; 12 使用 SSL 维护应用程序的安全
  SSL （Secure Sockets Layer）协议是由Netscape首先发表的网络资料安全传输协定,其首要目的是在两个通信间提供秘密而可靠的连接。该协议由两层组成，底层是建立在可靠的传输协议（例如：TCP）上的是SSL的记录层，用来封装高层的协议。SSL握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴别。SSL的先进之处在于它是一个独立的应用协议，其它更高层协议能够建立在SSL协议上。
  SSL3.0 协议作为 Web 服务器安全特性，提供了一种安全的虚拟透明方式来建立与用户的加密通讯连接。SSL 保证了 Web 内容的验证，并能可靠地确认访问被限制的 Web 站点的用户的身份。
  　　　通过 SSL，您可以要求试图访问被限制的 ASP 应用程序的用户与您的服务器建立一个加密连接；以防用户与应用程序间交换的重要信息被截取。
  比如好多基于WEB的ASP论坛都会提供注册用户互相发送信息的服务，这种信息是明文传送的，如果在网吧就很容易给人监听到。如果加了一层SSL认证，就会防止发送信息被监听的可能。
  
  13 客户资格认证
   控制对您的 ASP 应用程序访问的一种十分安全的方法是要求用户使用 客户资格登录。客户资格是包含用户身份信息的数字身份证，它的作用与传统的诸如护照或驾驶执照等身份证明相同。用户通常从委托的第三方组织获得客户资格，第三方组织在发放资格证之前确认用户的身份信息。（通常，这类组织要求姓名、地址、电话号码及所在组织名称；此类信息的详细程度随给予的身份等级而异。）
   每当用户试图登录到需要资格验证的应用程序时，用户的 Web 浏览器会自动向服务器发送用户资格。如果 Web 服务器的 Secure Sockets Layer (SSL) 资格映射特性配置正确，那么服务器就可以在许可用户对 ASP 应用程序访问之前对其身份进行确认。
   作为 ASP 应用程序开发人员，您可以编写脚本来检查资格是否存在并读取资格字段。例如，您可以从资格证明中访问用户名字段和公司名字段。Active Server Pages 在 Request 对象的 ClientCertificate 集合中保存资格信息。
   必须将 Web 服务器配置为接受或需要客户资格，然后才能通过 ASP 处理客户资格；否则，ClientCertificate 集合将为空。
  
  14 ASP的加密
   由于ASP脚本是采用明文（plain text）方式来编写的，所以应用开发商辛苦开发出来的ASP应用程序，一旦发布到运行环境中去后，就很难确保这些“源代码”不会被流传出去。这样就产生了如何有效地保护开发出来的ASP脚本源代码的需求。
   官方加密程序：从微软免费下载到sce10chs.exe 直接运行即可完成安装过程。安装完毕后，将生成screnc.exe文件，这是一个运行在DOS PROMAPT的命令工具。
  运行screnc – l vbscript source.asp destination.asp生成包含密文ASP脚本的新文件destination.asp用记事本打开看凡是“<%和%>"之内的，不管是否注解，都变成不可阅读的密文了，但无法加密中文。
  几种ASP源代码保护方法：
  1，“脚本最小化”即ASP文件中只编写尽可能少的源代码，实现
  商业逻辑的脚本部分被封装到一个COM/DCOM组件，并在ASP脚
  本中创建该组件，进而调用相应的方法（methed）即可。应用开发者
  动手开发ASP脚本应用之前就可按此思路来开发，或者直接用ASP
  脚本快速开发出原型系统后，针对需要保护、加密的重要脚本用
  COM/DCOM组件来重新开发、实现并替换。
  2，“脚本加密”即ASP脚本仍直接按源代码方式进行开发，但在发布到运行环境之前将脚本进行加密处理，只要把加密后的密文脚本发布出去。即在ASP.DLL读取脚本这个环节加入密文还原的处理。实现这种思路的方法有两种：一是自行开发一个ISAPI的IIS过滤（filter）块，在ASP.DLL之前勾连（hook）对ASP脚本文件的读取，以便把文件系统读出的密文还原成ASP.DLL可以解释的明文；
  方法二是直接由ASP.DLL提供对ASP脚本加密处理的支持。微软在新版本的Vbscript.dll jscript.dll中提供这种成为MS script encode技术的支持。这样，无论是客户端的Vbscript jscript（包括WSH脚本等），还是服务器端的Vbscript jscript （即ASP脚本）都可以支持加密处理。
  MS script encode 技术具体的实现思路包括以下两个方面：一是
  加密过程，通过提供一个实用程序对包含ASP脚本源代码的文本文件
  进行扫描，找出其标记为<script language = "vbscript.encode">或<script
  language = "Jscript.encode">；二是还原过程，IE或ASP.DLL等执行
  脚本时是统一通过Vbscript.dll jscript.dll来解释执行的，所以它们都
  能同时地、透明地支持明文和密文的脚本。
  　　总之，如果采用第一种思路，要么就自行在开发过程中遵照进行，
  要么可以考虑选择自动转换成visual basic 编译代码的通用的、实用工具；采取第二种思路的化，要么就自行开发IIS ISAPI过滤模块，要么可以考虑直接采用MS

上一页  [1] [2] [3] [4] [5] [6] 下一页