300分MIS权限管理方案大讨论(二)(真心言者必有分)(300分)

  • 主题发起人 主题发起人 葬月
  • 开始时间 开始时间

葬月

Unregistered / Unconfirmed
GUEST, unregistred user!
经过上次的讨论,使我对MIS权限管理有了点认识,
这次我希望高手和非高手着重以下几点进行详细讨论
1.上次有个人说软件有个安全认证, 我对此是第一次听说
谁有这方面的资料???
2.如果我用COM,是否就可以安全??
权限管理无非就是上传 用户名,权限值,和相关数据给服务端,
如果有这个权限的话,服务端就受理, 否则就告之客户端不能没有这个权限
那么我调用服务端的COM, 只是很简单的传递几个参数,如 用户名, 相关数据
让服务端来进行鉴别是否有这个权限,如果有,就处理数据, 没有就不予理会
请问这样是否安全????有何漏洞??
3.如果我不用COM,,,我只是简单的在客户端调用服务端的存储过程,
也只是很简单的传递几个参数到存储过程,让后台的数据库在存储过程中进行鉴别
反正我把权限表放在后台数据库中, 这样做是否安全????
4.当然,以上两个方法的前提是客户端无法与服务端的后台数据库连接,
两台电脑相连, 能否不让客户端连接到服务端的数据库??

一个小问题,,有什么函数可以把Variant 和VARIANT相互转换???(C++Builder)
在C++Builder里 两样东西居然不能直接用 = 转换
偏要用个TVariant
 
(对这个了解不深,随便说两句)
在将用户名和密码发给安全认证服务器时,发送出去的信息需要是加密的(加密算法及密钥
按照什么依据生成,过后再讨论),因为在通过socket发送时,IP包有可能被窥视。
所有程序都放在数据库的存储过程中执行也不好,它将增加服务器的负荷,应该把这功能分布
在应用程序服务器上来执行,我听了CSDN上的李维的讲座录音,他的观点是应尽量少用存储过
程,以增加系统的可移植性和易维护性。再加上涉及认识信息的加密与解密过程,安全认证
工作应该由一个COM/COM+应用程序服务器来完成。
 
我上招商银行网,它就是用的安全认证,我也很想知道这方面的知识。
顺便UP一下。
 
不会吧我用COM传送数据,,别人捕获到IP包也能打开??
难道COM本身没有加密????
 
http://www.isacc.com/isacc2000/presentations/8b-pr/有一些软件安全认证资料。
 
我认为COM/DCOM本身不会有什么加密的,一切传输都是对数据的封包再封包,解包再解包,
所以只要别人能够获取你的数据库包,就有可能获取里面的数据。
至于对发送的安全认证信息数据加密一说,我原本也想不到这么周全,只是近期在看到大客
户的一份需求书上看到了相关要求,才想到这个问题的。
 
2、在服务器段判断权限是一个好做法,但如果只船一个用户名那漏洞太大了,
必须同时传递一个能唯一识别客户段的参数并加密,例如客户短网卡的MAC地址
或会话session,这两个值服务器都是可以事先得到的,而且别人很难模拟,
在用DES加密后,就更安全了
3、数据库中凡是牵扯到密码的,一定也要加密存储
4、如果用的一些大中型数据库,如MS SQL、Sybase或Oracle,可以设置数据库的访问权限为本机
如果你用的DBMS不能管理权限,那就没有办法了。(如果黑客攻破了你的数据库服务器,那就
什么手段都没有用了)
 
还有谁有高论????
难道都只局限于权限表的层次???
 
大家为什么用权限表,原因我想有两个:
1)编程相对简单;
2)能够精确控制用户界面,这一点可能是主要的。
 
我来听课!
 
在广域网上,要想数据安全,必须做加密处理。加密、解密理论,我没有学过,不清楚。
我的一位朋友做过这方面的软件,采用的是公钥与私钥,用到了CA认证。
 
大家说的是网络传达输过程中的数据包安全,还是用户软件使用安全。
这是两个不同的概念,处理方法也不一样
 
您必须登录或注册才可回复。

Similar threads

Ray
[转]终于可以发布Delphi下收点OSGI精髓皮毛而设计的插件框架WisdomPluginFramework
回复
4
查看
4K
chlkuei
C
J
应用多层结构时有一些困惑(100分)
回复
8
查看
217
jobsxy
J
Z
三层结构讨论。(100分)
回复
12
查看
262
wjh_wy
W
为什么SocketServer不能返回消息给客户端(300分)
回复
7
查看
204
zhengyue
Z
E
一个权限管理的方案,大家来讨论一下优缺点 ,顺便给个成功的案例。(100分)
回复
16
查看
581
eastphoenix
E
后退
顶部