 |
|
|
|
|
|
无线安全:掌上 Palm 中的安全性
Kim Getgen 本月着手撰写关于保护 PDA 的系列三部分文章。首先,您将了解安全套接字层(Secure Socket Layer)协议的内部工作原理,以及如何对其进行优化以用于紧凑的空间(如嵌入式 OS)。 |
|
|
|
2002年11月26日 |
|
| |
无线安全:2001 ― 探索安全
在无线安全性世界中,并不是所有的一切都完全依照计划进行。WLAN ― 伴随着所有安全性问题 ― 突然出现在所有被认为会采用 3G 的市场中。WAP 再次使欧洲和美国的期盼落空 ― 不过 iMode 在日本却远远超出了所有预测,但这里也有值得我们吸取的商业和安全性方面的教训,特别要从 iMod 第一次遭受大范围拒绝服务攻击中吸取教训。安全性专家 Kim Getgen 带着我们回顾了 2001 年无线安全性的大事记,并提出了一些预言。 |
|
|
|
2002年11月19日 |
|
| |
软件安全性原则:第五部分 - 关于保守秘密、信任他人和随大流
在本系列中,Gary 和 John 介绍了一组 10 个原则,它们可以帮助您除去代码中的大多数安全性问题。这里,他们将以最后三个原则结束。首先,他们研究为什么不应该期望在系统中成功地隐藏秘密,至少不能没有很大的努力。其次,他们强调提防扩展对任何人(包括您自己)的信任的重要性。第三,他们忠告:当我们确实需要信任时,有时候随大流是一个好主意。 |
|
|
|
2002年11月12日 |
|
| |
防范网络嗅探
最普遍的安全威胁来自内部,同时这些威胁通常都是致命的,其破坏性也远大于外部威胁。其中网络嗅探对于安全防护一般的网络来说,操作简单的同时威胁巨大,很多黑客也使用嗅探器进行网络入侵的渗透.. 网络嗅探器对信息安全的威胁来自其被动性和非干扰性,使得网络嗅探具有很强的隐蔽性,往往让网络信息泄密变得不容易被发现。 |
|
|
|
2002年11月5日 |
|
| |
软件安全性原则:第四部分 - 保持简单,保持私有
在本部分中,Gary 和 John 展示了 10 条原则的一部分,这些原则可以帮助您除去您代码的大部分安全性问题。在上一篇文章中,他们主要讨论了最小特权原则和分隔的原则,这二者都可以帮助您设计高质量的访问模型。在本文中,他们将向您展示对于安全性来说简单性要比大多数人想象的重要得多。他们还将讨论隐私性问题;给出太多信息会让您摸不着头脑。 |
|
|
|
2002年11月5日 |
|
| |
跳板攻击与防御
骇客在进行攻击时会借用其他系统来达到自己的目的,如对下一目标的攻击和被侵占计算机本身的利用等等。本文介绍了常见的骇客对被侵占计算机的使用方式和安全管理员相应的应对方法。 |
|
|
|
2002年10月29日 |
|
| |
空中的安全:不要让您的无线 LAN 成为移动目标
最近几个月来,无线等效协议(Wireless Equivalent Protocol)中的许多缺陷成为争论的焦点。在 Kim Getgen 看来,由于编写规范时没有咨询安全性专家,所以此类问题是不可避免的。幸运的是,下一代无线协议应该会更安全。 |
|
|
|
2002年10月25日 |
|
| |
软件安全性原则:第三部分 -控制访问:最小特权和分隔
在本专栏中,Gary 与 John 介绍了能够帮助您除去代码中大多数安全性问题的 10 个原则。上一篇文章中,他们讨论了适时提供冗余安全性措施以及如何从错误中安全地恢复。这一次,他们主要讨论在少量地给予权限时保持吝啬的重要性,即只对必需的访问给予尽可能短的时间。确保系统一部分的失败不会影响整个系统也很重要。 |
|
|
|
2002年10月25日 |
|
| |
准备 TruSecure ICSA 认证
TruSecure 是一家长期致力于提供第一流的基于安全性认证服务和产品认证服务的公司,它已经凭借其 TICSA 认证涉足人力资源认证市场。本文将介绍 TICSA 考试并提供了关于如何准备和通过考试的信息。 |
|
|
|
2002年10月15日 |
|
| |
Java 安全性, 第二部分: 认证与授权
在这个两部分的教程中,我们学习了 Java 平台的安全性特性。第 1 部分为初学者介绍了 Java 密码术。在这第 2 部分中,我们将详细讨论访问控制,在 Java 平台中由“Java 认证与授权服务(Java Authentication and Authorization Service (JAAS)”管理访问控制。
|
|
|
|
2002年10月11日 |
|
| |
远程注册表访问 - 一种实用实现
本文是 Brian Venn 的文章 利用远程注册表访问(developerWorks,2002 年 1 月)的后续。本文不需要 InstallShield 就可以启用注册表查询(正如 Brian Venn 原先所描述的那样),这看起来是个不错的想法。用于注册表操作的所有函数都包含在 Windows API 中,所以这看起来是个试用部分 Windows API 的理想机会。 |
|
|
|
2002年10月8日 |
|
| |
计算机常规安全性
本教程的目标是概述围绕计算机系统的安全性过程。本教程针对的读者是已有或还没有某些安全性背景知识的计算机专业人员。本教程范围广泛。这里涉及的许多问题将在未来的教程中进行更深入的研究。 |
|
|
|
2002年9月30日 |
|
| |
Java 安全性,第一部分: 密码学基础
Java 平台的基本语言和库扩展都提供了用于编写安全应用程序的极佳基础。本教程讨论了密码术基础知识与如何用 Java 编程语言实现密码术,并提供了样本代码来说明这些概念。 |
|
|
|
2002年9月27日 |
|
| |
保护您的 J2ME/MIDP 应用程序
XML 数字签名技术可以帮助您为无线 Web 服务应用程序实现轻量级且灵活的安全性解决方案。在本文中,Michael Yuan 讨论了 XML 数字签名及其应用程序的重要性。他还讨论了 Bouncy Castle 密码术包的数字签名 API,并提供了在 J2ME/MIDP 无线前端和 JSP 页后端之间的安全 XML 消息传递环境中的示例。 |
|
|
|
2002年9月27日 |
|
