12 2013 档案

摘要：与普通应用相比，BYOD由于存在客户端软件，以及“记住密码”功能通常会启用，因此对于口令或认证凭据的保护成为区别于传统应用的重中之重。一般常见的问题是将用户的口令明文存在手机应用的配置文件中，或虽然使用加密存储但加密密钥也是存在于手机中的。鉴于此，手机客户端不建议保存用户口令（即使加密后存储也不建议），如果需要保存认证凭据，可考虑的做法：（1） 记住硬件ID，作为对设备或使用人的辅助认证；（2） 首次认证使用口令，但口令需要使用服务器公钥进行加密，建立会话前应验证证书的有效性防止中间人劫持；后续的免输密码认证，不靠口令，而是类似SESSION_ID的一个字段，加密存储（可选对称加密或使用服务器 阅读全文

摘要：CAP stands forConsistency,Availability, andPartition tolerance. The theorem simply states that any shared-data systemcan only achieve two of these three. Consistency(all nodes see the same data at the same time) Availability(a guarantee that every request receives a response about whether it was... 阅读全文

摘要：跨站请求伪造漏洞由恶意用户利用其在第三方网站留下的可以自动提交的HTTP请求，并借用目标网站合法用户的会话（假冒合法用户身份），自动提交请求。例如用户登录网站A之后 认证方式由 对人的认证（账号/口令）转换成了 对浏览器的认证（session），后面的HTTP Request，只要还是通过当前的浏览器触发的，不管是出自用户的手工提交，还是第三方网站B的恶意请求（假设为嵌入第三方网站B的虚假图片，图片链接为 对A网站的敏感操作http://A/action.do?action=confidential ），在会话持续有效的情况下，如果用户访问了网站B，则请求会由浏览器自动提交给应用A。简言之，跨 阅读全文

摘要：SQL注入的原理，网上文章较多，就不展开了。简言之，将用户提交过来的参数和SQL关键字一起拼接出来的SQL语句是不安全的，如果采用拼接且服务器侧没有对提交过来的参数进行合法性验证或过滤，导致原有SQL语句的语义被改变，或改变查询条件，或追加语句执行恶意操作等等。下面说说SQL注入的防御措施：最佳实践... 阅读全文

摘要：云安全的含义有以下几种：第一种是最常见的各种云计算系统（IaaS、PaaS、SaaS）的安全性，由于虚拟化技术的应用和部署位置的变化，安全风险有了新的分布，主要面临的风险有：虚拟化产品（IaaS领域的HyperVisor、PaaS领域的Hadoop等）的0Day漏洞；虚拟化网络边界的延伸与访问控制，如绕过访问网关、多租户之间的互访隔离；传统的安全风险如SQL注入、跨站脚本等Web漏洞；各种镜像模板的完整性遭受破坏等。第二种是利用云计算技术来构建安全系统，如防病毒领域的云查杀、云联动的防火墙；第三种是以提供安全功能为主体的云设施、平台或服务，如用于安全认证的OAuth服务、加密解密的Web Se 阅读全文

摘要：关键字：软件定义的数据中心SDDC、网络虚拟化NSX1 简介VMWare虚拟化及云计算年度盛会vForum 于2013年10月30-31日，在北京国际饭店会议中心召开。本次大会主题为"颠覆传统"。VMware的技术领袖同与会嘉宾探讨其在计算、存储、网络虚拟化等方面的最新技术和客户实践。现场安排VMware产品展示区和动手实验室。在今日大会中第四次发布了VMware年度云成熟度指数。根据Forrester Consulting公司提供的《2013年VMware云成熟度指数》调查结果显示，IT已经完成了最初的转型阶段，开始通过软件定义的方式为IT服务、管理和配置提供更高的商业价 阅读全文