云南时时彩近100期走势 云南时时彩计划软件 云南时时彩计划软件手机版下载 云南时时彩官网平台 云南时时彩奖项规则 云南时时彩三星基本走势图 云南时时彩论坛 云南时时彩娱乐平台下载 云南时时彩彩开奖结果 云南时时彩官方 云南时时彩中和值走势 云南时时彩简介 云南时时彩彩开奖 云南时时彩娱乐平台 云南时时彩走势20选5

神活腁倒阶韭-Flash http://bbs.flash2u.com.tw

神活腁倒阶韭 琌盡猔於跌谋/WEB莱用秨祇的阶韭
共1 玥內甧, 每頁陪示 10 玥, 頁絏: [1]
[聅凝完俱版]

夹肈:建篶 Windows Store App 的安全程佳暗猭

1加
TWG 祇表於:2013-1-3 19:06:00
絋玂客戶放心地使用莱用琌我們為 Windows 莱用坝店莱用建立莱用平台?#20133;D璶目的之一。我們希辨客戶絋獺莱用盢按客戶箇戳的方式工作,能镑籔其它莱用和坑共存且能镑秆埃安杆爱瞓。客戶獺任的建立膀於多贺因素:Web Windows 莱用坝店上琜,到礚毁锚安杆和秆埃安杆,再到使用位元竚癟息和呼隔尼紇繷之玡紉高客戶同種,以及用於代刚莱用琌否才合 Windows 莱用坝店矗交兵件的 Windows 莱用粄靡工具包。客戶獺任不琌膀於任何虫一功能、瑈祘或珇借莉眔?#39608;A它侯合了多贺因素,因此,客戶獺任砮穿俱個狠到狠瑈祘。我們在矗供可綼、可獺的莱用痴文中已冈灿介残了我們所蹦取的惫琁。

瞷在,我們希辨具砰癚阶一下有闽安全莱用的杠肈,如何才能琵眤的莱用墓眔客戶獺任。讽?#27694;?#33713;用硄盽穦纗存重璶的客戶戈料,Web癩叭癘魁到不可蠢代的個人酚片,不一而足。癸於砛多客戶來弧,硂些戈料籔其生活息息相闽,他們希辨莱用能镑玂臔戈料的安全。即獽莱用纗存的戈料獶盽少,客戶仍礛希辨莱用能镑按砞璸的方式工作,不穦干耑其它莱用的磅行。

在莱用中龟作安全程佳暗猭癸於墓眔客戶獺任、硋亥矗蔼客戶骸種度至闽重璶。幸笲的琌,盽用的安全程佳暗猭常獶盽虏虫易绢列,為眤的莱用加入安全玂臔並不太螟。此外,莱用在盡用的莱用甧竟薄挂中磅行,可以盢赣莱用及其戈料籔其它莱用筳瞒。莱用甧竟為眤的莱用矗供盡用的吏挂,包珹用於癘拘砰戈料和砞定的盡用癘拘砰空丁。

Windows 8 和 Visual Studio 2012 矗供了一系列 API、北制兜和工具,可以程大限度地搭少可能存在的莱用簗瑌,絯秆盽見的安全拜肈。讽礛,任何平台常礚猭暗到完美礚缺,但我們相獺,盢硂些安全惫琁秈绢列有效的舱合穎皌,必盢能舱建出城出的莱用,我們临盢膥尿癸莱用平台秈绢列改秈。在本痴文中,我們介残了一些糤眏莱用安全性的技巧和程佳暗猭,腊助眤為客戶矗供更加安全可綼的砰喷。

我們瞷在碞秨始吧!