| |
保护 Web 服务器
本教程概述了保护 Web 服务器免遭未授权访问的过程。主题包括常规系统安全性、使用基于 httpd.conf 的伪指令保护文件和目录、用户认证和 chroot Web 服务器。 |
|
|
|
2002年9月20日 |
|
| |
黑客技术 - 密码破解简介
密码与用户帐户的有效利用是网络安全性的最大问题之一。在本文中,Rob Shimonski 将研究密码破解:如何以及为何进行密码破解。Rob 将只说明渗透网络是多么简单,攻击者如何进入网络、他们使用的工具以及抗击它的方法。 |
|
|
|
2002年9月17日 |
|
| |
攻击揭密 -- 分析选定的网络攻击
由于黑客攻击最近在新闻中屡有报导,我们都知道需要认真地对待计算机安全问题。尽管有许多出版物介绍可以用来确保计算机环境安全的软件,但很少有出版物说明黑客攻击实际上是如何执行的。如果您负责确保公司的计算机环境的安全,那么,理解黑客攻击的工作原理对您就很重要了。在本文中,Michael Pichler 分析了一些有趣的网络攻击并说明了它们是如何工作的。您将看到黑客是多么富于创造性,并将了解自己的软件中所包含的一些特性是如何被利用来对付您的。本文适合于对网络有一定理解,但不一定从事网络领域日常工作的读者。 |
|
|
|
2002年9月13日 |
|
| |
IBM 无线网关(EWG)的安全无线通讯
IBM 无线网关让你有许多控制能力针对访问企业数据的用户,行为,时间,位置进行操控。它为跑在广泛的国际无线网络、甚至象局域网(LAN)和广域网(WAN)等有线网络上的标准因特网协议(IP)、短消息(SMS)、和无线应用协议(WAP)的客户端、扩展中的电子商务及其它商业应用,提供了许多增强的安全特性。最近,IBM无线网关又增加一项激动人心的功能: 安全自由的跨越网络漫游,这可让用户在多种无线和有线网络之间切换时,仍能正常继续应用的操作,毋须中断。这篇文章将重点放在IBM无线网关诸多部件中的许多安全选项上。 |
|
|
|
2002年9月10日 |
|
| |
确保无线 J2ME 的安全--移动商业应用程序的安全性挑战和解决方案
请关注本文,它讨论了基于 J2ME 的移动商业应用程序的一些安全性挑战和解决方案的当前成果。特别地,J2ME 开发人员 Michael Yuan 和 Ju Long 集中讨论了最常用但也最缺乏安全性的 J2ME 概要文件 ― MIDP 的应用程序开发的挑战。 |
|
|
|
2002年9月6日 |
|
| |
无线领域中的安全性 -- 保护您的安全性
每种传输媒介都有其固有的优点和局限性。要知道哪种应用程序适合于这种技术,就需要了解这些特征。现在开发无线技术的应用程序就象以前的网站 IPO 一样热。正如我们所看到的,仅仅由于某样东西是流行的并不能保证它是可行的。软件供应商需要考虑对于无线环境,适合开发哪种应用程序,以及对于某种新兴技术,哪种应用程序的风险过高。在本文中,我们将讨论软件供应商应该关心的问题。 |
|
|
|
2002年9月6日 |
|
| |
EJB - CMP/CMR 介绍, 第三部分
这是关于 EJB - CMP/CMR 介绍 系列教程的第三部分。这部分从 EJB 查询语言(EJB Query Language,EJB-QL)开始,讲述了EJB-QL 的基础知识,为您以后继续学习EJB-QL的高级特性打下基础。 |
|
|
|
2002年9月3日 |
|
| |
确保无线 J2ME 的安全--移动商业应用程序的安全性挑战和解决方案
本文讨论了基于 J2ME 的移动商业应用程序的一些安全性挑战和解决方案的当前成果。特别地,J2ME 开发人员 Michael Yuan 和 Ju Long 集中讨论了最常用但也最缺乏安全性的 J2ME 概要文件 ― MIDP 的应用程序开发的挑战。其中包括 J2ME 相对于瘦客户机(如 WAP)和本机应用程序的优点的概述,以及关于 J2ME 当前和未来安全性框架的优缺点对比的讨论。另外,新兴的 Web 服务正逐渐成为因特网领域中重要的组件,所以请了解更多关于它的信息,以及这一新技术可能对您的 J2ME 开发策略有怎样的影响。 |
|
|
|
2002年9月3日 |
|
| |
J2EE 中的安全第二部分�� j2ee安全应用
在本系列文章的第一部分作者介绍了j2ee的安全概念、验证模型和授权模型,这部分更偏重于理论的介绍。本文的第二部分作者将通过具体的例子向读者展示如何在开发中应用j2ee提供的安全服务。本部分的重点在于应用与实践。 |
|
|
|
2002年9月3日 |
|
| |
谁将取得 3G 频段呢? -- 政府关于 3G 频段的新计划让无线供应商喜忧参半
第三代无线系统(3G)能够使我们方便地访问范围惊人的新电信服务。然而,为了提供那些服务,无线公司必须能够访问目前由政府和其它商业机构控制的大量频段。虽然公众总有一天会强烈要求 3G 设备,但目前大多数人还未察觉到正在对可以支持那些设备的频段进行着相对安静却极其复杂的协商。技术作家 Dana Triplett 揭示了来自联邦政府对频段使用的最新计划,并提供了作为在美国为无线电频率这种看不见但颇有价值的商品进行奋斗的参与者的一种内部观点。 |
|
|
|
2002年8月30日 |
|
| |
J2EE 中的安全第一部分
现在越来越多的企业应用构建在j2ee平台上,这得益于j2ee为企业应用的开发提供了良好的框架和服务的支持.j2ee为企业应用提供了多方面的服务(Security、Transaction、Naming等).本文将介绍j2ee提供的安全服务.作者首先介绍j2ee中的安全概念和j2ee的安全体系架构.然后结合具体的实例向读者展示如何在自己的程序中应用j2ee提供的安全特性。 |
|
|
|
2002年8月16日 |
|
| |
密码术简介,第 7 部分:内容和参考资料列表
本月 developerworks 安全专区为您提供了“密码术简介”系列,本系列共有七部分:第 1 部分:概览、第 2 部分:对称密码术、第 3 部分:非对称密码术、第 4 部分:因特网上的密码术、第 5 部分:实际应用、第 6 部分:杂项问题,本文是这个系列的最后一部分,总结了“密码术简介”系列中的内容并包括术语词汇表。 |
