DEPHI开发基于CORBA的系统的重大安全隐患???请大家讨论(200分)

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-29

• #1

用Delphi和visibroker 开发基于corba的三层应用系统，但是不知道大家注意到没有
客户端是用CORBA对象名来连接中间层，而且连接的时候没有任何安全控制，这样岂不是
只要知道对象名就可以连接使用该对象，没有一点存取安全控制，这样不是很容易被人
随意执行对象，破坏数据库的数据，Delphi怎么会带有这么大的安全漏洞？？？？？？
不知大家有没有考虑过这个问题，Borland对此有解决方案吗？
如果没有，哪这样的系统安全性太低了，谁还敢用？？？

 

K

knightlzf

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-29

• #2

那怎样知道别人的对象名？

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-29

• #3

用osfind可以清楚的看到

 

C

Chenlili

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-04-30

• #4

还有其他中间件，如appserver

 

K

kane

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-02

• #5

应该每个函数都有认证体系,看看微软的ECC结构就知道了

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-02

• #6

Chenlili,AppServer主要的功能是什么?

 

L

lczhuohuo

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-02

• #7

连上了又怎样,这就像一个人,走在大街上,不可避免的被别人看见你的容貌
但是能跟你说话的还是少数人,有人跟你说话也不理,
你的中间层如果连忠奸都是别不了,那也太失败了.

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-04

• #8

!!!

 

Z

zhoucan790322

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-05

• #9

虽然通过osfind可以找到IDL号.但是不知道应用服务器上的方法
怎么去破坏数据库!

 

S

softdog

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-05

• #10

你在中间层中加入验证机制啊！即使知道了该对象名有什么用？
就好比你知道了一个Proxy的地址，可是没有它的用户名和密码，你怎么使用？

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-05

• #11

softdog,你认为验证机制该如何实现?

 

S

softdog

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #12

具体实现要看你的业务规则啊，在中间层上控制不同模块的权限（针对用户验证），这和作C/S
很象，不过有点区别，多层是集中控制，C/S是分散控制。

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #13

针对用户进行验证,这不是又回到了用数据库来验证的数据库用户验证的老路上了,你的意思是设置
不同给不同数据库用户不同的操作数据库权限吗?
to: Chenlili
AppServer主要的功能是什么?还用那个Appcenter?

 

S

softdog

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #14

不是数据库用户验证。
建议你还是去看一些多层的书吧。

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #15

softdog,哪你具体指的是什么验证,根据登陆的用户来的权限来控制应用服务器的权限
,这实现起来不太现实吧,你以前的多层系统是如何实现应用服务器的权限控制?

 

S

softdog

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #16

CORBA的安全服务可以提供应用系统基本的保护，但一些很细化的权限肯定要自己认证的。

 

T

tfp

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-06

• #17

$)

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-08

• #18

不知道大家用过Clientdataset的commandtext方法没有，怎样对commandtext的权限进行控制？

 

L

liansz

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-13

• #19

我已找到解决方法，结束吧

 

Q

qdyoung

Unregistered / Unconfirmed

GUEST, unregistred user!

• 2001-05-14

• #20

什么解决方法能否说说，需要分数我可以给你很多