远程调用和组件安全.pptVIP

* * * * * * 练习 1：编写一个EJB方法控制的代码。 2：编写一个不安全的ActiveX，并测试。 3：编写一个DCOM方法控制的代码。 4：怎样让JavaApplet可以访问本地文件？ 5：编写一个Cobra程序，体验其安全服务。 第六十二页，共六十三页。 内容总结 第十章。远程调用(RPC/RMI)为程序的分布式应用开发架构提供了技术支持，它不需要了解底层网络通信协议,在应用层通过网络从远程计算机程序上请求服务。一般这个组件可以为EXE文件、DLL文件或者OCX文件等。2：不能让ActiveX控件被自动下载，下载前必须有提示。而服务器端也不需要考虑数据怎样传输给客户端，只需集中精力于业务逻辑逻辑的编写。实体Bean(Entity Bean)。消息驱动Bean(MessageDriven Bean。以EJB2.0远程接口调用EJB对象为例，EJB的运行过程为：。1：COBRA体系结构中，已经建立了一个完整的体系结构来支持各种安全功能 第六十三页，共六十三页。 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 10.2.2 安全问题 如前所述， ActiveX控件实际上就是一个可执行文件，提供了特定功能，具有某些属性、某些方法，甚至具备外界可以捕获的事件，方便了应用的开发和执行。ActiveX的安全问题主要体现在：ActiveX控件由于可以被嵌入到某些程序中，因此可能在客户的计算机上运行。如果攻击者在ActiveX内编写一些恶意代码，就可能在用户执行这个ActiveX时，攻击其计算机。如： 客户运行程序时，不知不觉被格式化硬盘； 客户浏览网页时，注册表被修改； 客户的必威体育官网网址信息被后门传往攻击者的服务器； 客户硬盘被共享；等等。 第三十页，共六十三页。 该问题一般出现在Web程序中，对于用户来说，可以通过以下方法解决： 1：在使用ActiveX控件时，必须确认其签名； 2：不能让ActiveX控件被自动下载，下载前必须有提示； 3：不下载未签名的ActiveX控件； 4：如果要求非常严格，可以禁用任何ActiveX控件；等等。 第三十一页，共六十三页。 具体的做法，可以在IE的“工具”——“Internet选项”——“安全”中的“自定义级别”中，进行设置。如图所示： 第三十二页，共六十三页。 10.3 JavaApplet安全 第三十三页，共六十三页。 10.3.1 JavaApplet概述 和ActiveX在Web程序中的应用一样，Java系列也推出了相应的技术，那就是Java Applet。Java Applet是用Java语言编写的，基于HTML的小应用程序，也可以直接嵌入到网页中，并能够产生特殊的效果。当客户端访问服务器Web页时，客户端浏览器就会下载Java Applet，将其暂存到用户的硬盘上，并以一定的生命周期在本地运行。 关于JavaApplet的基本知识，可以参考相关文档。 第三十四页，共六十三页。 Java Applet的运行过程为： 第三十五页，共六十三页。 不过，要使用Java Applet，其前提是用户使用的浏览器必须支持Java，这可以通过安装一些Java运行插件来实现，当前流行的网络浏览器，基本上都可以通过一些手段让其支持Java。 同样，以股票查询系统为例，将图表生成的工作交给Java Applet在客户端实现，可以减少用户等待时间，减轻网络带宽的压力，释放服务器的负担。 P10_02.java是一段简单的Applet代码。 第三十六页，共六十三页。 编译，接下来在一个网页文件中嵌入其.class文件。 运行该网页，效果如下： 第三十七页，共六十三页。 10.3.2 安全问题 由于Java是一门安全性要求很高的语言，因此，Java Applet安全性比ActiveX要好一些，默认情况下，Java Applet的安全限制如下： 1：Applet放在客户端，但是不能在客户端执行任何的可执行文件； 2：Applet不能读写客户端文件系统中的文件； 3：在通信方面，Applet只能与它下载的源服务器进行通信，而不能与网络上其他的机器通信； 4：在获取敏感信息方面，Applet只能获取客户端计算机的部分信息，如操作系统名称和版本号、文件及路径分隔符等，而不会泄露其他敏感信息，如注册表、系统安全配置等； 5：此外，Applet还可通过数字签名进行不同的安全授权；关于数字签名的知识，后面的章节具有详细的叙述。 因此，对Applet的安全问题，可以考虑得简单一些。 第三十八页，共六十三页。 10.4 DCOM安全 第三十九页，共六十三页。 1