|
|
|
2002年8月13日 |
|
| |
最简单的安全: 较好的密码习惯的建议
密码只是问题的一部分,而其他的是对普通用户的培训,良好的物理安全,修补网络漏洞和安装强壮的防火墙。这些对机构团体的环境的整体保护比单单密码的提供要多的多。但是在个人标识或密码是管理用户的唯一 的方法的领域里,最好的就是 避免安全风险和保持对他们密码的管理。 |
|
|
|
2002年8月13日 |
|
| |
密码术简介,第 6 部分:杂项问题
适当构造的、并具有足够长度、严格保护的强密钥的密码,目前来说实际上是不可攻破的。然而,弱点依然存在,并且在非对称密码术的情况下,知道公钥的真实性十分 重要。数字证书可以确认这一点,虽然这不是绝对 的,而是依赖于某种级别的信任。此外,有些情况下需要特殊形式的签名,可能允许不查看内容而进行签名;或者某 人需要不暴露内容而向另外一个人确认:他知道某些秘密的事情。可能需要验证数字签名的确切时间, 这可以通过时间戳记进行处理。特别地,本文将考虑通过密码分 析学或其它方法,使系统可能会受到攻击的某些领域,还将讨论有关密钥管理、数字证书及数 字时间戳记的问题。 |
|
|
|
2002年8月9日 |
|
| |
密码术简介,第 5 部分:实际应用
前面的文章研究了特别的密码技术。本文将考虑不同类型的密码,不管是单独的还是相互结合的,是如何在诸如数字签名的领域及诸如 PGP 这样的流行程序中得到实际应用的。相关的问题是应该怎样处理那些与其说是技术上的倒不如说是社会、管理或法律上的问题。例如,声称自己就是某人并且是特定公钥的所有者,对这一断言的认证是通过发放证书来处理的。 |
|
|
|
2002年8月6日 |
|
| |
密码术简介,第 4 部分:因特网上的密码术
因特网引入了大量与以往不同的安全性弱点。您正在与之通信的组织或个人可能是您不认识的或者可能是伪装成其他组织(个人)的组织或个人。不必过分猜疑这类问题,但有必要采取适当的预防措施来防止通过各种方式造成的损失,这些方式包括资金转移、错误认证的结果、机密信息丢失、毁约等。密码术就是主要处理这类风险的,本文介绍了某些协议和相关机制,这些协议和相关机制与因特网活动(包括,电子邮件)有特定的相关性。 |
|
|
|
2002年8月2日 |
|
| |
基于扩展频谱的视频水印技术的研究与实现
本文对目前视频水印技术的研究进行了较为全面的阐述,在此基础上设计并实现了一种改进的基于扩展频谱的MPEG视频水印方案。文中详细给出了有关算法设计实现的过程。实验证明该视频水印方案在不降低视频质量的基础上,能够抵抗多种干扰和攻击,具有良好的稳定性和鲁棒性。 |
|
|
|
2002年8月1日 |
|
| |
密码术简介,第 3 部分:非对称密码术
非对称密码体制提供的安全性取决于难以解决的数学问题,例如,将大整数因式分解成质数。公钥系统使用这样两个密钥,一个是公钥,用来加密文本,另一个是安全持有的私钥,只能用此私钥来解密。也可以使用私钥加密某些信息,然后用公钥来解密,而公钥是大家都可以知道的,这样拿此公钥能够解密的人就知道此消息是来自持有私钥的人,从而达到了认证作用。 |
|
|
|
2002年7月30日 |
|
| |
将jsse用于安全套接字通信
本教程说明了包括在 JDK 1.4 中的 Java 安全套接字扩展(Java Secure Socket Extension (JSSE))包的使用。使用 JSSE 的复杂程度不在于通信本身而在于配置。在能够运行客户机/服务器软件之前,您必须创建加密算法所需的密钥,并且在软件能创建安全套接字之前,必须由软件正确装入这些密钥。
本教程为在客户机/服务器应用程序环境下创建和安装 JSSE 加密密钥提供了详细说明的指示。当完成本教程后,您会知道如何简便地将现有的客户机/服务器应用程序转换成使用加密,以及如何从头创建安全应用程序。
|
|
|
|
2002年7月26日 |
|
| |
通过 OpenSSH 隧道的 CVS
SSH 隧道提供了访问 CVS 资源库的安全方式。学习如何安装 Cygwin 开放源码 OpenSSH 为 Microsoft Windows 平台上的 WebSphere Application Server 开发人员提供了一种安全机制。 |
|
|
|
2002年7月19日 |
|
| |
保护内存中的敏感数据
具有安全意识的程序员经常需要保护内存中诸如密码和密钥那样的敏感数据。为了有效地做到这一点,程序员应该使敏感数据在内存中保留的时间尽可能地短,并应尝试确保该数据从不写入磁盘。 |
|
|
|
2002年7月16日 |
|
| |
无线 | 安全:保密性与 Wi-Fi
我们大家都热切渴求新的基于 IEEE 安全性协议 802.1x 的“无线保真(Wireless Fidelity,Wi-Fi)”网络。通过 802.1x 的加强,Wi-Fi 网络承诺在移动设备上安全和快速的企业数据,允许消息交换及其它服务。但是,接着就在刚过去的二月份出现了一条令人震惊的消息:尽管运用了所有的防范,但在马里兰大学由政府资助的(NIST)研究中,Wi-Fi 的下一代安全性协议已经危及安全。 |
|
|
|
2002年7月12日 |
|
| |
关注 dsniff:第 2 部分
Sniffer(嗅探器)程序是一种数据拦截技术,它增加了所谓的“中间人(man-in-the-middle)”攻击的风险,随着 dsniff 2.3 的出现,安全性专家比以往任何时候都要更加注意这种技术。本系列的第 1 部分说明了这些网络探测工具的工作方式,以及如何识别攻击。这里,Larry 概括了一些用于对抗 sniffer 的工具和策略。 |
|
|
|
2002年7月9日 |
|
| |
关注 dsniff:第 1 部分
Sniffer(嗅探器)程序是一种数据拦截技术,它增加了所谓的“中间人(man-in-the-middle)”攻击的风险,随着 dsniff 2.3 的出现,安全性专家比以往任何时候都要更加注意这种技术。在这个由二部分组成的文章的第 1 部分中,Larry Loeb 研究了这种网络探测工具的用途是什么,以及如何识别您是否正在被“窃听”。 |
|
|
|
2002年7月9日 |
|
| |
WEP 怎么啦?
