Q. 請問身為一個web開發人員,在code上除了現有的開發框架外,還有甚麼地方能夠加強程式碼的安全性?

A. 基本上使用現成的Framework已經算相當安全了,在web上需特別注意的是在表單傳資料給server、DB

    之前的validation,如果validation做好可以防止90%以上的web資安事件

 

Q. 請問在VMware 的半虛擬化環境infrastructure3中,在組織要求做到資訊安全的前提之下,HostOS的管理port是否極端地需要VPN來特別保護?

A. VMware中有一位世界排名前幾的hacker坐鎮安全相關的議題,其產品的安全相當成熟。而需不需要用到VPN來特別保護則是視其資產的價值與公司願意投入多少而定。

amon0626 發表在 痞客邦 留言(0) 人氣()

*appplcation firewall 有加入檢查機制,而proxy僅僅是做代理服務

*先訂好policy最重要

*firewall is policy enforcement system,防火牆是安全政策的實踐

研究問題:將policy轉化成結構化的語法

amon0626 發表在 痞客邦 留言(0) 人氣()

目前測試以下2點都有注意到的話大概就沒啥問題了,cake的default encoding本身就是utf8

但話也不能說得那麼滿,還是會有例外存在,像我這次demo如何快速建構cake app,我用了scaffolding,

不資幸的是,用了scaffolding發現中文都無法輸入進去料庫,害我當場尷尬不少,沒有用scaffolding也就不會出現這樣的問題

提供出來讓大家參考參考

amon0626 發表在 痞客邦 留言(0) 人氣()

心得:

所謂的資訊安全並不單單牽涉到系統、網路安全,資訊安全並不單單只是技術上去實踐就好,再完美的系統加入"人"這個因素也會變得不完美。拿coding來比喻:沒有人是完美的,所以人寫出來的東西也不會是完美的。

組織制度面上:

應該詳加地規劃組織章程、使用宣告等。將資訊資產依照風險分級,確立應該重點保護的資產。有系統地劃分權限、建立資訊安全管理制度,ISMS(Information Security Management System)。

個人面上:從了解、實踐資訊倫理開始,知道甚麼是該做,甚麼是不該做的,重點是在不侵犯他人權利的前提下,也懂得保護自己的權利。甚至去了解到一些資訊安全法規,當我們在運行一項決策之時有做出正確決策的sense。

 

問題1:

我們都知道資訊安全是相對而非絕對的問題,就算導入在先進、防護周的技術(ex. 防毒牆、IDS、key驗證等),仍然有產生風險的可能,而這些風險很有可能是來自於使用者的誤用或是內部的不當行為。資訊安全的可用性與機密性、真確性要如何在這中間取得一個平衡?導入新技術的同時要如何確保資安人員做的事情是有價值的,而不是因為某些已產生的風險而影響到客觀的績效進而成為未來資安政策推動的絆腳石?

回答:

安全技術是可以做到近乎完美的防護,而人是不完美的,只要加入"人"這個因素就算再安全的系統也會出現漏洞。

資訊安全並不是只有強調於技術層面,更重要的是如何去管理、控制產生風險的因素

所以在如何管理"人"也是資訊安全的範疇之一

管理"人"這個因素應先考量到的是制度面去實行

再來在資訊安全的投資與否應先評估:

1. 我們要保護甚麼東西

2. 保護資產的價值

3. 投資占資產價值的比例

再來決定是否導入

 

問題2:

法律有適地性,比如說在我國犯法是受到我國法律所裁決;到印度設立公司就必須遵守當地法律才能成立。如果今天我們把教授製作槍砲、炸彈的網站設立在國外,將設立違反我國法律的網站此一具體事實移往國外,國外設立這種網站並不違法,所以照法律的適地性而言我們就算要受到制裁也應該由國外法律裁定。請問此行為是否會遭受到我國法律的制裁?

回答:

這問題在法律上爭議頗大,大部分依不同的情況有不同的處理方式。但還是秉持著一個原則,雖然具體事實不在國內,但犯罪的行為事實在國內仍然是有罪的。

amon0626 發表在 痞客邦 留言(0) 人氣()

很多人對於VMware裡四種網路設定方式中的bridge很不了解要如何使用

其中也包括小弟我

遇到這種問題當然就要當仁不讓地來分享囉

本篇開始

amon0626 發表在 痞客邦 留言(0) 人氣()

PAC-File(Proxy Auto Config File),用中文來說就是proxy自動設定的設定檔

若您待在的機關、公司對外的網路都必須經過proxy(又稱應用層閘道)

身為使用者的你可能在瀏覽器裡面設定過proxy

身為管理者的你在公司裡面要將PC大量佈屬下去的時候一定也替PC設定過proxy

問題來了~

要是proxy有發生變動需要換位置(位置改變,機器掛掉),那不就要一台一台幫使用者改或是接電話接到手軟?這時候使用pac file的好處就來了,我們只需要管理一組proxy的組態並

將它用http的方式發佈,用戶端只需要設定好使用pac的方式去存取proxy組態

如果是針對不同的連線使用不同的proxy我們的pac file也可以做到(連A站用a proxy,連B站用b proxy,不經由proxy則直接連線)

又或者是常常因為工作環境常常變動必須一直變換proxy的人,我相信是需要這個東東的

amon0626 發表在 痞客邦 留言(0) 人氣()

ESXi上的VMtools並不是我們以往想的那樣,增加滑鼠與顯示的效率

在ESXi上的VMtools角色比起以往更顯得重要

因為這邊的VMtools有著核心加速的功能,所以不能不裝阿

amon0626 發表在 痞客邦 留言(0) 人氣()

mailq 查看mail佇列

postqueue -f 強制將mailq中的信件寄出

postsuper -d ALL 刪除所有mailq中的信件

amon0626 發表在 痞客邦 留言(0) 人氣()

原本系上有一台mail server,但由於系統當初規劃不是很完善,且很長一段時間沒有妥善的更新,甚至連作業系統也在很早之前停止支援。以至於現在這台充斥著木馬、病毒...等許多惱人問題。

同一時間,本來我們的domain -->mis.xxxx.edu.tw,由於主任搶搭全台資管系正名的熱潮必須改為im.xxxx.edu.tw

可憐的小弟我碰上這份工作也是莫可奈何阿~

amon0626 發表在 痞客邦 留言(0) 人氣()

這次要介紹一下ext3grep這套在linux下救資料的軟體,其原始碼放在google code上面,可以自行下載編譯安裝

http://code.google.com/p/ext3grep/

不過ext3grep這套軟體要上手並不容易,並不是只有單純敲敲指令資料就會回來了

還要清楚了解block, inode等知識

google code上面也有詳細的說明文件(有點複雜到是真的)

看完文件後相信會對linux上的檔案系統運作更加了解

今天試了半天一直無法順利編譯安裝

幸好網路上已經有打包好的版本,雖然是debian的套件庫但ubuntu也可以使用喔

http://packages.debian.org/zh-cn/sid/ext3grep

下載完後若相依性沒有問題就可以直接安裝

$ dpkg -i ext3grep_0.10.1-1_amd64.deb

等到有空的時候再來寫教學文章吧(其實只有翻譯文件而已啦)

amon0626 發表在 痞客邦 留言(0) 人氣()

«12 3