技巧 1 – 使用 Visual Studio 秈绢列絪亩

Web Windows 8 秨始,我們箇砞币用了砛多瞷有的安全程佳暗猭,眤礚惠秈绢列任何砞定,只惠使用 Visual Studio 2012 秈绢列絪亩即可。在使用 Visual Studio 2012 秈绢列絪亩時,箇砞薄猵下,瞷在盢為莱用內?#20133;?#35776;祘式絏币用以下安全技砃,以玂臔莱用免受盽見攻阑的威脅:/GS、ASLR、DEP 和 SeHOP。
技巧 2 – 程大限度地罽搭莱用功能

莱用可以依次羘明各兜功能,定竡莱用籔不同戈方和杆竚的互笆方式。叫猔種,眤惠璶根沮莱用惠求定竡程小?#20133;\能栋,絋玂莱用以必惠的程小疭舦磅行。硓筁使用程小?#20133;\能栋,可以搭少莱用中可砆利用的簗瑌计秖。

例如,「產畑和工作呼隔」功能允砛莱用存取本地呼隔中的筿福,比如?#24811;?#21333;笴栏。此兜功能癸於本地狝叭的箇祇绢列代刚也獶盽有用,但硄盽並獶莱用必不可少?#20133;\能,且可能旧璓莱用砆不受獺任?#20133;a呼隔(例如,咖柏店或诀初的礚絬钡入翴)所利用。叫考納刪埃赣功能,锣而使用环狠伺狝竟來磅绢列代刚,环狠伺狝竟可以為莱用重瞷瞷龟世界的互笆吏挂,代刚效狦更非絋。如狦眤使用了「產畑和工作呼隔」功能,在矗交莱用申叫莱用坝店粄靡之玡,叫叭必盢其刪埃。


瓜片:


功能

蹦用程小功能?#34108;?#33713;用 – 只有具称 Internet 存取功能!

叫猔種,「企穨身份喷靡」、「共用使用者咎靡」和「郎案祘式畐」功能盡門皐癸企穨存取和內碠郎案(例如,秨币的郎案惠璶秨币所包含的其它郎案)而砞璸,惠璶公司眀戶才能盢包含硂些功能的莱用矗交至 Windows 莱用坝?#34180;C大多计莱用硄盽不惠璶使用硂些功能,但癸於惠璶存取企穨戈方?#20133;?#31336;莱用來弧,硂些功能琌必惠?#39608;C硂些功能受到腨格限制,必斗钡受肂外 Windows 莱用坝店糵琩才能使用硂些功能。
技巧 3 – 使用郎案匡取竟代蠢祘式畐功能

在技巧 2「程大限度地罽搭功能」的膀娄上,眤硄盽穦氨用膀於郎案的所有功能。如狦眤的莱用只有惠璶存取少秖郎案,可以允砛使用者使用郎案匡取竟來匡拒郎案。郎案匡取竟可以虏化莱用祘式絏,允砛使用者淮肞地弘絋存取所惠的郎案,而不必币用肂外莱用功能。癸於所有莱用來弧,郎案匡取竟常琌相同?#39608;A因此,讽使用者首次使用眤的莱用時,他們盢能镑即刻剪眡郎案匡拒癸杠方遏,並在匡拒所惠郎案後快硉肚回眤的莱用。


瓜片:


郎案匡取竟

  陪示瓜片祘式畐的郎案匡取竟

在 JavaScript 中

    var picker = new Windows.Storage.Pickers.FileOpenPicker();
    openPicker.viewMode = Windows.Storage.Pickers.PickerViewMode.thumbnail;
    picker.fileTypeFilter.replaceAll([".png", ".jpg", ".jpeg"]);
    picker.suggestedStartLocation =  
       Windows.Storage.Pickers.PickerLocationId.picturesLibrary;

在 C# 中

    using Windows.Storage;
    using Windows.Storage.Pickers;

    FileOpenPicker openPicker = new FileOpenPicker();
    openPicker.ViewMode = PickerViewMode.Thumbnail;
    openPicker.SuggestedStartLocation = PickerLocationId.PicturesLibrary;
    openPicker.FileTypeFilter.Add(".png");
    openPicker.FileTypeFilter.Add(".jpg");
    openPicker.FileTypeFilter.Add(".jpeg");

例如,眤可以按酚以下原玥來匡拒続讽?#20133;\能:如狦眤的莱用允砛使用者匡拒瓜片,玥莱使用郎案匡取竟,而不璶使用「瓜片祘式畐」功能。如狦眤的莱用惠璶以糶祘式方式完俱存取琘個祘式畐,例如,用於冀放音贾祘式畐中內甧的音贾冀放竟,玥可以使用「音贾祘式畐」功能來存取音贾祘式畐。如狦眤的莱用惠璶存取郎案,玥莱始沧使用郎案匡取竟。
技巧 4 – 不璶獺任环狠戈料

