Windows應(yīng)用程序開(kāi)發(fā)入門到精通課件

1、WindowsWindows應(yīng)用程序開(kāi)發(fā)入門到精通十二：應(yīng)用程序開(kāi)發(fā)入門到精通十二：將平安隱患扼殺在搖籃之中將平安隱患扼殺在搖籃之中Live Meeting 2005新特性新特性n清晰音質(zhì)清晰音質(zhì)與微軟資深講師的零距離接觸與微軟資深講師的零距離接觸n實(shí)時(shí)講義下載實(shí)時(shí)講義下載輕松獲得第一手資料輕松獲得第一手資料n中文交互中文交互強(qiáng)大的中文提問(wèn)平臺(tái)，想問(wèn)就問(wèn)，強(qiáng)大的中文提問(wèn)平臺(tái)，想問(wèn)就問(wèn)， 沒(méi)有困擾沒(méi)有困擾n內(nèi)容更精彩內(nèi)容更精彩開(kāi)發(fā)，集成，架構(gòu)設(shè)計(jì)，開(kāi)發(fā)，集成，架構(gòu)設(shè)計(jì)， 工程管工程管理，應(yīng)有盡有理，應(yīng)有盡有課程介紹課程介紹n這次這次Webcast會(huì)給大家介紹如何應(yīng)用會(huì)給大家介紹如何應(yīng)用.NET

2、Framework中的特性來(lái)保護(hù)代碼的平安中的特性來(lái)保護(hù)代碼的平安根底內(nèi)容根底內(nèi)容n熟悉熟悉.NET開(kāi)發(fā)開(kāi)發(fā)nLEVEL 300課程安排課程安排n身份驗(yàn)證身份驗(yàn)證n授權(quán)授權(quán)n加密加密n強(qiáng)命名程序集強(qiáng)命名程序集n代碼訪問(wèn)平安代碼訪問(wèn)平安n中間層平安中間層平安n如何防止如何防止SQL注入注入身份驗(yàn)證身份驗(yàn)證n使用使用Credential來(lái)唯一標(biāo)明一個(gè)用戶來(lái)唯一標(biāo)明一個(gè)用戶n可以使用可以使用Microsoft Windows的集成身份驗(yàn)證，使用的集成身份驗(yàn)證，使用用戶登錄用戶登錄Windows時(shí)的用戶憑證時(shí)的用戶憑證n編寫(xiě)自己的用戶身份驗(yàn)證的程序，應(yīng)用程序來(lái)管編寫(xiě)自己的用戶身份驗(yàn)證的程序，應(yīng)用程序來(lái)

3、管理用戶憑證。理用戶憑證。n接口和接口和類類nSystem.Security.Principal.WindowsIdentity.GetCurrent().Name演示一演示一nAuthenticationAuthorizationn使用基于角色的平安使用基于角色的平安n可以通過(guò)編程實(shí)現(xiàn)基于角色的授權(quán)可以通過(guò)編程實(shí)現(xiàn)基于角色的授權(quán)n角色可以代表商業(yè)流程中的工作職責(zé)，例如：秘角色可以代表商業(yè)流程中的工作職責(zé)，例如：秘書(shū)、經(jīng)理、管理員、總監(jiān)等書(shū)、經(jīng)理、管理員、總監(jiān)等n用角色的方式來(lái)管理用戶會(huì)更加簡(jiǎn)便用角色的方式來(lái)管理用戶會(huì)更加簡(jiǎn)便如何使用基于角色的平安如何使用基于角色的平安nPrincipalPe

4、rmissionAttrivute和和SecurityAction.Demandn _Public Class AdminClassnIPrincipal.isInRole()nlblBossMan.Visible = _Context.User.IsInRole(“BossMan)ntbToBeChangedOnlyByQueenBee.ReadOnly = Not _Context.User.IsInRole(“QueenBee)演示二演示二nAuthorization加密加密n加密將字節(jié)打亂加密將字節(jié)打亂n對(duì)稱加密與非對(duì)稱加密對(duì)稱加密與非對(duì)稱加密n對(duì)稱加密適用一個(gè)相同的密鑰進(jìn)行加密對(duì)稱加

