息时,您必须注意确保用于构造连接字符串的值不含有会更改连接行为的附加连接字符串参数。为了保证连接字符串的安全,请验证来自外部源的所有输入,以确保它们遵循了正确的格式。
验证输入
可以使用正则表达式验证输入与特定的格式是否匹配。.NET Framework 提供了 Regex 对象,以根据正则表达式来验证值。例如,以下代码用于确保用户标识值是一个 8 字符的字母字符串。
public static bool ValidateUserid(string inString)
{
Regex r = new Regex("^[A-Za-z0-9]{8}$");
return r.IsMatch(inString)
}
建议有条件的话多参考帮助里的关于安全性的主题
为了保证应用程序的安全,最重要的目标之一是保护对数据源的访问。为了保护对数据源的访问,请务必保持用户标识、密码和数据源名称等连接信息的私密性。以下是确保关键连接信息保持私密性的指南。
避免以纯文本形式存储用户标识和密码
以纯文本形式存储用户标识和密码将造成严重的安全漏洞。如果用户标识和密码是源代码的一部分,那么一旦源代码的安全受到威胁,用户标识和密码比任何时候都容易遭受攻击。即使向外部源提供的是代码的编译版本,编译的代码也可能被反汇编,从而用户标识和密码也被公开。因此,关键信息如用户标识和密码决不能以纯文本形式存在于代码中。
要保持用户标识和密码信息的私有性,您可以选择使用密码系统(请参见加密服务),但是在存储关键信息,以及与应用程序分离、而通过 NTFS 权限得到了严密保护的秘密信息时,您仍然要小心。
连接到 Microsoft SQL Server 时,也可以选择使用“集成安全性”,它使用当前活动用户的标识,而不是传递用户标识和密码。. 强烈建议使用“集成安全性”。
注意 ASP.NET 开发人员在使用“集成安全性”时需要特别注意。有关在 ASP.NET 应用程序中控制当前活动用户标识的信息,请参见 ASP.NET 模拟。
保护通用数据链接文件
可以使用“通用数据链接”(UDL) 文件为 OleDbConnection 提供连接信息。由于 UDL 文件对于您的应用程序来说是外部资源,因此应使用“新技术文件系统”(NTFS) 文件权限保护 UDL 文件,防止连接信息被公开或修改。而且,请务必提供 UDL 文件的完全限定路径,以确保对连接使用正确的 UDL 文件。
UDL 文件没有加密。如果您想使用密码系统提高连接信息的安全性,您不能使用 UDL 文件来提供连接字符串信息。
保持 Persist Security Info 为 False
将 Persist Security Info 设置为 true 或 yes 将导致在打开连接后,从连接中获得涉及安全性的信息(包括用户标识和密码)。如果在连接时要提供用户标识和密码,则最安全的做法是,使用该信息打开连接,然后立即将它丢弃。因此,最安全的选择就是将 Persist Security Info 设置为 false 或 no。
当您向不可信的源提供打开的连接,或将连接信息保存到磁盘时,这点尤其重要。将 Persist Security Info 保持为 false 确保不可信的源无法访问连接中涉及安全性的信息,还确保任何涉及安全性的信息都不能随连接字符串信息保存到磁盘中。
Persist Security Info 的默认设置为 false。
在从用户输入构造连接字符串时使用警告
当采用来自外部源(如提供用户标识和密码的用户)的连接字符串信息时,您必须注意确保用于构造连接字符串的值不含有会更改连接行为的附加连接字符串参数。为了保证连接字符串的安全,请验证来自外部源的所有输入,以确保它们遵循了正确的格式。
验证输入
可以使用正则表达式验证输入与特定的格式是否匹配。.NET Framework 提供了 Regex 对象,以根据正则表达式来验证值。例如,以下代码用于确保用户标识值是一个 8 字符的字母字符串。
public static bool ValidateUserid(string inString)
{
Regex r = new Regex("^[A-Za-z0-9]{8}$");
return r.IsMatch(inString)
}
建议有条件的话多参考帮助里的关于安全性的主题
rottenapple 2003-12-17
- 打赏
- 举报
WSE是一定要看得
应该使用它。
不过说实话,webwervices的安全都是一些w3c的标准,怎么写?
要是本科论文还好说,要是硕士的话可能不好通过吧。
前提是搞出自己的东西很难:)
应该使用它。
不过说实话,webwervices的安全都是一些w3c的标准,怎么写?
要是本科论文还好说,要是硕士的话可能不好通过吧。
前提是搞出自己的东西很难:)
