自救必看三大準則

Privacy Violation

問題點

處理機密資訊或方法有誤,導致洩漏使用者隱私資訊或報錯,且是不合法的行為。
建議
當安全性和隱私要求發生矛盾時,通常隱私應該放在較重要的位置。為要滿足此要求,並仍維持所需的安全資訊,應在退出程式前清除所有的隱私資料。 為加強隱私管理,應改進發展並嚴格遵守內部的隱私規定。此規定應當具體描述應用程式如何處理隱私資訊。如果您的組織受到聯邦或者州法律的規範,請確定您的隱私規定可符合法律的要求。即使您的組織沒有受到規範,您必須要保護客戶的隱私資訊,以免失去客戶信賴。 保護隱私資訊最好的方法就是減少隱私資料的暴露。不應允許應用程式、程序處理以及員工存取任何隱私資料,除非是他們執行工作時所需。遵守最低授權權限原則,不應授予使用者超出其所需的權限,存取資料的權限應該儘可能在最小範圍內。 對於行動應用程式,請確保其永遠不會向裝置上執行的其他應用程式傳送任何敏感資料。需要儲存私人資料時,應一律予以加密。對於 Android 以及使用 SQLite 資料庫的任何其他平台,SQLCipher 是不錯的替代方案。SQLCipher 是 SQLite 資料庫的擴充,可為資料庫檔案提供透明的 256 位元 AES 加密。因此,可將憑證儲存在加密的資料庫中。

留言

張貼留言

這個網誌中的熱門文章

IIS - ASP.NET 網站基本優化設定

圖片
  運行 ASP.NET 基本上都是掛載在 IIS 上面,但 IIS 預設的設定,並不適合 24 小時不中斷的營運系統。 如果沒有適當的調整,可能會造成使用者的感受不佳,而你又偏偏不會遇到。 本篇將介紹 IIS 運行 ASP.NET 網站的基本優化設定。 應用程式集區 打開 IIS 管理員,到應用程式集區,選擇網站後,開啟進階設定: 1. 一般 (General) 佇列長度 (Queue Length) 預設值是  1000 ,當封包數量在同一時間到達該指定值,之後的 Request 都會變成 HTTP Status 503 Service Unavailable。 例:當有同時間有 1001 個 Request 一起送到 IIS,第 1001 個 Request 會直接回傳 503,不會進到 ASP.NET 處理。 也不是無限大就好,也是要看伺服器等級。 假設調成 10000,也真的有同時 10000 的量,可能會演變成  CPU High  的問題。 因此,這個欄位沒有建議值,網站封包量很大才有需要調整這個欄位。 啟動模式 (Start Mode) 預設值是  OnDemand ,當網站執行回收後,會等到第一個 Request 進來,IIS 才會把網站啟動。 所以第一個連上來的使用者會等到比較久的時間,ASP.NET 初始化完成後,使用者才會得到回應。 建議設定成  AlwaysRunning ,當網站執行回收後,IIS 就會直接啟動 ASP.NET。 2. 回收 (Recycling) 固定時間間隔 (Regular Time Interval) 預設值是  1740 ,也就是每隔 29 小時 IIS 就會把該網站重啟。 很可能重啟當下使用者正在操作,對於要 24 小時不中斷的系統來說,這真的是很不妥當的事情。 如果 ASP.NET 的 Session Mode 是用 InProc,網站重啟使用者就全被登出了。 建議設定成  0 ,也就是關閉定期重啟網站的設定。 如果網站真的需要定期重啟,可以在 特定時間 (Specific Times)  設定,固定每天哪些離峰時間做重啟的動作。 3. 快速失敗保護 (Rapid-Fail Protection) Enabled 預設值是...
閱讀完整內容

Node.js 部署至 IIS 站台

圖片
基於公司網路架構的規定 記錄一下自己是如何成功將手邊的 Node.js 部署到 iis 上。 一、安裝工具 以下三樣,順序固定 .安裝 node-v14.17.5-x64.msi 的node工具 https://drive.google.com/file/d/1oMVvy0p4ViP7v-EMA8vPqIghy_ulW_Af/view?usp=sharing .安裝 iis 的 rewrite_amd64_en.US.msi https://drive.google.com/file/d/1O1J-NuiGpNywGesuqCeSEcFSfjKluFzN/view?usp=sharing .安裝 iisnode-full-v0.2.21-x64.msi https://drive.google.com/file/d/1ijIW1Zz4rXrkW8F-aJQ5AA4vDromFfog/view?usp=sharing 二、建立IIS站 .首先建立「應用程式集」 -識別:NetworkService 三、建立 web.config .兩個方式 -自己為站台的情形,貼上以下內容 <configuration> <system.webServer> <!-- indicates that the server.js file is a node.js application to be handled by the iisnode module -->  <handlers>   <add name="iisnode" path="server.js" verb="*" modules="iisnode" />  </handlers> <rewrite>  <rules>   <rule name="sendToNode">    <match url="/*" />    <action type="Rewrite" url="server.js" />   </rule...
閱讀完整內容

遇見 Parameters 參數上限之大量資料寫入方法

圖片
遇到 Too many parameters were provided in this RPC request. The maximum is 2100. 的狀況時的處理模式 前言: 因為導入資安專案後,同仁已經針對 SQL 語法改採用 Parameters.Add 的方法撰寫。 但近來 HR 同仁因為有大量資料寫入的需求,遇到 Parameters 參數使用超過  2100  個的上限的例子 (如下圖) The incoming tabular data stream (TDS) remote procedure call (RPC) protocol stream is incorrect. Too many parameters were provided in this RPC request. The maximum is 2100.  以下紀錄兩個方法,處理這問題: Parameters.Add 批次寫入。 SqlBulkCopy 大量資料寫入。 實作(一) Parameters.Add 批次寫入: 一樣使用 Parameters.Add,但會依 Parameters.Count 批次寫入資料 ( 效率差 ) protected void Button1_Click ( object sender, EventArgs e ) { //================================================== // // 1. 加入參考:System.Transactions // 2. using System.Transactions; // //================================================== //引用stopwatch物件 (計算執行時間) Stopwatch sw = new Stopwatch(); sw.Start(); //創造 DataTable,準備來接資料 DataTable dt = new DataTable(); dt.Columns....
閱讀完整內容