5、密適用一個(gè)相同的密鑰進(jìn)行加密/解密解密n非對(duì)稱加密使用一個(gè)密鑰對(duì)進(jìn)行加密非對(duì)稱加密使用一個(gè)密鑰對(duì)進(jìn)行加密/解密，加密解密，加密與解密的密鑰是不同的公鑰與解密的密鑰是不同的公鑰/私鑰對(duì)私鑰對(duì)n非對(duì)稱加密算法更加平安非對(duì)稱加密算法更加平安n對(duì)稱加密算法更加高效對(duì)稱加密算法更加高效n名稱空間名稱空間n如何進(jìn)行密鑰管理如何進(jìn)行密鑰管理演示三演示三n加密加密Code Access Securityn最低權(quán)限的策略最低權(quán)限的策略nCode Group按照邏輯分類的代碼組合按照邏輯分類的代碼組合nCode Group可以按照多種方式劃分可以按照多種方式劃分URL，strong name，zone，etcnP

6、ermission Sets許可集，用來(lái)定義代碼能夠訪許可集，用來(lái)定義代碼能夠訪問(wèn)的資源：文件問(wèn)的資源：文件I/O，Isolated Storage獨(dú)立存儲(chǔ)，獨(dú)立存儲(chǔ)，SQL客戶端，等等?？蛻舳?，等等。nLink demandsDemo Fourn代碼訪問(wèn)平安代碼訪問(wèn)平安強(qiáng)命名應(yīng)用程序集強(qiáng)命名應(yīng)用程序集n使用使用sn.exe工具來(lái)創(chuàng)立強(qiáng)命名公鑰工具來(lái)創(chuàng)立強(qiáng)命名公鑰/私鑰對(duì)，并存儲(chǔ)在文件當(dāng)私鑰對(duì)，并存儲(chǔ)在文件當(dāng)中：中：sn.exe k Northwind.snknAssemblyKeyFileAttributen優(yōu)勢(shì)優(yōu)勢(shì)n可以被裝載到可以被裝載到GAC當(dāng)中當(dāng)中nSide-by-side部署，支持

7、多個(gè)版本的應(yīng)用程序集部署，支持多個(gè)版本的應(yīng)用程序集n在編譯時(shí)，在編譯時(shí)，.NET的客戶端代碼使用了強(qiáng)命名應(yīng)用程序集，在的客戶端代碼使用了強(qiáng)命名應(yīng)用程序集，在運(yùn)行時(shí)能夠有效地防止裝入運(yùn)行時(shí)能夠有效地防止裝入“木馬應(yīng)用程序集木馬應(yīng)用程序集Delayed Signingn私鑰保密性，確保開(kāi)發(fā)團(tuán)隊(duì)中的多個(gè)組建使用相私鑰保密性，確保開(kāi)發(fā)團(tuán)隊(duì)中的多個(gè)組建使用相同的強(qiáng)命名同的強(qiáng)命名n只導(dǎo)出公鑰只導(dǎo)出公鑰sn -p Northwind.snk NorthwindPublicOnly.snknSn -Vr ：關(guān)閉對(duì)只擁有公鑰的強(qiáng)命：關(guān)閉對(duì)只擁有公鑰的強(qiáng)命名應(yīng)用程序集進(jìn)行驗(yàn)證名應(yīng)用程序集進(jìn)行驗(yàn)證nSn -R ：在

8、發(fā)布之前：在發(fā)布之前對(duì)應(yīng)用程序集進(jìn)行緩簽名對(duì)應(yīng)用程序集進(jìn)行緩簽名Link Demandsn連接請(qǐng)求發(fā)生在外部的代碼對(duì)本應(yīng)用程序集進(jìn)行連接請(qǐng)求發(fā)生在外部的代碼對(duì)本應(yīng)用程序集進(jìn)行調(diào)用的時(shí)候調(diào)用的時(shí)候n名稱空間名稱空間n例如：例如：StrongNameIdentityPermission屬性屬性n從某個(gè)應(yīng)用程序集中提取公鑰標(biāo)示一個(gè)十六進(jìn)從某個(gè)應(yīng)用程序集中提取公鑰標(biāo)示一個(gè)十六進(jìn)制的字符序列制的字符序列sn -Tp NorthwindModel.dlln例如：例如：StrongNameIdentityPermission( _SecurityAction.LinkDemand, _PublicKey:=