有线等效协议(Wired Equivalent Protocol),简称为 WEP 是无线 IEEE 802.11 协议之后的安全性。很多制造商都将 IEEE 802.11 用作供给计算机的无线网络扩展。问题是,WEP 的设计使窃听者能够相当简单地译码 WEP 加密的消息,从而获得对网络和数据的访问。在此,Larry 将深入研究 WEP ― 它是什么,它的缺点是怎样的,这些缺点有多严重以及可以对它们做些什么。 |
|
|
|
2002年7月5日 |
|
| |
基于彩色静止数字图像的信息隐藏技术研究
数字图像的信息隐藏技术是数字图像处理领域中最具挑战性、最为活跃的研究课题之一。本文概述了数字图像的信息隐藏技术,并给出了一个新的基于彩色静止数字图像的信息隐藏算法。信息隐藏与信息加密是不尽相同的,信息加密是隐藏信息的内容,而信息隐藏是隐藏信息的存在性,信息隐藏比信息加密更为安全,因为它不容易引起攻击者的注意。 |
|
|
|
2002年7月5日 |
|
| |
分布式拒绝服务攻击(DDoS)原理及防范
分布式拒绝服务攻击(DDoS)是目前黑客经常采用而难以防范的攻击手段。本文从概念开始详细介绍了这种攻击方式,着重描述了黑客是如何组织并发起的DDoS攻击,结合其中的Syn Flood实例,您可以对DDoS攻击有一个更形象的了解。最后作者结合自己的经验与国内网络安全的现况探讨了一些防御DDoS的实际手段。 |
|
|
|
2002年7月2日 |
|
| |
Web服务安全性
WS-Security 被设计成用来构建多种安全性模型(包括 PKI、Kerberos 和 SSL)的基础,它为多安全性令牌、多信任域、多签名格式和多加密技术提供支持。本规范提出了一套标准的 SOAP 扩展,可以在构建安全的 Web 服务以实现完整性和机密性时使用。 |
|
|
|
2002年6月28日 |
|
| |
Web 服务世界的安全性:提议的体系架构和指南
本文描述了为解决 Web 服务环境中的安全性问题而提议的策略。它定义了一个全面的 Web 服务安全性模型,这个模型通过使各种系统能够安全地以一种与平台和语言无关的方式进行互操作来支持、集成和统一几个流行的安全性模型、机制和技术(包括对称和公用密钥技术)。 |
|
|
|
2002年6月25日 |
|
| |
PKI 技术及应用开发指南
公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因此,对PKI技术的研究和开发成为目前信息安全领域的热点。本文对PKI技术进行了全面的分析和总结,其中包括PKI组成、证书认证机构CA、PKI应用、应用编程接口和PKI标准等,并对CA的开发做了简要分析。本文对PKI,特别是CA的开发、应用和普及具有一定的促进作用。 |
|
|
|
2002年6月18日 |
|
| |
网络计算带来的思考
随着网络技术的发展,网络对人们的生活和计算机的应用将产生巨大的影响。在互联网发展的美好前景下,一个重要的问题出现了--如何保证安全。网络的安全性的好坏决定了整个网络运行是否高效、稳定、可靠,也成为了互联网发展的瓶颈。 |
|
|
|
2002年6月14日 |
|
| |
Java 安全的演进
这篇论文提供了 Java 安全发展和演进的高级概述。Java 是一项日趋成熟的技术,它从作为一种基于浏览器的脚本编制工具的商业起源演进而来。我们探讨了以 Java 为目标的不同部署环境、Java 运行时的一些特征、这种基本技术当前发行版中的安全功能、新的 Java Development Kit(JDK)1.2 的基于策略的安全模型、基于堆栈的授权安全模型的局限性、通用的安全要求以及 Java 安全将来可能的走向。IBM 关于 Java 安全的倡议考虑到了客户的部署基于 Java 的企业解决方案的愿望。 |
|
|
|
2002年6月11日 |
|
| |
系统安全的最小特权原则
最小特权原则是系统安全中最基本的原则之一,它限制了使用者对系统及数据进行存取所需要的最小权限,既保证了用户能够完成所操作的任务,同时也确保非法用户或异常操作所造成的损失最小。本文从安全操作系统及Internet安全的角度来阐述了最小特权原则的应用。 |
|
|
|
2002年6月7日 |
|
| |
配置Tomcat 4使用SSL
目前介绍配置Tomcat 4使用单向SSL认证(只验证服务器证书)的资料很多,过程也比较简单。但是由于配置其使用双向SSL认证(还需要验证客户端个人证书)除了需要CA对证书签名外,还要从CA获得个人证书。有关这一问题,目前结合具体web服务器来讲解如何操作的资料很少。作者通过摸索借助一些SSL工具在本地实现了简单的CA功能,并在此基础上配置成功了Tomcat的双向认证,希望能把其中的一些经验与大家共享。 |
|
|
|
2002年6月4日 |
|
| |
IP 的安全架构
在互联网上的持续不断的不安全推动了 IETF 组织去开发统一的安全架构,能够符合国家关于加密通信的使用的法律。本文是对 IP 安全架构的规范和相关草案的一个简介。 |
|
|
|
2002年6月4日 |
|
| |
使您的软件运转起来:密码术本质
迄今为止,在关于密码术的这个系列中,Gary 和 John 已经讨论了加密算法的两种常见形式 ― 公钥密码系统,譬如 RSA,对称算法,譬如 DES ― 解决数据机密性问题的最常用方法。他们还讨论了使用为人熟知的算法而不是您自己的算法的重要性,并介绍了在应用程序中实现密码术时经常遇到的风险。在本文中,他们从介绍散列算法开始,致力于研究用于数据完整性和认证的常用方法。 |
|
|
|
2002年5月31日 |
|
| |
使您的软件运行起来: 攻击代码剖析
在上一篇专栏文章里,我们解释了如何“破坏”程序堆栈 ― 也就是,如何覆盖返回地址并允许程序执行跳转到精心实现的攻击代码。我们解释了如何经由缓冲区溢出跳转到攻击代码,但是我们没有涉及任何有关在堆栈中放置漏洞检测代码的详细信息。这次我们将向您演示攻击代码实际上是什么样子的。 |
