Mys*_*tic 10 language-agnostic security
大多数关于安全性的文献都谈到了在开始研究机制和实施之前定义安全策略的重要性.虽然这似乎是合乎逻辑的,但尚不清楚定义安全政策的真正含义.
这里有没有人有定义安全策略的经验,如果有的话:
1)这样一个定义的结果是什么?这种政策的形式,例如分布式系统,是否包含一系列关于系统安全要求(允许和不允许)的声明的文件?
2)策略可以采用机器可读的形式(如果有意义的话),如果是这样,它如何使用?
3)如何维持这样的政策?策略是否作为系统上的文档(与所有其他文档一样)维护?
4)是否有必要在代码中引用政策文件?
布赖恩
Cam*_*tin -1
如果必须设计安全策略,为什么不考虑用户和权限呢?
那么,假设您有某个东西的 API。考虑对用户进行某种安排,将他们划分为他们想要执行的操作以及执行此操作所需的最低权限。因此,如果某人只需从数据库中读取文档,API 本身将不允许用户执行其他操作。
想象一下这是一个 Web JSON API。用户点击按钮,JS 处理请求并发送。通常它工作正常,但如果有人篡改请求,服务器只会返回一些错误代码,因为它只将用户可以执行的一些操作列入白名单。
所以我认为这一切都归结为用户和权限。
| 归档时间: |
|
| 查看次数: |
283 次 |
| 最近记录: |