2007-10-17

9成網站都有商業邏輯漏洞

本報內容由 iThome online 提供 每週二∼六出刊.2007.10.18
iThome產品技術報 下載PChome免費撥接
9成網站都有商業邏輯 ... iThome飛越六周年


本期目錄
    IT職業病
    9成網站都有商業邏輯漏洞
    物件導向程式設計常見的錯誤(1)抽離作用重複的程式碼 ...
    網路攝影機-晶睿IP7138
  對於想導入ITIL的企業而言,簽訂SLA將是入門的第一步
  台灣軟體要出線 架構師(Architect)功不可沒
  提升金融營運效率,唯有1026(五)給您一整天強力充電
  掌握致勝先機的IT必修課
 
電子報最新消息
企業主管一定要知道
 90分鐘就學會查帳的11種主要方法!
文章寫半天沒人看懂!
 不只開頭要寫好,結尾也要才算有頭有尾的文章喔∼
徹底透視、剖析性高潮
 性愛技巧大公開,幫你達到性愛的最高境界!

專欄    
IT職業病

生活節奏過快,背負的壓力太大,IT產業可以算是健康透支最嚴重的行業,許多生理、心理上的職業病都會發生在IT人身上。

我前一陣子生了場病,到現在還沒完全痊癒,身體一直很不舒服,所以這一兩個月的做事效率相當差。但我畢竟是幸運的,因為我可以隨時休息,不用勉強自己做事。許多IT人員可就沒這麼幸運了,即使身體出狀況,他們還是得吞下大把藥丸,硬拖著疲憊的身軀去上班。

生活節奏過快,背負的壓力太大,IT產業可以算是健康透支最嚴重的行業,許多生理、心理上的職業病都會發生在IT人身上。

根據統計,許多竹科人都有痔瘡和胃潰瘍的毛病。痔瘡一般是長期久坐,血液循環不良所導致;胃潰瘍可能是飲食、壓力和不正常的作息造成。痔瘡和胃潰瘍問題,反應出IT人普遍血液循環不好、工作壓力大、飲食不正常。可別小看血液循環不好、工作壓力大、飲食不正常,這3種症狀幾乎會導致所有的疾病。

因為工作時需要保持清醒,許多IT人習慣喝咖啡與茶來提神,這些卻反倒造成水分流失、心悸、亢奮等不良的後果。

全文>>
TOP

專題報導    
9成網站都有商業邏輯漏洞

前Yahoo資安長Jeremiah Grossman來臺,在OWASP亞洲年會首度發表商業邏輯漏洞問題,他認為這種資安漏洞影響企業甚鉅,一個不注意可能導致企業營收損失。

前Yahoo資安長Jeremiah Grossman來臺演說,首度發表商業邏輯漏洞議題,呼籲企業應正視這個影響越來越深遠的資安議題。攝影╱賴基能
OWASP(開放網路軟體安全組織)日前在臺灣舉辦第一屆官方亞洲年會,針對許多Web以及Web應用程式安全發表相關演說。其中,前Yahoo資安長Jeremiah Grossman首度發表商業邏輯漏洞(Business Logic Flaws)演說,直指這種商業邏輯漏洞將使得企業網站陷入危機,一個不注意可能導致企業營收損失。

Jeremiah Grossman是白帽(WhiteHat Security)安全資安顧問公司創辦人兼技術長,也是美國黑帽(Black Hat)和DefCon駭客年會講師。他從許多的資安事件發生的原因,歸納出一個對企業資安的威脅型態:商業邏輯漏洞。

線上拍賣造成可能的商業邏輯漏洞
商業邏輯漏洞其實就是,一般商業邏輯流程過程中,所出現的技術漏洞。曾經當過雅虎資安長的Jeremiah Grossman說:「線上拍賣就是一個常見的商業邏輯漏洞的案例。」

商業邏輯漏洞發生可能性廣泛
這樣的商業邏輯漏洞也發生在常見的密碼恢復認證機制上。Jeremiah Grossman指出,有許多Web服務機制為了降低解決使用者忘記密碼的困擾,並降低解決這類問題的成本,會設立所謂的安全問題,藉由回答安全性問題取得使用者密碼。不過,便曾經發生設定安全性問題時,其答案選項固定,嘗試幾次就會猜到。例如,安全性問題是最喜歡的顏色為何?但選項若指有紅、黑、白等3個答案時,嘗試幾次錯誤之後,就可以破解了。