|
|
|
2002年5月28日 |
|
| |
Unix主机安全漏洞分析及漏洞扫描器的设计与实现
主机漏洞扫描技术是一门较新兴的技术,它从另一个角度来解决网络安全上的问题。具体来讲,防火墙技术是被动防御、入侵检测技术是被动监测,而主机漏洞扫描技术则是自身主动进行有关安全方面的检测。因此,从网络安全立体纵深、多层次防御的角度出发,主动进行检测安全漏洞越来越受到人们的重视。 |
|
|
|
2002年5月28日 |
|
| |
密码学简介:第 3 部分
本教程建立在两篇关于一般密码学概念的介绍性教程提供的基础上。您不一定需要学完这两篇介绍性教程,但您应该熟悉一般密码学概念,例如对称加密算法、非对称加密算法、密码分析、攻击、Alice 与 Bob、消息、散列、密文和密钥长度等。 |
|
|
|
2002年5月24日 |
|
| |
使您的软件运行起来:确保―软件是安全的―不要坐等损失惨重的安全性问题出现
因特网已经为公司业务方式带来了很大的改变。因特网上的电子商务正显示出极大的增长势头,丝毫没有减缓的迹象。在大大小小的公司都向其业务的电子商务方面日益投入更多资源时,安全性应该相应地引起更多的注意。当比特意味着金钱时,通过安全的软件保护那些比特突然成为了运转成功的企业的一个重要方面。 |
|
|
|
2002年5月24日 |
|
| |
构建安全软件:选择技术,第一部分
根据 Building Secure Software:How to Avoid Security Problems the Right Way(Addison-Wesley,2001;授权再版)的作者 Gary McGraw 和 John Viega 所说的,在选择满足需要的安全性技术之前,您必须做一些准备工作。本文和下一篇文章是以这本书的第三章“Selecting technologies”为基础的,这一章研究了设计者和程序员面临的常见选择。在这里的第一部分中,作者研究了选择编程语言和分布式对象平台的有效方法。 |
|
|
|
2002年5月21日 |
|
| |
构建安全软件: 选择技术,第二部分
根据 Building Secure Software: How to Avoid Security Problems the Right Way(Addison-Wesley,2001;授权出版)的作者 Gary McGraw 和 John Viega 所说的,在选择满足需要的安全技术之前,您做一些准备工作。本文及其上一篇文章是以第三章“Selecting technologies”为基础的,这一章研究了设计者和程序员面临的共同选择。第一部分研究了选择编程语言和分布式对象平台的有效方法。在第二部分中,John 和 Gary 研究了选择操作系统的缺陷以及认证技术的安全性难题,包括基于主机的认证、物理标记和生物认证。 |
|
|
|
2002年5月21日 |
|
| |
密码学简介:第 2 部分
这个三部分教程的第 1 部分介绍了最基本的密码术概念(例如,加密是什么以及密钥是什么)。第 1 部分还讨论了密码分析的基本概念 ― 至少足够帮助您理解一些典型攻击和怎么破解协议。第 2 部分(本教程)向读者介绍了中级密码术概念。读者应该能轻松理解这些介绍性概念(对于还不熟悉这些概念的读者,第 1 部分是一篇很好的入门教程)。 |
|
|
|
2002年5月17日 |
|
| |
网络监听技术概览
网络监听,在网络安全上一直是一个比较敏感的话题,作为一种发展比较成熟的技术,监听在协助网络管理员监测网络传输数据,排除网络故障等方面具有不可替代的作用,因而一直倍受网络管理员的青睐。然而,在另一方面网络监听也给以太网安全带来了极大的隐患,许多的网络入侵往往都伴随着以太网内网络监听行为,从而造成口令失窃,敏感数据被截获等等连锁性安全事件。 |
|
|
|
2002年5月17日 |
|
| |
Linux下防范缓冲区溢出攻击的系统安全策略
缓冲区溢出攻击是目前黑客最常用的攻击手段之一,为了应对不断涌现的缓冲区溢出攻击,我们研究了在Linux系统下防范缓冲区溢出的方法,通过研究,总结了在Linux平台下防范缓冲区溢出攻击的安全策略,这些安全策略可以应用于一般企业内部服务器,包括web服务器、mail服务器、samba服务器、ftp服务器以及proxy服务器等。在实际使用中,我们发现通过这些安全策略的配置能够对缓冲区溢出攻击起到很好的防范措施。 |
|
|
|
2002年5月10日 |
|
| |
使您的软件运行起来: 通过模糊实现安全性
企业技术部门十分注重保密:不公布设计文档、将代码视为商业机密、有时算法本身也保密。软件经常成为防止攻击者和竞争对手触及机密的机制;由于采用方法的不同而造成许多差异也就不足为奇了。在本文中,我们将讨论试图使用软件来保密所涉及的问题。 |
|
|
|
2002年5月10日 |
|
| |
让您的软件运行起来:实质问题和摧毁攻击
专栏作家 Gary 和 John 在他们的上一篇关于缓冲区溢出的专栏文章中说明了如何通过防御性编程来保护您的代码。在这次的专栏文章中,Gary 和 John 向您详细说明了如何针对目标程序构造缓冲区溢出攻击 ― 因此您可以主动保护您自己的代码不受黑客攻击。 |
|
|
|
2002年4月29日 |
|
| |
密码学简介:第 1 部分
本教程(以及两篇后续教程)适合于希望熟悉密码学及其技术、数学原理和概念性基础以及专门术语的程序员。接触过各种密码系统的描述以及关于特定软件和系统的安全性或非安全性的一般声明,但又并不彻底了解这些描述和声明的背景,本教程对于有这样经历的读者是最理想的。 |
|
|
|
2002年4月26日 |
|
| |
通用线程:OpenSSH 密钥管理,第 3 部分
在这一系列的第三篇文章中,Daniel Robbins 向您显示了如何利用 OpenSSH 代理程序连接转发来增强安全性。他还分享 keychain shell 脚本的近期改进。 |
|
|
|
