2007-10-29

Vista 夠安全嗎?

本報內容由 iThome online 提供 每週二∼六出刊.2007.10.30
iThome產品技術報 下載PChome免費撥接
Vista 夠安全嗎? iThome飛越六周年


本期目錄
    ASP.NET的網頁要如何調整才能更安全?
    微軟Vista的強心針
    Vista 夠安全嗎?
  1109(五)資安防駭出奇招研討會,全新視野、震撼觀點
  快來為明年的專案做準備,專案報價與成本分析技巧!
  資策會學員陸續將ITIL認證升級為V3,首批通過率達100%!
  參加資策會ISO20000顧問認證課程,可取得21PDU!
 
電子報最新消息
把握推銷的關鍵
 良好的接近,就可掌握75%的成交率
現代企業病-白領胃痛
 競爭的職場環境下如何保健你的胃?
文章結尾如何寫得好
 不用妄自菲薄!寫作文除了一點靈感,更需要方法!

專欄    
ASP.NET的網頁要如何調整才能更安全?

用ASP.NET開發動態網頁,有哪些程式開發細節要注意,以避免遭到注入攻擊?

注入攻擊(SQL injection)是指駭客透過網頁的輸入單元,將SQL語法或網頁程式碼藉著文字輸入的表單,將這些字串回傳,當網頁程式處理這些輸入的字串時,就會執行當中的程式碼,將資料外洩或導致資料庫系統損毀等資安問題。

探究網站會遭受到注入攻擊,主要是因為網頁程式對於輸入資料的驗證及處理方式不夠嚴謹,讓駭客藉此攻擊網站及資料庫。要避免網站遭到注入攻擊,開發人員得在網頁程式撰寫和資料庫設定上多費些功夫。開發人員可以針對下列4大部分下手,減少網站遭到攻擊的機會。

一、限制存取權限
資料庫權限要設定好。最好針對網站的資料庫存取,建立對應權限的個別帳號,且詳細設定該帳號存取資料的權限。例如使用者帳號僅需要查詢資料,就應該關閉其他資料庫存取功能,避免駭客透過以使用者帳號發動攻擊,任意將資料刪除或修改,造成資料庫損毀。

全文>>
TOP
 
 
微軟Vista的強心針

從白帽駭客深入研究Vista的結論來看,微軟斧底抽薪的4個關鍵作法─安全程式開發方法、使用者存取控制、隨機編排記憶體位置、核心防護機制,都發揮了強心針的效果,讓Vista成為一個夠安全的作業系統。

Windows作業系統夠安全嗎?相信多數人都會認為不夠安全,這樣的反應很正常,因為微軟作業系統在安全問題上狀況百出。相信眾多的Windows XP使用者都能感同深受,以前可能只要修補重大的系統漏洞即可,但現在似乎是有修補不完的漏洞,因為大大小小的漏洞不斷被發現,幾乎得要每個月定期安裝修補程式,以免被駭客利用新發現的系統漏洞來攻擊,於是使用電腦的經驗就是一個不停修修補補的過程。

當我們詢問使用者對微軟新一代作業系統Windows Vista安全性的看法時,很多人都立即反應出微軟作業系統長期給人的印象:「別開玩笑了,Windows何時安全了。」

落到這個下場,微軟當然是不能再不重視安全的問題,比爾蓋茲公開宣誓要徹底檢視程式安全,微軟的新作業系統Windows Vista的上市時間因而大幅延後。最後Vista成為微軟史上投入最多人力、經費,從頭以安全程式開發方法來開發的作業系統。微軟宣稱這是Windows史上最安全的作業系統,但是,以Windows作業系統之前的記錄來看,聽完微軟的說法之後,還是不得不質疑:Vista真的夠安全嗎?

全文>>
TOP


專題報導    
Vista 夠安全嗎?

要檢視作業系統的安全性,光聽微軟的說法是不夠的,我們找來對微軟作業系統有深入研究的白帽駭客,從駭客攻擊手法來分析Vista是否夠安全。

Vista安全的4劑強心針
臺灣微軟在今年1月正式推出Windows Vista,若與前幾代作業系統相比,微軟斧底抽薪做了根基的調整,包括SDLC、UAC、ASLR以及PatchGuard等4大安全機制,都是讓微軟新一代作業系統,可以讓駭客頭痛的祕絕。

阿碼科技首席資安研究員邱銘彰: 中華電信資安辦公室資安技術組長李倫銓:

「Vista是微軟史上第一套從防範駭客入侵角度開發的作業系統。」 「Vista導入SDLC產品開發方式,可有效降低XP作業系統中常見的Buffer Overflow攻擊。」

第1劑
SDLC安全程式開發方法
SDLC是一個斧底抽薪的好方法,從整體開發階段改變寫程式的思維,這種寫安全程式碼的產品開發方式,對於以往XP作業系統中常見的Buffer Overflow(緩衝區溢位)攻擊,可以獲得大幅改善。

第2劑
UAC使用者存取控制
UAC是一種權限的提升,會出現微軟警示視窗,可防止應用程式弱點被應用。UAC透過設定IL級別,讓低IL級別的程式不能發訊息給高級別的程式,便可以解決以往在Windows XP上的UIPI(使用者介面隔離政策)的問題。

第3劑
ASLR隨機記憶體編排
隨著Vista加入ASLR功能,讓每個作業系統記憶體空間位置編排隨機化。未來,Vista很難出現蠕蟲,也很難有大規模的病毒擴散,即使是緩衝區溢位攻擊的漏洞,也很難利用透過推論記憶體位置的手法,再次成功攻擊。

第4劑
PatchGuard核心防護機制
在Windows XP有許多惡意程式透過Rootkit手法,自我隱藏並變更作業系統核心層程式,因為防毒軟體多數難以察覺Rootkit,導致相關資安案件層出不窮。微軟為了杜絕這種後遺症,在開發Vista時祭出了殺手金間PatchGuard,禁止所有應用程式變更作業系統的核心層。

5大構面搭起Vista安全網
Vista的安全機制大致從SDLC、惡意程式防護、資訊保護、安全平臺以及相容性等5個面向著手。其中,在惡意程式防護中的IE 7.0、雙向防火牆的功能,以及資訊保護中的BitLocker功能,和企業面臨應用軟體相容性問題的配套措施,都是Vista安全機制的一部分。

全文>>
TOP

前期文章 全部歷史文章
出刊日期 出刊主題
2007-10-27 .NET引進物件關連映射技術
2007-10-26 從臺大超級電腦看伺服器散熱問題
2007-10-25 RIA說文解字
2007-10-24 北歐生活的奧祕
2007-10-23 技術不至於會是問題?

感謝你訂閱這份電子報,下列電子報或許你會喜歡,請勾選
   Stuff科技時尚誌    D.FUN數位享樂誌    ToGet 軟體報    網路遊戲密技吱吱 ...
   遊戲新幹線玩家快 ...    iThome IT管理報    PC Office電子報    數位時代
我要訂閱這份報紙» 我要取消這份報紙» 訂報說明
.本電子報內容由 iThome online 提供
.關於內容有任何疑問,或欲轉載請聯絡
PChome ePaper 電子報版權所有,關於電子報發送有任何疑問,請聯絡 客服
台北市敦化南路二段105號11樓 ,TEL:(02)2708-8038,FAX:(02)27094848。
刊登廣告個人連結企業合作隱私權聲明關於PChome徵人
網路家庭版權所有 Copyright PChome Online 版權所有,轉載必究

沒有留言: