随笔分类 - 网络安全
摘要:.NET Core大大简化了.NET应用程序的开发。它的自动配置和启动依赖大大减少了开始一个应用所需的代码和配置量,本文目的是介绍如何创建更安全的.NET Core应用程序。 1.在生产中使用HTTPS传输层安全性(TLS)是HTTPS的官方名称,你可能听说过它称为SSL(安全套接字层),SSL是已弃用的名称,TLS是一种加密协议,可通过计算机网络提供安全通信。其主要目标是确保计算机应用程序之间的...
阅读全文
摘要:欧盟的《通用数据保护条例》(General Data Protection Regulation,以下简称 GDPR)已经于 2018 年 5 月 25 日正式施行。GDPR 涵盖了包括数据泄露发生后 72 小时内向监管机构通报的要求,以及提前告知用户数据用途的要求等等。GDPR 允许监管机构对违反
阅读全文
摘要:现在很多网站提供了二维码登录模式:CSC模式为:web客户端 --> 服务端 <-- 移动客户端(ios,android,wp等等)。下面以盛大云计算(http://www.grandcloud.cn/)的登录为例说明认证步骤:1)用手机客户端建立手机号同帐号的绑定关系。 2)打开网页版,在浏览器生...
阅读全文
摘要:看到一篇国外MVP Troy Hunt的文章: 67% of ASP.NET websites have serious configuration related security vulnerabilities,大意是依据他搜集到的统计数字,约67%的ASP.NET网站因配置不当,存在安全风险.列出的常见ASP.NET配置安全漏洞
阅读全文
摘要:AntiXSS 库目前处于版本 4.2.1,下载地址:http://www.microsoft.com/download/en/details.aspx?id=28589。它经历了一次非常棒的重新编写过程,并且就安全性而言,它提供了比 ASP.NET 附带的编码器更好的 HTML 编码器。 并不是说 Server.HtmlEncode 有什么问题,只是它侧重于兼容性而不是安全性。
阅读全文
摘要:EverBox网盘(www.everbox.com)是由盛大创新院推出的一款网盘产品,提供了超大的免费存储空间(可升级到 10GB),支持文件同步、文件分享、在线浏览照片、在线听音乐等功能,并提供 W...
阅读全文
摘要:随着Web应用的爆炸式成长,传统的IDS设备对于应用层尤其是HTTP应用层就显得越来越力不从心了。2008年,大规模SQL自动注入让Web安全越来越被人们所关注,Web应用防火墙也就应运而生。顾名思义...
阅读全文
摘要:微软反跨站脚本库4.0(AntiXSS 4.0)是一种编码库,旨在帮助开发人员避免他们基于ASP.NET Web的应用程序受到XSS攻击。不同之处在于它使用了白名单技术,从大多数编码库 - 有时被称为...
阅读全文
摘要:最近的一个asp.net安全缺陷,引起了社区很大的反响,博客园也有一个ASP.NET的Padding Oracle安全漏洞的话题,昨天在博客上贴了一个文章ASP.NET安全隐患的临时解决方法。本文主要...
阅读全文
摘要:安全开发周期,即Security Development Lifecycle (SDL),是微软提出的从安全角度指导软件开发过程的管理模式。SDL不是一个空想的理论模型。它是微软为了面对现实世界中安全...