2002年4月26日 |
|
| |
使软件运行起来
欢迎阅读新的“开发人员安全性”专栏!您将在这里发现一些深入详尽的安全性讨论,这些讨论的范围涉及从如何应用常见的安全性技术到您自己编写的更安全的代码。我们的最终目标是无须借助“插入修补”方法就能帮助您消除不安全代码,并在这一过程中有一些乐趣。我们的第一篇专栏文章向您介绍安全思想,并解释我们为什么把精力专门放在开发者所面临的软件安全性问题上。 |
|
|
|
2002年4月23日 |
|
| |
信息保证会议
信息保证(IA)是大型组织(如军方)为处理大量信息而使用的技术。它的目的是确保在未受破坏的状态下发送和计算所用信息。开发人员可以在自己的工作中应用这些技术的某些部分以使信息状态保持纯洁。在这一有关“IEEE 系统、人员和控制论信息保证研讨会(IEEE Systems, Man, and Cybernetics Information Assurance Workshop)”的文章(由两部分组成)中,Larry Loeb 介绍了 IA 的发展和它在安全性方面的意义。在本文(第一部分)中,他探讨了 Eugene Spafford 博士的开场发言,并详细研究了在会议中提出的一种体系结构 ― SITAR。 |
|
|
|
2002年4月19日 |
|
| |
从CDSA看安全体系架构
电子商务和信息服务无疑是信息产业发展的最重要方向,而信息安全问题又是制约这两方面发展的最基本问题。只有解决了信息安全,才能为信息产业的下一次革命提供基础,使得电子商务和信息服务可以真正推行。而系统中的安全又是一个整体的观念,必须从体系架构入手来提出解决方案。 |
|
|
|
2002年4月12日 |
|
| |
利用远程注册表访问
远程访问机器的注册表通常是令人皱眉的事情;毕竟,您想让其他人在您不知道的情况下查看您的注册表吗?但是,如果正确处理的话,这个过程可以成为抽取机器信息和识别您网络中潜在漏洞的强大工具。在这里,Brian 运用他在 WebSphere Business Integrator Team 中的工作经验,描述了远程注册表访问如何允许您从多台机器中抽取信息 ― 并且识别那些易受攻击的系统。本文还包括了代码样本。 |
|
|
|
2002年4月2日 |
|
| |
安全微支付性能分析
摘要:随着网络和信息技术的不断发展,微支付的应用范围也会越来越广,而如何在开发和应用系统有效设计和评估微支付系统的性能和效率,成为广大安全微支付开发和应用人员关注的核心。本文在对各种常见安全算法进行评测的基础上,从存储量、通信量和计算量等方面对常见微支付的性能进行的比较和测试,可为微支付机制的实现和开发提供详细的参考。 |
|
|
|
2002年4月1日 |
|
| |
Single Sign-On
单点登录简单说,就是通过用户的一次性鉴别登录,即可获得需访问系统和应用软件的授权,在此条件下,管理员无需修改或干涉用户登录就能方便的实施希望得到的安全控制。这是一个为了能够在分布式计算机环境中,安全和方便的鉴别用户而产生的课题。本文将讨论单点登录的不同模型,提出真实可行的方案,并且评估这些模型和方案。 |
|
|
|
2002年4月1日 |
|
| |
密码术简介,第 2 部分: 对称密码术
对称密码术(也称作秘钥密码术)早已被人们使用了数千年,它有各种形式:从简单的替换密码到较复杂的构造方式。不过,数学的发展和计算能力的不断进步使得创建牢不可破的密码成为可能。对称系统通常非常快速,却易受攻击,因为用于加密的密钥必须与 需要对消息进行解密的所有人一起共享。IBM 开发的密码 DES 已被广泛使用,但如今已到了其使用寿命的尽头,应该要更换了。无论开发人员在他们的应用程序中使用哪种密码,都应该考虑使用的方法、认识到发生的折衷方案以及规划功能更强大的计算机系统的前景。 |
|
|
|
2002年3月19日 |
|
| |
安全微支付技术
随着信息技术的发展,信息商品将成为人们日常消费中很重要的组成部分,针对信息商品的特点,如何提供安全高效的支付方式,成为广大用户和开发人员关注的焦点。本文在介绍安全微支付特性基础上,讨论了目前现存的多种安全微机制及未来的发展方向,对典型机制的优劣性进行了综合评价,为微支付机制的实现和开发提供借鉴和参考。 |
|
|
|
2002年3月1日 |
|
| |
密码术简介,第 1 部分:概览
对他人隐私的好奇心和隐藏信息是所有人类社会的特征。随着计算能力的出现和高级数学技术的发展,系统变得非常复杂,目前有可能构造出很难被有效破解的密码。用来加密和解密数据的算法分为两大类:秘钥(secret key)或对称密码术,其中对加密和解密这两个过程使用同一密钥;以及公钥或非对称密码术,其中一个密钥用来加密,另一个用来解密。现在,标识发送方、认证和不可抵赖性(non-repudiation)与信息隐藏一样重要。本文对密码术做了广泛而详细的研究。在该系列的后续文章中会更详细地研究具体问题。 |
|
|
|
2002年2月4日 |
|
| |
PKI:入门
由于因特网的不断使用,从前那种松懈的面向网络的安全性实践已经不足以保证数据的安全。其结果是,“公钥基础结构”或 PKI 被证实是加密数据的可靠系统,而且商业社会也已经注意到了这一点。在本文中,Joe 叙述了 PKI 的基本知识 ― 涉及的内容以及如何使用它。 |
|
|
|
2002年1月28日 |
|
| |
信息隐藏与数字水印技术
多媒体数据的数字化为多媒体信息的存取提供了极大的便利,同时也极大地提高了信息表达的效率和准确性。随着因特网的日益普及,多媒体信息的交流已达到了前所未有的深度和广度,其发布形式也愈加丰富了。人们如今也可以通过因特网发布自己的作品、重要信息和进行网络贸易等 ,但是随之而出现的问题也十分严重:如作品侵权更加容易,篡改也更加方便。因此如何既充分利用因特网的便利 ,又能有效地保护知识产权,已受到人们的高度重视。这标志着一门新兴的交叉学科--信息隐藏学的正式诞生。如今信息隐藏学作为隐蔽通信和知识产权保护等的主要手段,正得到广泛的研究与应用。 |
