Delphi 和 CB 的雲端技術，安全嗎？

在「都加密了，還怕什麼?」這篇有提到關於雲端技術常被探討的安全性議題。
可以知道

1. 只要採用合適的加密法以及自訂的傳輸方式，可以使雲端應用更安全。
2. 不是公開制定的協議，被駭客盯上的可能性機乎為零。

或許以 DataSnap 這種小眾市場上，稍加封裝就可以讓安全性大幅提升。
當然，Borland / EMBT 如果有開後門的話就另當別論了（笑）


以上是我對於 DataSnap 的安全性的新想法
你認為呢？

編輯記錄

關於 「不是公開制定的協議，被駭客盯上的可能性機乎為零。」這觀點，我的看法不同。
基於我個人的攻與防經驗，會不會被盯上與你用什麼加密方式沒大關係。實務被盯上的理由是:「因為你值得!」。比如說，破了你的東西可以獲得錢或物的好處; 破了可以打擊你(敵對廠商) ; 又或者破了你的東西可以得到名聲。簡單來說就是要有「所得」，所得愈高愈會被盯上。一旦你是值得被盯的目標，那麼你用自訂的，用公制的，通通都會被試圖爆破。舉個例子，當我在破解軟體註冊碼時，經常都是遇到「作者自訂的加密方式」，但照常破解，並沒有比較難。

因此，我大概只能說，當你的產品沒啥「價值」時，被駭客盯上的可能極極低 ! 我所知的駭客們，原則上不會因為你用啥方式加密來決定盯 (攻) 或不盯。

此外，對於你所引用的那篇文章，我也有點話要說 : 那作者無非僅為推open source 而說了一些 open source 的好話。事實上， open source 沒那麼神! 他說的話有點「因果不對應」，看似因與果，但事實上沒有關連性。最直的反駁例子: 前些日子 ssl 流血事件，就是 open source。我還是要重複地說: 「如果你是值得的目標，用了open source，可能死的更快，因為可以從源碼找洞，更加方便」。然而，多數而言，使用 open source 的機構，對駭客們來說比較沒價值與具挑戰性(攻非open source才被稱牛)，所以較少攻這類的組織。又好比 apple 電腦，以前幾乎不需要裝防毒軟體，感覺很強? 但事實是 apple 電腦的占有率太低，攻它沒「高價值」。但近年來 apple 電腦占有率變高很多，現在也開始不少病毒在mac os上。所以，因與果的關係往往不是表面上的。引用文中的那作者的見地，我覺得因推展開源而附會開源才安全，我覺得是一種誤謬!

===================引 用 GrandRURU 文 章===================

Delphi 和 CB 的雲端技術，安全嗎？

1. 不是公開制定的協議，被駭客盯上的可能性機乎為

或許以 DataSnap 這種小眾市場上，稍加封裝就可以讓安全性大幅提升。
當然，Borland / EMBT 如果有開後門的話就另當別論了（笑）
以上是我對於 DataSnap 的安全性的新想法
你認為呢？

------


蕭沖
--All ideas are worthless unless implemented--

C++ Builder Delphi Taiwan G+ 社群
http://bit.ly/cbtaiwan

編輯記錄

所以，被破解也是一種榮耀啦！

哈

===================引 用 aftcast 文 章===================
關於 「不是公開制定的協議，被駭客盯上的可能性機乎為零。」這觀點，我的看法不同。
基於我個人的攻與防經驗，會不會被盯上與你用什麼加密方式沒大關係。實務被盯上的理由是:「因為你值得!」。比如說，破了你的東西可以獲得錢或物的好處; 破了可以打擊你(敵對廠商) ; 又或者破了你的東西可以得到名聲。簡單來說就是要有「所得」，所得愈高愈會被盯上。一旦你是值得被盯的目標，那麼你用自訂的，用公制的，通通都會被試圖爆破。舉個例子，當我在破解軟體註冊碼時，經常都是遇到「作者自訂的加密方式」，但照常破解，並沒有比較難。

因此，我大概只能說，當你的產品沒啥「價值」時，被駭客盯上的可能極極低 ! 我所知的駭客們，原則上不會因為你用啥方式加密來決定盯 (攻) 或不盯。

此外，對於你所引用的那篇文章，我也有點話要說 : 那作者無非僅為推open source 而說了一些 open source 的好話。事實上， open source 沒那麼神! 他說的話有點「因果不對應」，看似因與果，但事實上沒有關連性。最直的反駁例子: 前些日子 ssl 流血事件，就是 open source。我還是要重複地說: 「如果你是值得的目標，用了open source，可能死的更快，因為可以從源碼找洞，更加方便」。然而，多數而言，使用 open source 的機構，對駭客們來說比較沒價值與具挑戰性(攻非open source才被稱牛)，所以較少攻這類的組織。又好比 apple 電腦，以前幾乎不需要裝防毒軟體，感覺很強? 但事實是 apple 電腦的占有率太低，攻它沒「高價值」。但近年來 apple 電腦占有率變高很多，現在也開始不少病毒在mac os上。所以，因與果的關係往往不是表面上的。引用文中的那作者的見地，我覺得因推展開源而附會開源才安全，我覺得是一種誤謬!

沒錯, 就像DOS時代的倚天中文, 看得起你才用盜版的, 同時代有一套宏碁的天龍中文, 保護的極致, 當時技術沒那麼好, 不好破, 結果下場是沒有想用, 雖然天龍中文的字型要比倚天漂亮很多,
所以多來破破我家的軟體唄!
===================引 用 GrandRURU 文 章===================
所以，被破解也是一種榮耀啦！

哈

安全有好几个部分。

网络拦截部分，在网络连接中，增加 SSL 应该可以应对。

但只要是一个 Server，总会开一个 TCP Port 接受远端的请求，然后响应请求。正常来看，远端的请求是符合你自己定义的 Protocol 的。问题是，攻击者用 TCP 连上你的 Server，发送一些完全不符合你自己定义的 Protocol 的 Data 给你。如果你的 Server 内部处理来自 TCP 的 Data 的 CODE 有问题，可能会导致缓冲区溢出的攻击。

SSL 好像也有漏洞吧？
===================引 用 pcplayer99 文 章===================
安全有好几个部分。

网络拦截部分，在网络连接中，增加 SSL 应该可以应对。

但只要是一个 Server，总会开一个 TCP Port 接受远端的请求，然后响应请求。正常来看，远端的请求是符合你自己定义的 Protocol 的。问题是，攻击者用 TCP 连上你的 Server，发送一些完全不符合你自己定义的 Protocol 的 Data 给你。如果你的 Server 内部处理来自 TCP 的 Data 的 CODE 有问题，可能会导致缓冲区溢出的攻击。