Windows應(yīng)用程序開發(fā)入門到精通課件

1、WindowsWindows應(yīng)用程序開發(fā)入門到精通十二：應(yīng)用程序開發(fā)入門到精通十二：將平安隱患扼殺在搖籃之中將平安隱患扼殺在搖籃之中Live Meeting 2005新特性新特性n清晰音質(zhì)清晰音質(zhì)與微軟資深講師的零距離接觸與微軟資深講師的零距離接觸n實時講義下載實時講義下載輕松獲得第一手資料輕松獲得第一手資料n中文交互中文交互強大的中文提問平臺，想問就問，強大的中文提問平臺，想問就問， 沒有困擾沒有困擾n內(nèi)容更精彩內(nèi)容更精彩開發(fā)，集成，架構(gòu)設(shè)計，開發(fā)，集成，架構(gòu)設(shè)計， 工程管工程管理，應(yīng)有盡有理，應(yīng)有盡有課程介紹課程介紹n這次這次Webcast會給大家介紹如何應(yīng)用會給大家介紹如何應(yīng)用.NET

2、Framework中的特性來保護代碼的平安中的特性來保護代碼的平安根底內(nèi)容根底內(nèi)容n熟悉熟悉.NET開發(fā)開發(fā)nLEVEL 300課程安排課程安排n身份驗證身份驗證n授權(quán)授權(quán)n加密加密n強命名程序集強命名程序集n代碼訪問平安代碼訪問平安n中間層平安中間層平安n如何防止如何防止SQL注入注入身份驗證身份驗證n使用使用Credential來唯一標明一個用戶來唯一標明一個用戶n可以使用可以使用Microsoft Windows的集成身份驗證，使用的集成身份驗證，使用用戶登錄用戶登錄Windows時的用戶憑證時的用戶憑證n編寫自己的用戶身份驗證的程序，應(yīng)用程序來管編寫自己的用戶身份驗證的程序，應(yīng)用程序來

3、管理用戶憑證。理用戶憑證。n接口和接口和類類nSystem.Security.Principal.WindowsIdentity.GetCurrent().Name演示一演示一nAuthenticationAuthorizationn使用基于角色的平安使用基于角色的平安n可以通過編程實現(xiàn)基于角色的授權(quán)可以通過編程實現(xiàn)基于角色的授權(quán)n角色可以代表商業(yè)流程中的工作職責(zé)，例如：秘角色可以代表商業(yè)流程中的工作職責(zé)，例如：秘書、經(jīng)理、管理員、總監(jiān)等書、經(jīng)理、管理員、總監(jiān)等n用角色的方式來管理用戶會更加簡便用角色的方式來管理用戶會更加簡便如何使用基于角色的平安如何使用基于角色的平安nPrincipalPe

4、rmissionAttrivute和和SecurityAction.Demandn _Public Class AdminClassnIPrincipal.isInRole()nlblBossMan.Visible = _Context.User.IsInRole(“BossMan)ntbToBeChangedOnlyByQueenBee.ReadOnly = Not _Context.User.IsInRole(“QueenBee)演示二演示二nAuthorization加密加密n加密將字節(jié)打亂加密將字節(jié)打亂n對稱加密與非對稱加密對稱加密與非對稱加密n對稱加密適用一個相同的密鑰進行加密對稱加

5、密適用一個相同的密鑰進行加密/解密解密n非對稱加密使用一個密鑰對進行加密非對稱加密使用一個密鑰對進行加密/解密，加密解密，加密與解密的密鑰是不同的公鑰與解密的密鑰是不同的公鑰/私鑰對私鑰對n非對稱加密算法更加平安非對稱加密算法更加平安n對稱加密算法更加高效對稱加密算法更加高效n名稱空間名稱空間n如何進行密鑰管理如何進行密鑰管理演示三演示三n加密加密Code Access Securityn最低權(quán)限的策略最低權(quán)限的策略nCode Group按照邏輯分類的代碼組合按照邏輯分類的代碼組合nCode Group可以按照多種方式劃分可以按照多種方式劃分URL，strong name，zone，etcnP

6、ermission Sets許可集，用來定義代碼能夠訪許可集，用來定義代碼能夠訪問的資源：文件問的資源：文件I/O，Isolated Storage獨立存儲，獨立存儲，SQL客戶端，等等?？蛻舳耍鹊?。nLink demandsDemo Fourn代碼訪問平安代碼訪問平安強命名應(yīng)用程序集強命名應(yīng)用程序集n使用使用sn.exe工具來創(chuàng)立強命名公鑰工具來創(chuàng)立強命名公鑰/私鑰對，并存儲在文件當私鑰對，并存儲在文件當中：中：sn.exe k Northwind.snknAssemblyKeyFileAttributen優(yōu)勢優(yōu)勢n可以被裝載到可以被裝載到GAC當中當中nSide-by-side部署，支持