|
|
|
2002年1月22日 |
|
| |
Linux 上的 PKCS #11 openCryptoki
密码术正在迅速成为我们日常生活中的一个重要部分。然而密码技术应用程序给当今的服务器平台添加了沉重的运算负担。越来越多的系统开始使用专门硬件来分担这些运算,同时也帮助确保密钥资料的安全性。本文将讨论 openCryptoki,一种正在迅速成为非 Windows 平台事实工业标准的 API,它被用来建立密码硬件和用户空间应用程序之间的接口。特别是本文将介绍针对 IBM 密码硬件(openCryptoki)的 PKCS #11 实现的细节,此密码硬件是基于开放源码格式的,在 developerWorks 上可获得。 |
|
|
|
2002年1月15日 |
|
| |
虚拟专用网络,第 2 部分
本教程面向想全面了解虚拟专用网络或 VPN 工作原理的技术人员。它是有关 VPN 领域的概论而非深入分析。但是,需要了解基本的网络概念知识。第一部分从高级的 VPN 概述开始,继而是涉及的技术,并且深入研究了 IPSec 协议;在第二部分中,我们将更深入地探讨该技术并且研究一些记录在案的 VPN 实现。 |
|
|
|
2002年1月8日 |
|
| |
由http暗藏通道看网络安全
通过本文的httptunnel 技术同时逃过了防火墙的屏蔽以及系统的追踪试验,我们可以看到网络安全仅仅依靠某种或某几种手段是不可靠的,同时对安全系统的盲目性依赖往往会造成巨大的安全隐患。希望通过本文能引起管理员对网络安全防护系统的思考。 |
|
|
|
2002年1月8日 |
|
| |
对等计算实践: P2P 遇上 SSL 保证对等机之间的通信安全
对任何重要的 P2P 应用程序而言,对等机之间的安全通信都是一个核心要求。尽管安全的细节依赖于如何使用该应用程序和该应用程序将要保护什么,但通过使用现有技术,例如 SSL 实现强壮的、一般用途的安全通常是可能的。本月,Todd Sundsted 演示如何在 P2P 安全中使用 SSL(通过 JSSE)。 |
|
|
|
2001年12月28日 |
|
| |
使您的软件运行起来:防止缓冲区溢出 ― 通过防御性编程保护代码
在上一篇专栏文章中,描述了高水平的缓冲区溢出攻击,以及讨论了为什么缓冲区溢出是如此严重的安全性问题。本专栏文章的主题是,通过防御性编程保护代码不受缓冲区溢出攻击。我们将论及 C 编程语言中的主要安全性陷阱,显示应该避免特殊构造的原因,以及演示推荐的编程实践。最后,将讨论有助于有效防止缓冲区溢出的其它技术。 |
|
|
|
2001年12月4日 |
|
| |
Web 服务内幕,第 9 部分: 研究问题 安全性与保密性
Web 服务架构为创建基于 Web 的应用的开发者们带来了许多新的机遇和好处。而对于企业来说,它同时带来了新的挑战。在 Web 服务内幕接下去的几个部分中,我们将着重介绍这些挑战究竟是什么、它们是如何影响整个架构的,以及一些关于我们(我们中那些受命解决这些问题的人 ― 包括许多在 IBM 的安全、研究以及标准化领域工作的人)如何对其进行处理的内容。我们从每个人都关心的问题开始:安全性与保密性。 |
|
|
|
2001年11月27日 |
|
| |
虚拟专用网络,第 1 部分
本教程面向想要懂得虚拟专用网络或 VPN 工作原理的技术人员。它是对 VPN 领域的一个概览,而不是深入的分析。但是,一些基本网络概念的知识是必备的。
第 1 部分以高级 VPN 概述开始,进而是所涉及的技术,接着深入研究 IPSec 协议,而第 2 部分更仔细地讨论这种技术并研究一些记录在案的 VPN 实现。 |
|
|
|
2001年11月23日 |
|
| |
提高开放式 UNIX 平台的安全性
本文要看一下使用一种新方法提高开放式 UNIX 安全性的小外壳(shell)应用程序。本文提供了对代码逐步的分析。作者的专业领域是 Web 编程及尖端网络安全性开发。 |
|
|
|
2001年11月23日 |
|
| |
使您的软件运行起来:使 CGI 编程安全
在短短数年间(事实上,从 1992 年开始),Web 从无到有,迅猛发展至今天为数众多的网站。随着 Web 的成长,Web 技术的能力也在发展。本文着重于有关编写 CGI 脚本的问题:CGI 脚本是一种存在于 Web 上的软件,毫不奇怪,涉及到重要的安全性问题。 |
|
|
|
2001年11月23日 |
|
| |
使您的软件运行起来:消除偏差
在本系列的第一部分中,Gary McGraw 和 John Viega 讨论了精确随机数生成。在这一部分,即本系列的第二部分中,Gary 和 John 研究了随机数的硬件源。这些源有时可以提供比全软件解决方案更高的安全性保证(虽然我们也将处理基于硬件的随机数发生器中的缺点)。 |
|
|
|
2001年11月16日 |
|
| |
解决 Linux 中的安全性问题
一旦在计算机或网络上启动并运行了 Linux,并且安装了应用程序,就万事大吉了,对吗?唔,对,但不全对。您的系统也许在运行,但如果不考虑安全性问题,您可能正在使您自己处于非常严重的困境中。 |
|
|
|
2001年11月16日 |
|
| |
通用线程:OpenSSH 密钥管理,第 2 部分
在第二篇文章里,Daniel 介绍 ssh-agent(专用密钥高速缓存)及 keychain,这个特殊的 bash 脚本的设计使基于密钥的认证极为方便和灵活。 |
|
|
|
2001年11月14日 |
|
| |
使用 Stunnel 加密
Stunnel 是一种程序,使程序员和系统管理员可以很轻松地对任意 TCP 会话加密。您可以很轻松地在客户机和服务器上启用 SSL ― 而且这样做不会影响程序源代码。 |
|
|
|
2001年11月6日 |
|
| |
通用线程:OpenSSH 密钥管理,第 1 部分
