在《上篇》中，我们着重讨论了消息的保护等级如果在契约中定义，定义在不同契约（服务契约、错误契约和消息契约）中的消息保护等级具有怎样的层级关系，以及在默认情况下各种绑定采用怎样的保护等级。在下篇中，我们进一步来探讨消息保护等级和绑定的关系。 一、契约的保护等级为绑定进行消息保护设置了“最低标准” 二、显式地将保护等级设置成ProtectionLevel.None与没有设置保护等级有

到目前为止，对于WCF安全传输的三个方面，我们已经对认证进行了详细的介绍，现在我们来关注另外两个话题：消息的一致性和机密性，两者又统称为消息保护（Message Protection）。消息的安全等级指的是对整个消息或者消息的某个部分事实安全保护采用的等级。按照级别的由低到高，WCF支持如下三种不同的安全等级。在WCF的应用编程接口中，消息保护级别通过如下定义的ProtectionLevel枚举表

前面介绍Windows认证和用户名/密码认证这两种典型的客户端认证模式，我们最后来介绍最后一种客户端认证方式，即客户端凭证类型为X.509证书时服务端采用的认证，简称为证书认证。我们照例先看看看客户端证书凭证如何设置设置。 一、客户端证书凭证的设置 在服务认证一文中，我们知道了基于X.509证书证书的服务凭证通过X509CertificateRecipientServiceCredential

这是我们的天才Lauri Tulmin处理的一个有趣的技术支持的故事。问题看起来是Wicket里的JRebel导致的ArrayIndexOutOfBoundsException异常，很罕见。经过一些分析调查，他发现这个异常最先是由下面的Wicket代码抛出的： private final Map<IModifiable, Entry> modifiableToEntry = new

在上周五一个安全会议上披露了微软ASP.NET的一个安全漏洞，利用该漏洞攻击者可以请求并下载一些ASP.NET Web.config文件，攻击者可以发送密文并根据默认错误页信息来得到Machine Key。微软目前并没有新的补丁下载，但ScottGu在自己的博客中给出了一个临时解决方案，这里简单翻译一下，大家可做参考。 　　在ASP.NET 1.1 到 ASP.NET 3.5中，可以通过在Web.

新的需求 昨天发现开发的安全中心已不能够满足外部系统对其的安全访问需求，基本情况是这样的，当前公司需要开发一个反馈中心中，有一个快速反馈的功能，其中有一个需求是能够将快速反馈的通知已邮件的形式发送到相关处理人那里通知他们说，新的反馈信息来了，你们快点来处理啊。 以前设计的安全模型是以下方式： 使用部分为一个用户有一个或多个安全角色，一个安全角色包括一组活动授权，每一个活动授权包括一组授权限制。

曾经很早就在网上看到一篇关于＜asp.net虚拟主机的重大隐患＞的文章，当时并不在意，做过asp虚拟主机的朋友可能都知道，即对每一个用户都设置一个独立的服务器用户和单个目录的操作权限，能够基本上解决asp的fso问题。 　　在网上无意中发现了一个叫做webadmin的asp.net-webshell，对自己的服务器进行测试的时候，让我大吃一惊，居然对我服务器的c盘有读取的权限。以及对整个硬盘的修

结束了服务认证的介绍之后，我们接着介绍WCF双向认证的另一个方面，即服务对客户端的认证，简称客户端认证。客户端认证采用的方式决定于客户端凭证的类型，内容只要涉及基于以下三种典型客户凭证类型的认证：Windows、用户名和X.509证书。从编程的角度来讲，Windows认证是最为简单的认证方式。在这种认证方式下，客户端进程运行的Window帐号对应的Windows凭证被自动作为调用服务的客户端凭证，

一.Html安全隐患 1.CSRF攻击【漏洞】       之前外我写过一篇《浅谈CSRF攻击方式》，如果想详细了解CSRF原理及其防御之术，可以看一下。       这里简单距个例子说明一下： 存在CSRF漏洞Html代码： <form action="Transfer.php" metho

       验证流程讲述        我们首先假设一个场景：用户现在已经打开了我们的首页Default.aspx，但是有些资源只能是登录用户才可以看到的，那么如果这个用户想要查看这些资源，那么他就要登录。而且这个用户已经有了一个帐号。(我们本篇主要的话题是身份验证，

   最近在做邮件发送接口 把遇到的问题和解决方法告诉大家  希望对了解邮件的人有所帮助     原程序部分代码如下  //设置邮件信息 发件人地址、收件人地址、标题、主题  MailMessage mail = new MailMessage("xxxxxxx@sina.com", "zzzzzzz@sina.com

申明：这个帖子不是要你去干啥坏事，就是提醒一下你可能会遇到的安全性问题。 ASP.Net提供了内置的登录验证，最为常用的就是Forms验证。讲解如何配置的文章非常多，这里就不再讲如何配置使用这个验证的方式了。下面讲讲其在安全性上存在的一些被忽视的问题。其实它本身没有问题，而使用的方式上会附带出来一些问题。 本文将分三部分讲实际应用中将会遇到的安全性问题，并且加以研究，并尝试提出解决方案。 一、简单

规则提到如何防止垃圾邮件:不要把你的邮件地址放到任何一个mailto:链接中. 在与垃圾邮件恶魔做斗争的过程中我们的网页设计师和程序员总结出了一些有创意的解决办法,让我们快速的看一些这些常见方法的缺点(或多或少有一些). name [at-no-spam] website.com 问题:链接式的更方便,而且把邮件地址敲入收件人栏还有可能会出错. 联系方式 问题:你冒着这么大的风险就

上一篇演示的是绑定类型为NetTcpBinding情况下基于TLS/SSL的Transport安全模式的实现，接下来我们改用另外一种绑定：WS2007HttpBinding。对于基于HTTP的绑定，Transport安全模式的实现方式又根据寄宿方式的不同而具有一定的差异，我们首先来介绍自我寄宿的方式。 一、自我寄宿（Self-Hosting） 无论对于HTTPS还是SSL Via TCP，服务

系统入侵首先从账号权限修改开始，常见的操作有，给自己开新账号，修改已有账号权限，如：提升guest账号为管理员等，如果手工去检查账号的变化，不仅繁琐，而且会遗漏，因为有经验的黑客操作后，会清除事件日志。理想的方式是，只要服务器账号权限发生改变，就即时通知相关人员。在.net中，提供了EventLog对象，我们可以利用EventLog的EntryWrittenEvent事件来监控账号相关的操作。st

MD5或者说HASH值是一种不可逆的算法。如果需要从密文还原成明文，那么就需要对称和非对称这两类可逆算法。 首先，简单介绍下这两类算法。图9-1是对称算法的示意图： 图9-1 对称算法 在对称算法中，首先需要发送方和接收方协定一个密钥K。K可以是一个密钥对，但是必须要求加密密钥和解密密钥之间能够互相推算出来。在最简单也是最常用的对称算法中，加密和解密共享一个密钥。上图中，我们为了简单期间，使用的

      从接触Enterprise Library开始，到现在越来越感觉的Elib的强大。虽然单独看Elib里面的Block不一定是优秀的，但是作为一个整体其优势不言而喻。更重要的是Elib是MS的团队在维护，不用担心MS会把它吃掉。       这段时间一直在Elib上进行开发，Unity也是用的最多的一个Block了。由于都是在单

在接下来的系列文章中我们正是讨论关于身份认证的主题。在前面我们已经谈到了，WCF中的认证属于“双向认证”，既包括服务对客户端的认证（以下简称客户端认证），也包括客户端对服务的认证（以下简称服务认证）。客户端认证和服务认证从本质上并没有什么不同，无非都是被认证一方提供相应的用户凭证供对方对自己的身份进行验证。我们先来讨论服务认证，客户端认证放在后续的文章中。 在《从两种安全

对于常用的几种绑定类型，它们都支持怎样的安全模式，以及针对各种安全模式可以采用怎样的认证方式（通过客户端凭证类型决定），这些都在前面的一系列文章中进行了详细的介绍。接下来我们通过表格的形式对不同类型的系统预定义对不同的安全模式进行一下总结。 一、系统预定义绑定对不同安全模式的支持 下面的表格表示系统预定义绑定对不同安全模式的支持（WSHttpBinding与WS2007HttpBinding具

在前面两篇（《绑定、安全模式与客户端凭证类型：BasicHttpBinding》和《绑定、安全模式与客户端凭证类型：WSHttpBinding与WSDualHttpBinding》）中，我们详细地介绍了四种基于HTTP的绑定分别支持的安全模式，已经在相应的安全模式下可以采用怎样的客户端凭证。在本篇文章中，我们安全线相同的方式来介绍三种基于局域网的绑定，即NetNamedPipeBinding、Ne