癸於使用 JavaScript 絪糶的莱用,必斗喷靡並稸重矪瞶不受獺任的 Web 內甧。莱用中包含的 HTML 頁面硄盽在莱用?#20133;a薄挂中磅行,本地薄挂允砛存取 Windows 磅行時。Iframe 中陪示的环狠頁面在莱用的 Web 薄挂中磅行,Web 薄挂礚猭存取 Windows 磅行時。璶罙秆眤的莱用中哪些元件在呼叫 Windows 磅行時 - 拨?#39608;A眤也不希辨不冈的 Internet 站台北制眤的莱用,不琌盾?(氮案:琌?#39608;A硂令人稰到很不安全。)埃獶眤能镑絋粄 API 块入來方自眤自己的硁砰包,否玥眤的莱用莱磷免呼叫磅绢列 eval()、setTimeout() 和 setInterval() 单竲本的 API。如狦眤惠璶使用硂些 API,叫叭必癸竲本功能秈绢列蝶估,只惠向硂些 API 肚患一些戈料,即可非絋罙秆竲本的篶硑方式。

如狦璶矪瞶 JSON 戈料,叫使用 JSON.parse 來代蠢 eval(),玡者比後者更安全,不穦旧璓眤的莱用面羬竲本猔入風繧。

在 JavaScript 中

    var js;
    var contact = JSON.parse(jsontext);
    console.log(contact.surname + ", " + contact.firstname);

    // Output: Ekelund, Aaren

程後,临莱使用 innerText 或 toStaticHTML 癸莱用中的 Web 內甧秈绢列矪瞶以刪埃可磅绢列內甧。此矪瞶祘序可以刪埃或氨用莱用中用於陪示 Web 內甧的竲?#24359;C

在 JavaScript 中

    div.innerHTML = window.toStaticHTML(data);
    div.innerText = data;

硂些函式可以絋玂任何不受獺任的竲本或危繧內甧常礚猭在眤的莱用內磅行。材一個函式盢剝瞒竲?#24359;A材二個函式盢剝瞒的竲本锣传為獶磅绢列文字。鲸恨大多计莱用盢穦硓筁莱用內的块入逆位元和肚参 API(例如,XMLHttpRequest 癸钩)來存取环狠 Web 內甧,但不璶忘癘,Web 內甧临可以硓筁其它硚畖(例如,「共用」禬級按秙)秈入眤的莱用。
技巧 5 – 叫勿允砛 Web 存取 WinRT

箇砞薄猵下,Windows 8 只有允砛莱用包中的內甧存取 Windows 磅行時 (WinRT)。如狦眤的莱用钡受來自 Web 的块入或戈料,叫勿允砛赣戈料北制莱用癸任何 WinRT API 的使用。眤的客戶希辨自己相獺莱用穦按箇戳方式工作,並且他們希辨眤能镑玂持硂份獺任。如狦眤璶存取站台,玥莱考納在 iframe 沙舶中陪示赣站台,硂妓盢能镑阻止在眤的莱用中磅行竲?#24359;B矗交表虫以及磅行其它內甧。

如狦眤的莱用磅绢列來自 Web 的內甧,玥赣內甧盢能镑存取眤的莱用的砞定和戈料,或琌存取眤的莱用可以存取的郎案。硂癸於使用 JavaScript 絪糶的莱用尤為闽龄,因為此摸別莱用更甧易磅行來自 Web 的竲?#24359;C例如,如狦眤使用 JavaScript 絪糶了一個莱用,在莱用中使用 postMessage 向 WinRT API 或打包的祘式絏肚患戈料,叫叭必癸计沮來來方秈绢列喷靡,絋玂戈料來自可獺來來方。

在 JavaScript 中

    window.attachEvent('onmessage',function(e) {
        if (e.origin == 'https://www.contoso.com/') {
            …
        }
    });

有闽向使用 JavaScript 絪糶的莱用中穝糤 Web 內甧的更多癟息,叫浪跌Web Web 狝叭俱合內甧和北制兜莱用示絛。
技巧 6 – 莉眔粄靡:癸莱用和客戶秈绢列身份喷靡


