请教各位老大,关于使用WebConnection和SocketConnection的安全性问题(200分)

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-28

• #1

使用DComConnection要进行认证,这样可以保证了安全性,可惜这个东东不能用在Internet上
能用在Internet上的WebConnection,我能想到的只是防止别人知道我的URL,可是这个方法也太低级了,高手很容易检测到这个URL的
而SocketConnection,有个Intercept接口,可惜,在客户端也要配一个Intercept的dll,这个更是授人以柄
能否有个方法,需要登陆后,得到一个随机值,利用这个随机值做验证,从而限制非法客户端做非法的事,合法用户也只能拿到自己分内的数据,否则,用Midas无疑是开了个很方便的后门给人家啊!
小弟的水平很低,刚刚在学Midas,请各位大大贡献一下这方面的心得给小弟做参考

 

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-28

• #2

动态生成DataSetProvider的方式是否可取?我怎么都觉得有漏洞,因为怎么也会有人查到这个ProviderName,进而取得数据
收发数据时,利用密码登录返回的随机值作为服务端和客户端持有的相同的随机加解密因子,进行加密解密数据流来保障数据?这种方法复杂了点,不过是我现在能想到的最好办法了,而且想想还有不少难度呢,因为,要配合动态生成DataSetProvider的方法才可以做到哩
小弟在这里向各位大大求援啦,有什么好主意分享一下

 

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-29

• #3

ding

 

A

am2001

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-29

• #4

你可以到这看看http://expert.csdn.net/Expert/topic/2776/2776679.xml?temp=.9368555

 

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-30

• #5

谢谢am2001提供的链接
现实中我应用webconnection时,除了使用控件中的username和password,隐藏url以为
还使用了动态生成provider,并且在通过验证后返回的一个随机数作为校验,通过则把数据集与生成的provider关联起来,数据提交完毕后,把关联断开,并且把provider删除掉
am2001提供的链接都没有超出我上面做的范畴,还有没有更高的高见,,,因为我觉得上述处理太过麻烦了
如果还没有的话,我就付分哩

 

小

小雨哥

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-30

• #6

http://www.delphibbs.com/keylife/iblog_show.asp?xid=6159
这个怎么样？

 

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-30

• #7

另外,我是属于不喜欢修改VCL的那类人,所以对链接中的修改VCL的那些提议不大感冒

 

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-30

• #8

小雨哥哥,俺不只是对密码防护感兴趣,不过,真的谢谢你的关心

 

G

gzrascal

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2004-03-31

• #9

多人接受答案了。