7、多個版本的應(yīng)用程序集部署，支持多個版本的應(yīng)用程序集n在編譯時，在編譯時，.NET的客戶端代碼使用了強命名應(yīng)用程序集，在的客戶端代碼使用了強命名應(yīng)用程序集，在運行時能夠有效地防止裝入運行時能夠有效地防止裝入“木馬應(yīng)用程序集木馬應(yīng)用程序集Delayed Signingn私鑰保密性，確保開發(fā)團隊中的多個組建使用相私鑰保密性，確保開發(fā)團隊中的多個組建使用相同的強命名同的強命名n只導(dǎo)出公鑰只導(dǎo)出公鑰sn -p Northwind.snk NorthwindPublicOnly.snknSn -Vr ：關(guān)閉對只擁有公鑰的強命：關(guān)閉對只擁有公鑰的強命名應(yīng)用程序集進行驗證名應(yīng)用程序集進行驗證nSn -R ：在

8、發(fā)布之前：在發(fā)布之前對應(yīng)用程序集進行緩簽名對應(yīng)用程序集進行緩簽名Link Demandsn連接請求發(fā)生在外部的代碼對本應(yīng)用程序集進行連接請求發(fā)生在外部的代碼對本應(yīng)用程序集進行調(diào)用的時候調(diào)用的時候n名稱空間名稱空間n例如：例如：StrongNameIdentityPermission屬性屬性n從某個應(yīng)用程序集中提取公鑰標示一個十六進從某個應(yīng)用程序集中提取公鑰標示一個十六進制的字符序列制的字符序列sn -Tp NorthwindModel.dlln例如：例如：StrongNameIdentityPermission( _SecurityAction.LinkDemand, _PublicKey:=

9、“002400000d6, _Version:=“)Middle Tier平安平安n最現(xiàn)成的方法，最現(xiàn)成的方法，COM+是最平安的解決方案是最平安的解決方案與與Windows整合并支持配置整合并支持配置nWeb Service的平安可以通過的平安可以通過HTTPS和和IIS平安來控制平安來控制n當不能使用當不能使用IIS平安的時候，可以使用平安的時候，可以使用WS-SecurityWeb Service Enhancements的一局部來保證平的一局部來保證平臺之間的臺之間的Web Service平安平安nRemoting平安平安nIIS宿主和宿主和TCP，使用，使用IIS平安和

10、平安和HTTPSn其他宿主，需要實現(xiàn)定制的其他宿主，需要實現(xiàn)定制的Channel或或Sink演示五演示五n中間層平安中間層平安SQL注入注入nSQL注入這種威脅發(fā)生在動態(tài)生成注入這種威脅發(fā)生在動態(tài)生成SQL查詢語句的查詢語句的時候，動態(tài)生成的時候，動態(tài)生成的SQL語句可能會被篡改語句可能會被篡改n例如：例如：string sql = “select * from users where UserID = +UserID + “ and password= + Password + “n如果在上面的如果在上面的SQL語句中參加語句中參加OR 1 = 1這個條件，這個條件，users表中的所有數(shù)據(jù)

11、將最為結(jié)果返回表中的所有數(shù)據(jù)將最為結(jié)果返回n所有使用動態(tài)所有使用動態(tài)SQL查詢的應(yīng)用程序都有可能受到這查詢的應(yīng)用程序都有可能受到這種威脅種威脅n為了防御這種攻擊，去掉所有的動態(tài)為了防御這種攻擊，去掉所有的動態(tài)SQL查詢：查詢：使用使用ADO.NET中的中的SqlParameters演示六演示六n防止防止SQL注入攻擊注入攻擊平安設(shè)計目標平安設(shè)計目標n最小化攻擊范圍最小化攻擊范圍n分析具體的攻擊并阻止它們：分析具體的攻擊并阻止它們：n拒絕效勞攻擊拒絕效勞攻擊n基于文件或目錄的攻擊基于文件或目錄的攻擊nSQL注入注入n引誘攻擊引誘攻擊Luringn防患于未然，提早預(yù)知新的攻擊防患于未然，提早預(yù)知新

12、的攻擊n使用經(jīng)過驗證的平安技術(shù)：身份驗證，給予角色使用經(jīng)過驗證的平安技術(shù)：身份驗證，給予角色的授權(quán)，的授權(quán)，HTTPS，加密，加密總結(jié)總結(jié)n.NET包括了強大的內(nèi)建的平安特性包括了強大的內(nèi)建的平安特性n具體問題具體分析，根據(jù)情況來選擇平安技術(shù)，具體問題具體分析，根據(jù)情況來選擇平安技術(shù)，編寫平安的基于編寫平安的基于Windows Forms的代碼的代碼n不需要絞盡腦汁去創(chuàng)造新的平安代碼不需要絞盡腦汁去創(chuàng)造新的平安代碼更多信息更多信息n平安開發(fā)中心平安開發(fā)中心 n.NET相關(guān)的平安書籍相關(guān)的平安書籍nWS-Security 聲音調(diào)查：聲音調(diào)查：n請大家通過投票的方式，正確的請大家通過投票的方式，正確的選擇，您在本次收聽講座的選擇，您