阅读全文
摘要:对于企业内部系统来说,CAS系统是一个应用最广的开源单点登陆实现了,其实现模仿Kerberos的一些概念,例如KDC、TGS等等,都是来自于Kerberos。具体可参见 用CAS原理构建单点登录。互联网发展之后,多个网站需要统一认证,业界需要适合互联网的单点登陆技术。
2002年,微软提出了passport服务,由微软统一提供帐号和认证服务,理所当然,大家都不愿意受制于微软,但是很认同微软提出WEB SSO理念,于是产生了Liberty Alliance,另外指定一套标准,这套标准发展起来就是SAML(安全断言标记语言),已经被结构化信息标准促进组织(OASIS)批准为Web 单点登录的执行标准,目前SAML的版本是SAML V2。SAML连同Web单点登录共同构成了现代网络环境中的必备条件。
阅读全文
摘要:Windows 标识基础 (WIF) 是一个新的扩展到 Microsoft.net 框架,使得开发人员能够启用.net 框架应用程序中的高级的标识功能。 基于可互操作的标准协议,Windows 标识基础和基于索赔的标识模型可用于启用单一登录、 个性化、 联盟、 强身份验证、 标识委派和运行上发生的 ASP.NET 和 Windows 通信基础 (WCF) 应用程序中或群中其他标识功能,参考Kb974405
阅读全文
摘要:今年9月份,微软更新了通过Windows根证书认证程序(Windows Root Certificate Program)的厂商清单,并首次将Startcom公司列入了该认证清单,这还是微软首次将提供免费数字验证技术 的厂商加入根证书认证列表中。现在,在Windows7或安装了升级补丁的Vista或XP操作系统中,系统会完全信任由Startcom这类免费数 字认证机构认证的数字证书。此举无疑在普及数字验证技术,从而增强用户网络数据安全性方面意义重大。
阅读全文
摘要:SQL Server 2005 引入了在自身的数据库引擎中加密的功能。通过使用被数据库所管理的内部证书或密钥结构,这能够被用于加密和解密任意的数据。而不需要借助外部的证书或密钥来执行。
SQL Server 2008中的透明数据加密(TDE),可以选择同SQL Server 2005中一样使用单元级的加密,或者是使用TDE进行完全数据库级加密、或者是由Windows提供的文件级加密。它旨在为整个数据库提供静态保护而不影响现有的应用程序。
阅读全文
摘要:大多数企业应用程序都需要一些基本用户安全功能。它们至少需要验证其用户身份,其中有很多还需要授权访问特定功能,以便只有那些有特权的用户才能使用它们。有些应用程序还必须进一步审核用户的使用情况。在 Windows® 中,这些功能都内置于操作系统,通常很容易集成到应用程序中。通过利用 Windows 集成的身份验证功能,您不必创造自己的身份验证协议或管理用户数据库。通过使用访问控制列表 (ACL...
阅读全文
摘要:最近电脑总是遭受间谍软件,流氓软件的骚扰,刚使用杀毒软件杀了一个晚上,杀掉20个间谍软件.看着这个列表真是担心那。就到网上找专杀工具。就找到了微软的免费的反间谍流氓软件。2006/10/23刚刚正式发布,软件的下载地址:http://www.microsoft.com/downloads/details.aspx?FamilyID=435bfce7-da2b-4a6a-afa4-f7f...
阅读全文
摘要:中国建成最大的IPV6网络,关于中国最大的IPV6主干网的相关信息参看新浪http://tech.sina.com.cn/focus/IPv6_net/index.shtml 微软目前正在准备发布下一个版本的Windows操作系统Windows Vista。正如你可能期待的那样,Windows Vista将配置新的功能。不过,令我感到意外的一件事情是微软对执行TCP/IP协议的方式做了一些...
阅读全文
摘要:Active Directory Federation Services (ADFS) 为构建联合身份管理解决方案提供了一个安全的基础结构,这种解决方案能够将组织现有的身份管理功能扩展到 Internet。通过 ADFS 的部署,用户可以扩展跨越组织和平台边界的分布式识别、身份验证和授权服务。Windows Server 2003 R2 中的 Active Directory 联合身份验证服务 (...
阅读全文
摘要:每天收到众多的垃圾邮件,现在终于有救了,不过反垃圾邮件,需要我们共同努力
阅读全文
摘要:Bouncy Castle 是一种用于 Java 平台的开放源码的轻量级密码术包。它支持大量的密码术算法,并提供 JCE 1.2.1 的实现.现在有了C#的版本。下面是网站上的介绍 This port features tools for X.509 Certificate generation, Certificate request generation, generation and re...
阅读全文