在本系列文章中,您将学习 RSA 和 DSA 认证的工作原理,以及了解如何正确设置无密码认证。在本系列的第一篇文章里,Daniel Robbins 主要介绍 RSA 和 DSA 认证协议并向您展示如何在网络上应用这些协议。 |
|
|
|
2001年10月30日 |
|
| |
JAVA上加密算法的实现用例
通常,使用的加密算法 比较简便高效,密钥简短,加解密速度快,破译极其困难。本文介绍了 MD5/SHA1,DSA,DESede/DES,Diffie-Hellman的使用。 |
|
|
|
2001年10月19日 |
|
| |
网站保护方法比较分析
本文针对当今网站被黑事件频繁发生的状况,服务器遭受的风险也比以前更大了。越来越多的病毒,心怀不轨的黑客都将网站服务器作为了自己的目标。很明显,网站服务器的安全问题是不容忽视的。在这里我谈谈维护服务器安全的方法,并作了一些比较分析。 |
|
|
|
2001年10月1日 |
|
| |
穿透企业网络 使用 servlet 的 HTTP 穿透法
企业防火墙是一把双刃剑。它有助于防止对企业 Web 服务进行未经授权的访问,但也可能拒绝合法用户的访问。由于系统管理员们所采取的安全措施的数量的缘故,HTTP 已经成为了企业网络的通用进入机制。在诸如 CORBA 和 DCOM 的技术因防火墙而失去作用的地方,人们开发了如 SOAP 等的技术,提供了穿过防火墙保护的安全可靠的访问。在本文中,我们将研究一种 SOAP 的替代品,在 HTTP 基础上对 Java 对象的使用。另外,我们将使用 J2EE servlet 技术作为业务数据的服务器端中间件。 |
|
|
|
2001年9月14日 |
|
| |
对等计算的实际使用:对等网络中的信任与安全
一旦 P2P 应用发展到一个引人关注的程度,信任和安全问题就出现了。在用户间互相了解的小型应用中,信任和安全很少会成为问题。可是,有用的 P2P 应用很少会保持这么小的规模。本月,Java 设计师 Todd Sundsted 将探讨在 P2P 应用中的信任和安全问题,为您介绍使分布式应用中的信任成为可能的工具。加入讨论论坛,与作者和其他读者分享您对本文和本系列中其他文章的看法。 |
|
|
|
2001年9月14日 |
|
| |
控制 DOM,第 3 部分 Weblet 安全性教程
Weblet 是运行在浏览器中的 Java 程序,使用 DirectDOM 来直接操作被显示的文档。就像大多数基于 Web 的程序一样,如果对 Weblet 管理不当,就会对系统安全造成威胁。幸好,Weblet 附带的 Java 沙箱(Java Sandbox)可提高系统的内建安全性。在这个关于 DirectDOM 和基于 Weblet 开发的三部系列的最后一部分,Paul Everett 说明了如何使用沙箱来达到最佳效果。通过简单的工作示例,Paul 演示了 Weblet 在缺省情况下能做什么和不能做什么,还说明了在需要的情况下如何回避沙箱的约束。请加入讨论论坛与本文作者和其他读者交流您对这篇文章的心得。 |
|
|
|
2001年8月14日 |
|
| |
基于角色管理的系统访问控制
安全管理系统核心思想是在基于角色控制思想的基础上提取改进而来的,本文讲述的功能模型能较好�足产品开发人员提出的系统访问控制需求。 |
|
|
|
2001年8月3日 |
|
| |
强制的安全
在 6 月的最后一天,克林顿总统做了一件史无前例的事:他用一张智能卡,而不是钢笔将一项议案变为了法律。(事实上,在律师们争论古老的美国宪法是否可以灵活到允许数字签名的时候,书面文件还是被人工签署的。)克林顿是如何签署这项法令的无疑将吸引绝大部分人的注意,但这项法令本身也同样的重要:全球和国内商业法案中的电子签名会使数字签名在功能上完全等同于多种笔头签署工作。 |
|
|
|
2001年7月24日 |
|
| |
使您的软件运行起来:摆弄数字---真正安全的软件需要精确的随机数生成器
计算机一直是具有完全确定性的机器,所以,特别在行为随机性方面表现不尽人意(软件缺陷情况除外)。所以当程序员需要一个或一组真正的随机数时,他们必须通过各种方式近似地生成随机数。在本专题,关于这个主题的三篇文章的第一篇中,Gary McGraw 和 John Viega 分析了随机数生成器是如何工作的,并展示了各种作为结果可以实现的技巧。在本系列的下一部分,Gary 和 John 将讨论如何通过硬件来真正地生成随机数。 |
|
|
|
2001年7月17日 |
|
| |
保护系统安全: 一个识别用户的三向解决方案 确定谁在门口,保护您的系统
系统安全问题是由发现通讯连接另一端的用户身份开始的。在本文中, Joseph Sinclair 讨论了三种常见的识别用户的方法,突出了它们的长处和短处(各自的及合并的),并分别提供了一些示例。 |
|
|
|
2001年7月13日 |
|
| |
安全的代价是什么?
Java的力量是不容置疑的,但安全问题也是开发者的关注焦点. 本文将权衡其益处与随之而来的危险. |
|
|
|
2001年6月15日 |
|
| |
MD5 的 Java Bean 实现
编者的话:虽然 MD5 签名算法在 jdk 中早已实现(如 MessageDigest 类),但作者从 MD5 的原理分析讲述 MD5 具体算法的 Java 实现并给出一个完整的示例程序,我想对我们的读者来说还是会有很多帮助的。
|
|
|
|
2001年5月18日 |
|
| |
Linux 组网:如何用老式奔腾机和 Linux 构建防火墙
嘿,我在说您那台老旧的奔腾计算机呢!别因为老奔腾机不如现今花哨的新硬件动力十足就把它抛弃。它完全可以胜任小型商业或家庭办公室的网络防火墙工作。ipchains 是 Linux 下的防火墙软件,其源码可以免费获得,并能够在老式奔腾机的 T-1 连网环境下工作。与其花上几千美元从软件提供商处购买定制的防火墙软件,还不如试试这种最实惠的解决方案。下面,我将一步步地教您如何安装和配置 ipchains 软件。 |
|
|
|
2001年4月17日 |
|
| |
