線上訂房服務-台灣趴趴狗聯合訂房中心
發文 回覆 瀏覽次數:1402
推到 Plurk!
推到 Facebook!

Delphi 和 CB 的雲端技術,安全嗎?

 
GrandRURU
站務副站長


發表:234
回覆:1654
積分:1752
註冊:2005-06-21

發送簡訊給我
#1 引用回覆 回覆 發表時間:2015-06-16 08:57:18 IP:59.120.xxx.xxx 訂閱

Delphi 和 CB 的雲端技術,安全嗎?

在「都加密了,還怕什麼?」這篇有提到關於雲端技術常被探討的安全性議題。
可以知道
  1. 只要採用合適的加密法以及自訂的傳輸方式,可以使雲端應用更安全。
  2. 不是公開制定的協議,被駭客盯上的可能性機乎為零。
或許以 DataSnap 這種小眾市場上,稍加封裝就可以讓安全性大幅提升。
當然,Borland / EMBT 如果有開後門的話就另當別論了(笑)


以上是我對於 DataSnap 的安全性的新想法
你認為呢?
編輯記錄
GrandRURU 重新編輯於 2015-06-16 09:03:47, 註解 無‧
aftcast
站務副站長


發表:81
回覆:1482
積分:1762
註冊:2002-11-21

發送簡訊給我
#2 引用回覆 回覆 發表時間:2015-06-16 13:47:37 IP:114.32.xxx.xxx 訂閱
關於 「不是公開制定的協議,被駭客盯上的可能性機乎為零。」這觀點,我的看法不同。
基於我個人的攻與防經驗,會不會被盯上與你用什麼加密方式沒大關係。實務被盯上的理由是:「因為你值得!」。比如說,破了你的東西可以獲得錢或物的好處; 破了可以打擊你(敵對廠商) ; 又或者破了你的東西可以得到名聲。簡單來說就是要有「所得」,所得愈高愈會被盯上。一旦你是值得被盯的目標,那麼你用自訂的,用公制的,通通都會被試圖爆破。舉個例子,當我在破解軟體註冊碼時,經常都是遇到「作者自訂的加密方式」,但照常破解,並沒有比較難。

因此,我大概只能說,當你的產品沒啥「價值」時,被駭客盯上的可能極極低 ! 我所知的駭客們,原則上不會因為你用啥方式加密來決定盯 (攻) 或不盯。

此外,對於你所引用的那篇文章,我也有點話要說 : 那作者無非僅為推open source 而說了一些 open source 的好話。事實上, open source 沒那麼神! 他說的話有點「因果不對應」,看似因與果,但事實上沒有關連性。最直的反駁例子: 前些日子 ssl 流血事件,就是 open source。我還是要重複地說: 「如果你是值得的目標,用了open source,可能死的更快,因為可以從源碼找洞,更加方便」。然而,多數而言,使用 open source 的機構,對駭客們來說比較沒價值與具挑戰性(攻非open source才被稱牛),所以較少攻這類的組織。又好比 apple 電腦,以前幾乎不需要裝防毒軟體,感覺很強? 但事實是 apple 電腦的占有率太低,攻它沒「高價值」。但近年來 apple 電腦占有率變高很多,現在也開始不少病毒在mac os上。所以,因與果的關係往往不是表面上的。引用文中的那作者的見地,我覺得因推展開源而附會開源才安全,我覺得是一種誤謬!

===================引 用 GrandRURU 文 章===================

Delphi 和 CB 的雲端技術,安全嗎?


  1. 不是公開制定的協議,被駭客盯上的可能性機乎為

或許以 DataSnap 這種小眾市場上,稍加封裝就可以讓安全性大幅提升。
當然,Borland / EMBT 如果有開後門的話就另當別論了(笑)
以上是我對於 DataSnap 的安全性的新想法
你認為呢?
------



蕭沖
--All ideas are worthless unless implemented--

C++ Builder Delphi Taiwan G+ 社群
http://bit.ly/cbtaiwan
編輯記錄
aftcast 重新編輯於 2015-06-16 13:53:56, 註解 無‧
GrandRURU
站務副站長


發表:234
回覆:1654
積分:1752
註冊:2005-06-21

發送簡訊給我
#3 引用回覆 回覆 發表時間:2015-06-17 11:00:44 IP:59.120.xxx.xxx 訂閱
所以,被破解也是一種榮耀啦!