9、“002400000d6, _Version:=“)Middle Tier平安平安n最現(xiàn)成的方法，最現(xiàn)成的方法，COM+是最平安的解決方案是最平安的解決方案與與Windows整合并支持配置整合并支持配置nWeb Service的平安可以通過(guò)的平安可以通過(guò)HTTPS和和IIS平安來(lái)控制平安來(lái)控制n當(dāng)不能使用當(dāng)不能使用IIS平安的時(shí)候，可以使用平安的時(shí)候，可以使用WS-SecurityWeb Service Enhancements的一局部來(lái)保證平的一局部來(lái)保證平臺(tái)之間的臺(tái)之間的Web Service平安平安nRemoting平安平安nIIS宿主和宿主和TCP，使用，使用IIS平安和

10、平安和HTTPSn其他宿主，需要實(shí)現(xiàn)定制的其他宿主，需要實(shí)現(xiàn)定制的Channel或或Sink演示五演示五n中間層平安中間層平安SQL注入注入nSQL注入這種威脅發(fā)生在動(dòng)態(tài)生成注入這種威脅發(fā)生在動(dòng)態(tài)生成SQL查詢語(yǔ)句的查詢語(yǔ)句的時(shí)候，動(dòng)態(tài)生成的時(shí)候，動(dòng)態(tài)生成的SQL語(yǔ)句可能會(huì)被篡改語(yǔ)句可能會(huì)被篡改n例如：例如：string sql = “select * from users where UserID = +UserID + “ and password= + Password + “n如果在上面的如果在上面的SQL語(yǔ)句中參加語(yǔ)句中參加OR 1 = 1這個(gè)條件，這個(gè)條件，users表中的所有數(shù)據(jù)

11、將最為結(jié)果返回表中的所有數(shù)據(jù)將最為結(jié)果返回n所有使用動(dòng)態(tài)所有使用動(dòng)態(tài)SQL查詢的應(yīng)用程序都有可能受到這查詢的應(yīng)用程序都有可能受到這種威脅種威脅n為了防御這種攻擊，去掉所有的動(dòng)態(tài)為了防御這種攻擊，去掉所有的動(dòng)態(tài)SQL查詢：查詢：使用使用ADO.NET中的中的SqlParameters演示六演示六n防止防止SQL注入攻擊注入攻擊平安設(shè)計(jì)目標(biāo)平安設(shè)計(jì)目標(biāo)n最小化攻擊范圍最小化攻擊范圍n分析具體的攻擊并阻止它們：分析具體的攻擊并阻止它們：n拒絕效勞攻擊拒絕效勞攻擊n基于文件或目錄的攻擊基于文件或目錄的攻擊nSQL注入注入n引誘攻擊引誘攻擊Luringn防患于未然，提早預(yù)知新的攻擊防患于未然，提早預(yù)知新

12、的攻擊n使用經(jīng)過(guò)驗(yàn)證的平安技術(shù)：身份驗(yàn)證，給予角色使用經(jīng)過(guò)驗(yàn)證的平安技術(shù)：身份驗(yàn)證，給予角色的授權(quán)，的授權(quán)，HTTPS，加密，加密總結(jié)總結(jié)n.NET包括了強(qiáng)大的內(nèi)建的平安特性包括了強(qiáng)大的內(nèi)建的平安特性n具體問(wèn)題具體分析，根據(jù)情況來(lái)選擇平安技術(shù)，具體問(wèn)題具體分析，根據(jù)情況來(lái)選擇平安技術(shù)，編寫(xiě)平安的基于編寫(xiě)平安的基于Windows Forms的代碼的代碼n不需要絞盡腦汁去創(chuàng)造新的平安代碼不需要絞盡腦汁去創(chuàng)造新的平安代碼更多信息更多信息n平安開(kāi)發(fā)中心平安開(kāi)發(fā)中心 n.NET相關(guān)的平安書(shū)籍相關(guān)的平安書(shū)籍nWS-Security 聲音調(diào)查：聲音調(diào)查：n請(qǐng)大家通過(guò)投票的方式，正確的請(qǐng)大家通過(guò)投票的方式，正確的選擇，您在本次收聽(tīng)講座的選擇，您