摘要:
谁动了我的琴弦——会话劫持让我们看一个最常见的例子——会话劫持,如图10-2所示。图10-2 会话劫持说明如图10-2所示,受害者Alice正常的登录网站为www.buybook.com,此时她的Session ID是1234567,攻击者Bob通过网络嗅探获得了Alice的Session ID和Cookie中的用户登录信息,这样他就可以模仿Alice进行登录和操作了,而此时此刻Alice可能毫无所知。最常见的获取Session ID的方式就是我们前面讲解的XSS。下面通过具体的步骤详细地模拟会话劫持。➊ 我们正常地登录一个网站(这里用Google Chrome),登录的用户名是admin,记 阅读全文
摘要:
身份认证设计的基本准则密码长度和复杂性策略密码认证作为当前最流行的身份验证方式,在安全方面最值得考虑的因素就是密码的长度。一个强度高的密码使得人工猜测或者暴力破解密码的难度增加。下面定义了高强度密码的一些特性。(1)密码长度对于重要的应用,密码长度最少为6;对于关键的应用,密码长度最少为8;对于那些最关键的应用,应该考虑多因子认证系统。(2)密码的复杂度有的时候仅有长度约束是不够的,比如说12345678、11111111这样的密码,长度的确是8位,但极容易被猜测和字典攻击,所以这时候就需要增加密码复杂度。下面列举了一些提供复杂度的策略。 至少一个大写字母(A~Z)。 至少一个小写字母(a 阅读全文
摘要:
保护你的会话令牌通常我们会采取以下的措施来保护会话。1.采用强算法生成Session ID正如我们前面用Web Scrab分析的那样,会话ID必须具有随机性和不可预测性。一般来说,会话ID的长度至少为128位。下面我们就拿常见的应用服务器Tomcat来说明如何配置会话ID的长度和生成算法。首先我们找到{TOMCAT_HOME}\conf\context.xml,然后加入下面一段设置<Manager sessionIdLength="20" ➊ secureRandomAlgorithm="SHA1PRNG" ➋ secureRandomClass= 阅读全文
摘要:
Windows 8使用了全新的 UI对Windows进行了重新塑造,让新的Windows更适应于当前最流行的指尖触摸操作。Windows 8将可以运行在众多设备诸如平板电脑、可触屏笔记本电脑、安装有可触摸屏幕的台式机上,同时Windows 8基于应用商店的模式进行运作,这对开发者来说意味着前所未有的机遇,出色的 Windows 商店应用将接受全球各地数百万用户的品评。应用为王Windows商店应用是 Windows 8 体验的核心。这些应用中的内容将充满动感和活力。用户将沉浸在全屏幕的 Windows 商店应用中,他们可以将注意力放在内容上而非操作系统本身上。在 Windows 8应用商店中发 阅读全文
摘要:
Windows UI的设计理念由最核心的五个原则组成,它们是:● 简洁与快速(clean, light, open, fast)● 注重排版和布局(celebrate typography)● 内容重于形式(content before chrome)● 生动而有灵魂(alive& in motion)● 返璞归真(authentically digital)当然以上这些设计理念在不同的软件产品中会有一些不同的具体表现形式,根据产品特性不同、应用场景不同而表现出不同的侧重点及具体特性。但是核心的理念特征却一直保持统一,那就是“内容重于形式”。1. 简洁与快速20世纪50年代期间,一种崭 阅读全文
摘要:
设计背景 (见图1-2)Windows UI最早出现在微软电子百科全书95,随后在Windows XP的Windows Media Center中有所体现,它有利于以文字为主的界面导航。2006年著名的Zune播放器开始使用类似Windows UI的设计风格,Zune的桌面客户端程序的清爽排版和设计给用户带来了耳目一新的冲击(见图1-3和图1-4)。微软的设计师计划重新设计现有用户界面,采用更清爽的排版和较少的重点,以便于用户使用。当前,Windows UI已经应用在Windows Phone、Windows 8、Office 和 Xbox 360等产品中。2.设计灵感机场和地铁的指示牌给了微 阅读全文
摘要:
我们每个人都同时存在于多个组织结构之中,要承担着不同的角色分工。为了达成一个统一的目标,所谓“组织”必须考虑如何合理、有效地进行规划、分工、协调、制衡等,以期顺利达成目标。云计算创新性地将大量计算资源组织在一起,协同工作,意味着云计算必须在信息技术的层面,给出一种针对大规模系统的科学管理办法。我们已知面对大规模系统时,单纯人工管理的无力,于是云计算采取了一种自动化管理的办法,即机器管理机器。这意味着在一个大的数据中心里,只需少数人员的巡视就能完成所有的日常维护工作。美国管理学教授斯蒂芬·罗宾斯将管理描述为“一个协调工作活动的过程,以便能够有效率和有效果地同别人一起或通过别人实现组织的 阅读全文
摘要:
从目前来看,如果我们想要完整的认知云计算,应该从“服务”和“平台”两面去理解,即云计算涵盖云计算平台和云计算服务这两个概念。如前所述,云计算服务代表一种新的商业模式,对于任何一种商业模式而言,除了理论上可行之外,还要保证实践上可用。对于云计算服务来说,要面向海量用户提供永远在线、随时访问的可用服务,而且支持多用户按需获取服务资源,并保证服务的可靠性,就要求底层IT系统能够支持这样的服务模式。因此,伴随着云计算服务理念的发展,云计算也形成了一整套技术实现机制,而云计算平台则是这套机制的具体体现。云计算平台在本质上类似一个操作系统,管理着一个“可扩展的网络超级计算机”。这个操作系统通过一些技术将大 阅读全文
摘要:
很多人觉得云计算应该是个具体的事物,所以初听到云计算时,总会先问一句:“什么是云计算”?什么是云计算?问的人轻松,回答的人却很费力,仿佛描绘一种味觉,感觉强烈,却不知如何抓住要领呈给面前的人看个仔细。倘若尽心给出一种解释,或画出一张架构图,听众可能还是一脸茫然,回答的人多半会急得皱眉跳脚,也有人会撂下一句:“你记得是IaaS、PaaS和SaaS即可”。话虽好说,理却难明。即使听懂了解释,还是有许多人会不知道“云计算”缘何而来,用于何处。“云计算”一词最早被大范围的传播应该是在2006年。2006年8月,在圣何塞举办的SES(搜索引擎战略)大会上,谷歌的CEO施密特(Eric Schmidt)在 阅读全文
摘要:
如何应对来自传统互联网、移动互联网、微博等数据给企业管理带来的新挑战?如何在做出关键决策的时候充分利用数据? 现在的数据无处不在,每天都在增加,应该说如果要保存数据,那么只有增加没有减少一说,只有一种情况数据会减少,那就是传说中的2012大灾难来临,人类文明的毁灭。那么乐观一点吧。要去的怎么留也留不住,要来的总要来的。处在这个数据大爆炸的时代,我个人认为所有的数据都是用的,但是并不是所有的数据都是有价值的。作为一个公司或者企业应该着眼与有用的那部分数据,而不是胡子眉毛一把抓,抓重点就行。如果从海里的数据里捞出有价值的数据这就是每个公司目前该做的。怎么做仁者见仁智者见智。大数据时代的来... 阅读全文