膀於冻的莱用功能伐為眏大,莱用中的琘些元件惠璶存取冻中的狝叭,但在籔冻狝叭秈绢列身份喷靡時惠璶稸重以磷免垒用。钡受使用者块入的冻狝叭莱始沧醚別並喷靡使用者和莱用的身份。硓筁籔受獺任的冻狝叭喷靡莱用和使用者的身份,眤可以罙秆到有人正在利用箇料中?#20133;?#32075;莱用合猭地使用眤的狝叭。磝搐使用者身份的一兜附加好矪琌,一旦祇瞷垒用,眤可以淮肞地侩醚並刪埃赣使用者祇佈的所有內甧。

眤可以使用 GetAppReceiptAsync 癸莱用秈绢列身份喷靡,以絋粄赣莱用琌Web莱用坝店莉取?#39608;A且具有有效的莱用坝店收沮。如狦局有後狠伺狝竟,眤临可以硈絬到以下 URL,使用赣收沮磅绢列秈一步的身份喷靡,以絋粄收沮帽名的公共咎靡,其中<CertificateId> 琌收沮中包含的CertificateId 。

https://go.microsoft.com/fwlink/p/?LinkId=246509&cid=<CertificateId>

WinRT 矗供了各贺虏獽易绢列的方猭供用戶狠莱用籔冻狝叭喷靡使用者身份,包珹 Web 身份喷靡代瞶(用於 OAuth 妓式的身份喷靡)、粄靡玂繧絚(用於癘拘砰盞絏和小型加盞值)和共用咎靡癘拘砰跋(用於用戶狠咎靡身份喷靡)。在矪瞶身份喷靡及其粄靡時,上瓃所有匡兜常琌墓眔客戶獺任的有效方猭。
矗示 7 – 喷靡郎案、協定和蹲入的戈料


砛多莱用穦建立並更入郎案,允砛硓筁協定秈绢列币笆,或琌矗供戈料蹲入功能。籔上文介残的环狠 Web 內甧摸別似,此戈料可能穦綝到縴改,或琌來自可獺度不蔼的來來方,不值眔獺任。癸於惠璶秨币郎案、蹲入戈料或钡受共用內甧的莱用,在使用內甧之玡,必斗仔灿地癸內甧秈绢列喷靡。

喷靡祘序取決於块入摸別型以及莱用癸內甧的使用方式,可能獶盽虏虫,也可能伐為狡馒。例如,必斗癸计沮祘式畐琩高所使用的块入秈绢列喷靡以磷免 SQL 猔入攻?#24359;A戈料畐硄盽盢磅绢列所钡收到的所有有效琩高,如狦块入中包含碿種內甧,玥可能穦旧璓戈料洩臩、戈料砆縴改甚至砆刪埃。

郎案、協定、蹲入的戈料和共用內甧可能包含禬出莱用箇戳的不受獺任的內甧。郎案和協定琌不受獺任的块入的程盽見形式,不筁,临莱猔種芭禟茂和Web「共用」禬級按秙钡受內甧,因為客戶可能穦Web Web 聅凝竟叫求各贺各妓的不受獺任內甧。包含疭別庇稰戈料的莱用(例如,個人癩叭莱用)莱獶盽小心不受獺任的內甧,因為硂些內甧有舦存取癸客戶具有蔼度基值的癟息。
技巧 8 – 使用 HTTPS 硈絬


讽自己不絋定癟息肚块的安全性時,那碞蹦用加盞硈絬吧!HTTPS 硈絬矗供了籔环狠伺狝竟的身份喷靡,眏疨崩滤眤蹦用 HTTPS 硈絬以絯秆膁篒攻?#24359;C鲸恨在產畑呼隔中,可能並不存在膁篒攻阑拜肈,但在瞷龟世界中仍礛存在大秖未加盞的礚絬呼隔,在硂些呼隔中使用夹非 HTTP 硈絬很不安全。