全文>>
TOP


專欄    
物件導向程式設計常見的錯誤(1)抽離作用重複的程式碼,重構品質

冗長的Method與重複的程式碼之間,好比狼與狽的關係,是相伴出現的,是許多程式碼品質問題的根本。若能夠妥善利用重構技巧,對品質必有明顯幫助。

Martin Fowler所著的《Refactoring》,介紹如何在不更動軟體系統既有功能的前提下,有系統地調整程式碼,以改善軟體本身的品質及效能,使得程式碼更具可讀性、系統架構更具擴充性,也更容易維護。

「重構(Refactoring)」是一整套系統性的方法,在這套方法中,最有價值的地方之一,在於「重構」方法針對程式碼或系統架構可能會有的缺失,整理出一份完整的列表。這一份列表,就好比病人可能會有的病徵(在《重構》中稱為Bad Smells In Code),程式人便可以按圖索驥。

重構方法不僅整理病徵,更提供了藥方。找到了病徵,便可以服用Martin Fowler寫下的藥方,各式冷熱雜症一帖見效。

過度冗長的Method,拖垮程式品質
儘管重構方法中寫下了十分完備的各式程式碼病徵,但有幾項可以算是患病率極高的,改善這幾項問題,便能有效地改善的品質。就讓我們來看看患病率高居不下的兩種問題吧:

1. 過度冗長的Method(Long Method)

2. 相似或重複的程式碼(Duplicated Code)

首先看「過度冗長的Method」這個問題。在物件導向程式設計中,物件的Method是一種功能單位。Public Method代表著物件對外的介面,物件能提供外部使用的規格;Private Method則代表物件內部實作的功能區塊。

全文>>
TOP

產品評測    
網路攝影機-晶睿IP7138

晶睿(Vivotek)IP7138支援PoE乙太網路供電,具備130萬畫素CMOS感測元件,及MPEG-4與MJPEG兩種影像壓縮格式,能透過雙模影像串流功能,同時將視訊傳送至電腦與3G手機等採用不同影像解析規格的設備。

晶睿(Vivotek)IP7138是一臺具備130萬畫素CMOS感測元件的網路攝影機,內建網路連接埠,並且採用雙引擎壓縮技術,支援MPEG-4與MJPEG兩種影像壓縮格式,能透過雙模影像串流功能,同時將視訊傳送至電腦與3G手機等採用不同影像解析規格的設備,方便隨時隨地即時監控環境影像。

安裝簡便,支援PoE乙太網路供電
IP7138是隨插即用的網路攝影機,只要與網際網路連線,並且在個人電腦端安裝晶睿隨機附上的快速安裝精靈軟體,就能在區域網路內搜尋到所有晶睿通訊網路攝影機的MAC與IP位址。我們可以按部就班輸入主機名稱、管理者密碼、網路連線與連接埠等各項設定,且因為這臺設備同時支援PPPoE,亦能適用於需要帳號與密碼方能與網際網路連線的ADSL撥號寬頻網路。

具備隱私遮罩功能
IP7138具備多樣化的安全性設定。我們能設定管理員帳號密碼,並且因為它內建帳號資料庫,能手動建立網路攝影機使用者的權限,還具備獨特的隱私遮罩功能,這項功能可以讓管理者選定監控範圍內不予以顯示的影像區塊,當用戶存取網路攝影機影像時,設定隱私遮罩的區塊便不會顯示在畫面上,而是會以黑色的方塊取代。

全文>>
TOP

前期文章 全部歷史文章
出刊日期 出刊主題
2007-10-17 將Skype延伸到桌上電話機
2007-10-16 黃金證照助你年薪翻十倍
2007-10-13 光纖通道與乙太網路融合的新標準FCoE
2007-10-12 IT自救術-簡介組裝電腦的步驟
2007-10-11 TechEd 2007披露協同開發技巧與新版Windows Server

感謝你訂閱這份電子報,下列電子報或許你會喜歡,請勾選
   數位之牆    iThome每日新聞報    科學人雜誌    PC Office電子報
   PhoneDaily手机報    iThome IT管理報    遊戲新幹線玩家快 ...    PC uSER密技偷偷 ...
我要訂閱這份報紙» 我要取消這份報紙» 訂報說明
.本電子報內容由 iThome online 提供
.關於內容有任何疑問,或欲轉載請聯絡
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服
台北市敦化南路二段105號11樓 ,TEL:(02)2708-8038,FAX:(02)27094848。
刊登廣告個人連結企業合作隱私權聲明關於PChome徵人
網路家庭版權所有 Copyright PChome Online 版權所有,轉載必究

沒有留言: