it, security, web at March 28th, 2008 by 小影
一般中小企大概不知道資訊安全的重要性。當然,就算你的系統不安全,一時三刻也不會死人。然而,一個白癡的錯誤足以讓公司的信譽一朝破產。垂死爭扎之前就講過兩個不同的低級錯誤,今日我又有幸見到一個:
直接在 production 的環境下輸出原始的錯誤碼和訊息己經很危險了,這網站還輸出了資料庫的用戶和密碼!當然這可能是 php 剛出世時寫下的遺作遺留系統,但這種錯誤還真是讓人覺得心驚...
順帶一提,把登入用戶名稱和密碼印到 debug log ,把密碼等資訊放在 String 等東西在日常工作蠻常見到。唉,這些事情只能改到多少改多少。要解決問題得要由企業的資訊安全守則 做起,沒有一個黑白分明的 checklist,怎能其望初生的程式員和經理知道資訊安全是啥呢... 當然,沒有 code review 又怎知道他們有沒有守規則呢... 越來越覺得當年待在銀行所學的辦事方法其實也有其道理。
Posted in Tech | 2 Comments »
development, java, opensource, security at May 31st, 2006 by 小影
工作需要要找Java的SFTP Library。雖然SSH和SFTP/SCP己經是必須的標準,但Java本身沒有支援,同時open source的SSH library也是少得可憐...
JSch -- Java Secure Channel - 最完整的Java Open Source SSH library,支援最多不同版本的SSH,SCP,SFTP,而且仍在活躍的開發中。缺點是文件相當少,有些source code完全沒有comment,只能由少量例子去猜想它的用法...
SSHTools - API設計和文件也相當不錯,同樣支援SSH2和SFTP。可惜作者己轉去開發賣錢的SSH工具,這個open source版本己數年沒有更新了。
Ganymed-SSH2 - 支援SSH2和多種算法,自行實現了各種加密方法 (不需要JVM的support),相當實用的library。不過這個Library還未完成,還沒有SFTP的功能。
MindTerm 1 - 一個完整的SSH1 Client,不過己經完全過時了,新版本是收費軟件。
結論:總合來說只有Jsch和Ganymed-SSH2是可用的,如果要使用SFTP那Jsch是必然之選。
參考連結:
OpenSSH Alternatives for Java
Posted in Tech | 2 Comments »
hong_kong, search, security at March 12th, 2006 by 小影
著名股評人David Webb在網路搜尋資料時,偶然發現警監會的投訴人資料庫竟被公開放在網路上。由於他懷疑資料可能由警方外泄,他把事情向廉署報告。後來發現約2萬名曾經投訴警察的市民的個人資料,包括姓名、地址、身分證號碼,甚至刑事紀錄,都己在網路上流傳。
雖然放置該檔案的伺服器在事件曝光後己經停下來,但在google的網頁快取中仍都可找到有關資料。事件引起了傳媒、議員以至警方的高度關注,究竟資料如何外泄仍有待調查,不過這事再一次顯示出強大搜尋器的可怕!
我們不能排除黑客固意把資料放在網站上的可能性,但更可能是存放資料的人根本沒有想過收藏得如此隱密的檔案居然被人找到了。這也正是網路的「超文本」(網頁)和傳統文件的最大分別:所有的網頁和其他的網頁可以只是一頁之隔。只要有公開的網頁連結到另一個網頁,Google就有本事把文件索引得清清楚楚,就如作者同把它放在頭版一樣。事實上無數人或公司把私人資料放在互聯網上,在google中搜尋個人資料易如反掌,保安專家在數年前己經大聲疾呼這種危機了。
如果用戶自行外泄資料自然怪不了人,但如果是被信任的第三方(如這次的警監會)又如何?很惟憾答案很可能是「無能為力」。由Google Search History到Google Desktop Search我們一直用私隱換取方便,然而這些方便其實有更多我們看不到的代價。不久之前還聽到google想把用戶一切資料放在google伺服器中的計劃 (這個計劃也是由搜尋器中意外地外泄的!),我們實要更小心決定「方便」和「安全」的底線要定在那裏。
相關連結
警監資料泄網上 2萬投訴人曝光 姓名 地址 身分證號碼被公開 - Yahoo! 新聞
喃喃自娛 » 互聯網保安
Posted in Tech, times | 3 Comments »