癸於夹非 HTTPS 硈絬,环狠站台惠璶具称由 CA 矗供的咎靡,並砞定為允砛 HTTP 硈絬。Web Windows 8 秨始,莱用可以使用自帽名咎靡利用 SSL 硈絬安全地籔後狠伺狝竟秈绢列身份喷靡。硂種味帝即使沒有 CA 矗供的咎靡,眤也可以使用 HTTPS 硈絬。如狦眤此玡出於成本考納而磷免使用 HTTPS,那或瞷在有了自帽名咎靡,再膀於此瞶由而匡拒在莱用中蹦用不安全的 HTTP 硈絬肚块戈料碞站不住竲了。

璶使用自帽名咎靡,眤可以在 Visual Studio 2012 中硓筁睲虫砞璸竟向莱用中穝糤咎靡羘明,也可以直钡向莱用场件睲虫 XML 中穝糤咎靡羘明。眤临惠璶砞定後狠伺狝竟以使用相同的咎靡;癸於 IIS,眤可以按酚一個虏虫瑈祘來建立並砞定眤的站台。繦後,眤的莱用盢自笆使用打包的咎靡癸籔 Web 伺狝竟的硈絬秈绢列身份喷靡。

程後,如狦眤的莱用琌蹦用 JavaScript 絪糶?#39608;A眤也可以在莱用中使用以下 <meta> 夹乓來叫求 HTTPS 硈絬:

    <meta name="ms-https-connections-only" c/>

蚌緄獺任

我們希辨 Windows 8 能镑縀祇眤的秨祇*,在祏戳內舱建出大秖城出莱用併行布到 Window 莱用坝店中。上文癚阶的技巧和程佳暗猭癸於向客戶矗供更加安全可綼的莱用至闽重璶,可以糤眏客戶癸莱用绢列?#34108;?#29562;苦。安全性琌客戶癸所有莱用的一兜重璶戳辨指夹,癸於墓眔良好蝶基和玂臔庇稰癩叭戈料至闽重璶。

我們在莱用平台上投入巨大的人力和物力,旨在虏化 Windows 8 和 Windows 莱用坝店莱用的砞璸,琵客戶癸刚用和潦禦莱用充骸獺心。我們相獺莱用平台必盢能镑腊助眤舱建出瞏受客戶尺稲?#20133;i獺莱用。

如狦眤希辨罙秆有闽莱用安全性的更多癟息,叫綷弄秨祇安全莱用白皮書、安全秨祇生命秅戳初厩者工具包以及存取安全秨祇中心罙秆程穝獺息。

谅谅!

-- Windows 秈顶盡案竒瞶 Scott Graham

-- Windows 秈顶盡案竒瞶 Crispin Cowan

-- 可獺任璸衡首畊硁砰安全工祘畍 David Ross
共1 玥內甧, 每頁陪示 10 玥, 頁絏: [1]

言阶純妮祇表者個人種見,籔本阶韭立初礚闽,文彻版舦耴原作者所有,窽止未甭舦锣更。
不舧迎獶猭硁砰,序腹,及受帝作舦猭玂臔的文彻单戈癟
阶韭內甧為使用者即時上更,阶韭籔本人盢不癸任何戈方或內甧璽癬任何相闽猭律砫任
猭律臮拜:台芖猭律呼 糂孟繟律畍
內甧不讽投禗,叫筿秎至flash2u@gmail.com

Powered By 神活腁倒 Version 8.2.0
Processed in .03125 s, 2 queries.
堁鰍奀奀粗募蔣ぶ癹
云南时时彩近100期走势 云南时时彩计划软件 云南时时彩计划软件手机版下载 云南时时彩官网平台 云南时时彩奖项规则 云南时时彩三星基本走势图 云南时时彩论坛 云南时时彩娱乐平台下载 云南时时彩彩开奖结果 云南时时彩官方 云南时时彩中和值走势 云南时时彩简介 云南时时彩彩开奖 云南时时彩娱乐平台 云南时时彩走势20选5
銘模扦頗勤峎資嫌坢啎聆 ag淩冾硈 奀賜藷眳蔚濂APP も慫橇倳藹膛尪撮夔恁寁 梨⑩芼ぢmg等儂唳 藻馨貊勦酗 假閣奀奀粗辦3羲蔣瘍鎢 怜俙懦堎芞え 爵嫌親⑦桮謨 須ぢ紳騇婓盄堐黍