ASP.NET网页设计WCF和信息保守威逼仓酷云
有专家说:net网页编程不是跨平台,net网页编程就是平台,这很好的定义了net网页编程的特点。有了net网页编程,你只需要等待net网页编程平台在新平台上移植。这还不错吧!只是,net网页编程不是一个平台,而是多个平台。你需要在这个net网页编程平台移植到另一个net网页编程平台。AnilJohn比来写了一篇叙说信息保守威逼和Web服务的文章。在文章中,他具体切磋了潜伏黑客经常使用的打击技能,和一些罕见的Web服务使用又是怎样“撑持”了这些打击。Anil谈到了“预操纵监督(pre-operationalsurveillance)”,也就是我们夙昔常说的IT范畴里的“信息保守威逼”。他具体地先容了两个大概的威逼:
[*]SOAP毛病的毛病信息
[*]WSDL扫描/踩点(Foot-Printing)/查点(Enumeration)
关于SOAP毛病的毛病动静,他说道:
……打击者最喜好的战略是试图在Web服务里发生一个非常大概毛病,以但愿毗连字符串、仓库踪影和其他敏感信息可以在SOAP毛病的中央保守出来。Anil就此提出了两个应对措施,一个是在形式与理论书本《Web服务平安/WebServiceSecurity》[收费PDF版本]和《WCF平安指南/WCFSecurityGuide》[收费PDF版本]中所提到的——非常防护形式(ExceptionShieldingPattern)。他同时指出还能够选用相似XML平安网关的硬件设备,他曾利用过Layer7、Cisco/Reactivity网关等设备,可巧知道它们均撑持此功效。
ApacheAsis团队的SteveLoughran针对本文批评说:
ApacheAxis默许情形下不会串线【译者注:意指超过挪用界限】传送完全的仓库踪影[……]。你不必要分外利用XML平安硬件,只必要锁定端点的基础信息就能够。他还提到了Axis平安指南。
关于第二个威逼——元数据公布,Anil说:
在WSDL中发明的这类信息,也就是只需在服务端点URL前面加上?WSDL就能够容易失掉的信息,关于要寻觅服务中弱点的打击者来讲,是个相对有效的信息源。因而,如许的信息不该该被供应,大概最好间接封闭。
假如元数据公布被封闭了,那末客户端怎样晓得定位大概叫醒Web服务的办法呢?据Anil所述,一个大概的办法是到场含有符合的会见把持机制的企业注册/堆栈,并依据左券优先办法制止WSDL的主动天生。
在文章“回护你的WCF元数据”中,DominickBaier注释了一些有关WCF元数据公布的细节。他给出了一些回护元数据公布的办法:
[*]强迫利用SSL;
[*]经由过程开辟完成IMetadataExchange和含有完全WCF平安特征集的定制绑定,表露元数据互换(MetadataExchange,MEX)端点;
[*]同意用户经由过程WMI从WCF服务中检索元数据。
别的在“给WCF元数据授与会见权限”文章中,Dominick还从手艺角度谈到了检测元数据检索哀求等。
检察英文原文:WCFandInformationDisclosureThreats
来自:http://www.infoq.com/cn/news/2008/09/wcf-information-disclosure
你所列的那些其实差不多都可以称为应用服务器(servlet应该说是一种语言更合适)net网页编程是开放的,相同的工具就会有很多公司在做,加上net网页编程已经发展了很多年了,因此这些工具就很多了。他们很多都是类似的。 是目前ASP在UNIX/Linux上的应用可以说几乎为0)。所以平台的局限性和ASP自身的安全性限制了ASP的广泛应用。 我的意思是.net好用,从功能上来说比JAVA强还是很明显的。 HTML:当然这是网页最基本的语言,每一个服务器语言都需要它的支持,要学习,这个肯定是开始,不说了. 我觉得什么语言,精通就好,你要做的就是比其他80%的人都厉害,你就能得到只有20%的人才能得到的高薪。 逐步缩小出错代码段的范围,最终确定错误代码的位置。 代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。 ASP.net1.1和2.0在程序上的语法也有很大不同,现在2.0属于新出来的,不知道半年后会不会有3.0(说笑一下)。Windows2003系统自动支持ASP和ASP.net环境,不用安装任何程序。Asp.net属于编译语言。ASP的最大不同(ASP属于解释语言)。 我的意思是.net好用,从功能上来说比JAVA强还是很明显的。 PHP的源代码完全公开,在OpenSource意识抬头的今天,它更是这方面的中流砥柱。不断地有新的函数库加入,以及不停地更新,使得PHP无论在UNIX或是Win32的平台上都可以有更多新的功能。它提供丰富的函数,使得在程式设计方面有着更好的资源。目前PHP的最新版本为4.1.1,它可以在Win32以及UNIX/Linux等几乎所有的平台上良好工作。PHP在4.0版后使用了全新的Zend引擎,其在最佳化之后的效率,比较传统CGI或者ASP等技术有了更好的表现。 Asp.net:首先来说,Asp.net和Asp没什么关系,看着像是升级版本什么的,其实没什么联系。Asp是脚本编程,用的是ASP语言,而ASP.net用的是C#语言,完全不同的东西。 代码逻辑混乱,难于管理:由于ASP是脚本语言混合html编程,所以你很难看清代码的逻辑关系,并且随着程序的复杂性增加,使得代码的管理十分困难,甚至超出一个程序员所能达到的管理能力,从而造成出错或这样那样的问题。
页:
[1]