Web Security Notes

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 30 – AUTHENTICATION 作者：John Melton What is it and why should I care? 請靠近點，以便鑑別您的身分。 鑑別(Authentication)是一個確認你的身分是否為真的過程。通常使用者會以自己的ID和相關證據以證明身分。實際的情況是，使用者用代號和密碼來通過系統的認證。鑑別是應用程式安全中最重要的部分，因為他是使用者所有行為的起點。許多資安解決方案都是基於使用者身分已通過鑑別的前提，也就是假設使用者身分無誤。然而鑑別身分是有難度的，需要花很多心力來做。

A happy robot is doing his job. 繼續上一篇的  介紹文章  後，若是我們想要跟機器人互動該怎麼作？身為一個稱職的MSN機器人，必定要學會互動文字對答，提供特定服務。今天就來試試看如何互動。 怎麼實作？ MSN機器人互動最方便的作法就是文字應答。輸入特定指令後，機器人依據指令進行特定服務(例如：檢查server狀態、檢查聯若人清單、找尋檔案等等)。除了文字應答，另外一個重要的互動功能就是檔案傳輸，依據指令找尋檔案並自動傳輸檔案。 以下為我的應答流程： 1.傳送指令 2.機器人讀取指令 3.回應結果

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 29 – MANAGE RESOURCES 作者：John Melton What is it and why should I care? 用完後記得將工具歸位喔。 資源管理長久以來都是程式設計中一個重要議題，而且跟資安三大目標CIA中的Availability更是息息相關。資源管理好壞影響著你存取時系統是否順利的回傳，故你不會隨意的釋放相關資源(硬碟空間、記憶體、網路連線等等)。 雖然不像是因為使用者帳戶和密碼的加密機制過於簡單(像是 ROT-13 )而被破解一樣受人注目，但是資源洩漏造成的系統當機也頗為尷尬。不良的資源管理機制將導致系統崩潰、不穩定。若你剛好是每天凌晨兩點因為機器崩潰被主管狂 call 的工程師，那你應該懂我的意思。

發生什麼事？ 這些年，收到垃圾郵件、釣魚郵件都見怪不怪，反正hotmail、gmail會幫我過濾那些郵件。但如果是好朋友們的信就無法第一時間過濾掉，因此某些msn的內含惡意聯結的郵件仍持續散佈。 今天我收到的惡意郵件沒有主旨，只有寄件人和收件人，內容只有一行 http://cr.site-sales.biz/blog/不要點喔wp-content/plugins/zaieccpauio/google.html?otv=fgfh.psml&ygu=onnm.hkml&gwyj=tjbm

來源： John Melton's Weblog 標題：YEAR OF SECURITY FOR JAVA – WEEK 27 – PENETRATION TESTING 作者：John Melton Developer: I'm ready, Sir ! What is it and why should I care? 滲透測試(  Penetration testing  )是藉由模擬的攻擊行為來評估電腦系統或網路安全性的方法。此方法主動的分析系統所有弱點的可能性，並揭露潛在攻擊者。通常又被稱作 pen testing 或ethical hacking。 滲透測試類似於雇用駭客去探測實際運作的系統，且努力找出安全問題。測試結果很有價值也很有說服力，不僅顯示弱點存在，也可以被利用。根據經驗，誠實的測試結果可以成為開發者和資訊安全之間溝通橋梁，並設定可達成的目標促使開發者修正問題。而該如何處理人人都討厭的誤報(False Positive)結果也是很有趣的議題。