===================引 用 aftcast 文 章===================
關於 「不是公開制定的協議,被駭客盯上的可能性機乎為零。」這觀點,我的看法不同。
基於我個人的攻與防經驗,會不會被盯上與你用什麼加密方式沒大關係。實務被盯上的理由是:「因為你值得!」。比如說,破了你的東西可以獲得錢或物的好處; 破了可以打擊你(敵對廠商) ; 又或者破了你的東西可以得到名聲。簡單來說就是要有「所得」,所得愈高愈會被盯上。一旦你是值得被盯的目標,那麼你用自訂的,用公制的,通通都會被試圖爆破。舉個例子,當我在破解軟體註冊碼時,經常都是遇到「作者自訂的加密方式」,但照常破解,並沒有比較難。

因此,我大概只能說,當你的產品沒啥「價值」時,被駭客盯上的可能極極低 ! 我所知的駭客們,原則上不會因為你用啥方式加密來決定盯 (攻) 或不盯。

此外,對於你所引用的那篇文章,我也有點話要說 : 那作者無非僅為推open source 而說了一些 open source 的好話。事實上, open source 沒那麼神! 他說的話有點「因果不對應」,看似因與果,但事實上沒有關連性。最直的反駁例子: 前些日子 ssl 流血事件,就是 open source。我還是要重複地說: 「如果你是值得的目標,用了open source,可能死的更快,因為可以從源碼找洞,更加方便」。然而,多數而言,使用 open source 的機構,對駭客們來說比較沒價值與具挑戰性(攻非open source才被稱牛),所以較少攻這類的組織。又好比 apple 電腦,以前幾乎不需要裝防毒軟體,感覺很強? 但事實是 apple 電腦的占有率太低,攻它沒「高價值」。但近年來 apple 電腦占有率變高很多,現在也開始不少病毒在mac os上。所以,因與果的關係往往不是表面上的。引用文中的那作者的見地,我覺得因推展開源而附會開源才安全,我覺得是一種誤謬!
P.D.
版主


發表:571
回覆:3885
積分:3672
註冊:2006-10-31

發送簡訊給我
#4 引用回覆 回覆 發表時間:2015-06-18 18:40:55 IP:36.232.xxx.xxx 未訂閱
沒錯, 就像DOS時代的倚天中文, 看得起你才用盜版的, 同時代有一套宏碁的天龍中文, 保護的極致, 當時技術沒那麼好, 不好破, 結果下場是沒有想用, 雖然天龍中文的字型要比倚天漂亮很多,
所以多來破破我家的軟體唄!
===================引 用 GrandRURU 文 章===================
所以,被破解也是一種榮耀啦!

pcplayer99
尊榮會員


發表:142
回覆:740
積分:591
註冊:2003-01-21

發送簡訊給我
#5 引用回覆 回覆 發表時間:2015-07-14 13:03:41 IP:120.236.xxx.xxx 訂閱
安全有好几个部分。

网络拦截部分,在网络连接中,增加 SSL 应该可以应对。

但只要是一个 Server,总会开一个 TCP Port 接受远端的请求,然后响应请求。正常来看,远端的请求是符合你自己定义的 Protocol 的。问题是,攻击者用 TCP 连上你的 Server,发送一些完全不符合你自己定义的 Protocol 的 Data 给你。如果你的 Server 内部处理来自 TCP 的 Data 的 CODE 有问题,可能会导致缓冲区溢出的攻击。
GrandRURU
站務副站長


發表:234
回覆:1654
積分:1752
註冊:2005-06-21

發送簡訊給我
#6 引用回覆 回覆 發表時間:2015-07-14 18:42:49 IP:211.79.xxx.xxx 訂閱
SSL 好像也有漏洞吧?
===================引 用 pcplayer99 文 章===================
安全有好几个部分。

网络拦截部分,在网络连接中,增加 SSL 应该可以应对。

但只要是一个 Server,总会开一个 TCP Port 接受远端的请求,然后响应请求。正常来看,远端的请求是符合你自己定义的 Protocol 的。问题是,攻击者用 TCP 连上你的 Server,发送一些完全不符合你自己定义的 Protocol 的 Data 给你。如果你的 Server 内部处理来自 TCP 的 Data 的 CODE 有问题,可能会导致缓冲区溢出的攻击。
系統時間:2017-11-24 21:07:59
聯絡我們 | Delphi K.Top討論版
本站聲明
1. 本論壇為無營利行為之開放平台,所有文章都是由網友自行張貼,如牽涉到法律糾紛一切與本站無關。
2. 假如網友發表之內容涉及侵權,而損及您的利益,請立即通知版主刪除。
3. 請勿批評中華民國元首及政府或批評各政黨,是藍是綠本站無權干涉,但這裡不是政治性論壇!