程式碼存取安全性(CAS, Code Access Security)是 .NET Framework 中非常重要的一部份,不過我發現大部分的 ASP.NET 開發人員並不清楚 CAS 是什麼,因為在開發 ASP.NET 的時候很少有機會去碰觸到這一塊,最近我們工程師在用 .NET 寫一個 COM 元件時就發生了 CAS 的權限問題,導致程式無法正常執行的情況。
... 繼續閱讀 ...
我個人擁有好多好多組的帳號、密碼,個人用的、工作用的、幫別人記的、...真的很多(超過100組),雖然瀏覽器(Browser)可以幫你記憶許多組密碼,不過還是有許多密碼是跟瀏覽器無關的,例如:Windows 登入密碼、WiFi 登入密碼、銀行 ATM 密碼、...。面對這麼多的密碼,說實在的要全部記得還真不太容易呢!我想一般人的作法是將這些帳號、密碼紀錄在電腦裡,例如:Excel。但這其實資安的風險很大,若檔案不小心被有心人士或駭客取得,沒死也會重傷。
... 繼續閱讀 ...
FxCop 是一種靜態程式碼分析工具,主要是用來分析採用 .NET 技術開發的組件(Assembly)品質,其中分析的規則也多達上百條(FxCop 1.36 預設有 197 種規則),並依照不同的領域分門別類,大致有以下類別:
... 繼續閱讀 ...
手動設定網址對應 IP 的技巧其實是很基礎的系統管理知識,不過好像還是有許多新手開發人員不知道可以這樣設定,今天我就來說說這個好用的技巧。
... 繼續閱讀 ...
我們其實可以透過許多工具取得 .NET 應用程式執行時在記憶體中的資料,例如:WinDbg 或 Debug Diagnostic Tool。而當你在 .NET 程式中需要將一些較機密的資料暫存在變數(物件)時,若單純的使用 System.String 類別建立執行個體(Instance)儲存資料,就很容易被一些除錯工具或傾印(dump)工具取得原始資料,原因是 System.String 類別是不變的(immutable),且當不再需要它時也無法透過程式排程進行記憶體回收。所以當你使用 System.String 類別儲存文字內容在記憶體中,就很難保證在物件不用了之後能夠即時在記憶體中刪除,這樣的程式就有被資訊揭露(Information Disclosure)的安全風險。
... 繼續閱讀 ...
Windows Sysinternals 工具組中的 Streams 可以讀取 NTFS 檔案系統中目錄或檔案的「替代資料串流(alternate data streams)」的資料,而這個 streams 真的是個「非常神秘」的東西。
... 繼續閱讀 ...
最近 Google 推出一套免費的 Web 安全評估工具,叫做 ratproxy,這套工具可以檢測、分析您的網站是否有安全性漏洞或網頁是否有被入侵,目前可支援 Linux, FreeBSD, MacOS X, 與 Windows (Cygwin) 等執行環境(反正就是 Unix-like 的環境啦)。
... 繼續閱讀 ...
Google 從 2006 年開始在 Google Search 的結果中標示出有安全疑慮的網站,而且最近我也得知 Google 有提供一個「安全瀏覽」的查詢服務,只要透過 Google Safe Browsing API 提供網址就可以讓使用者查詢該網站被 Google 檢測過的結果與相關摘要,目前這個機制也有被整合進 Firefox 與 Google Desktop Search 當中。
... 繼續閱讀 ...