鐵人檔案
其實 Java 的安全機制並不好,若與 .Net 比起來的話。但因為跨平台、社群成熟、語法嚴謹等特性,獲得相當多開發人員與廠商的青睞,投入其大量的金錢與時間。若花了大錢、花了時間,卻寫出一個不堪一擊的程式,這樣是非常可惜的。因此我希望深入探討 Java 資訊安全的開發 "基本知識"。
身份假冒(Spoffing identity) 身份假冒是由 認證(Authentication) 衍生出來的威脅,而認證的本質在於確認操作系統的那個人,或者是...
前言 我們已經介紹完了 STRIDE 的前三項攻擊。其實在資訊界待久了,這些攻擊手法都多有耳聞,但其根本都是源自於對 CIA 與 AAA 的破壞意圖而來。今天,...
前言 我們已經談完了 CIA、AAA、STRIDE 以及 DREAD 等資訊安全的目標與威脅等主題。接下來的日子,我們開始討論如何設計與實作安全的系統。在這方面...
前言 我們今天,要把另外五項安全設計原則介紹完。 完全仲裁原則(Complete mediation) 當我們在設計系統時,是否小心翼翼地分析每一個輸入的資料怎...
