本帖最后由 Simon.hu 于 2024-8-9 14:51 编辑
你:这个帖子什么意思?难道活字格一直不安全么?
我:放心,这个帖子,我就接上一个帖子,给大家说一下活字格的安全性,顺带说一下新版本都做了啥安全性相关的功能。
(预告:其实活字格本来一直就很安全,这次说做了相关的功能其实跟没做一样 )
----------------------------------------------正文----------------------------------------------
咱也不废话了,等保三证书镇楼!!!!
一般来说一个软件常见的安全证书:
这些活字格统统进行了,也都有相关的证书;除了这些我们公司内部也有专门的团队做安全测试。安全无小事,哪怕出任何一点问题,对活字格的声誉都是有影响的,从活字格发布至今,相信大家能感受到葡萄城爱惜羽毛,这事咱肯定会保证的。
问题:活字格每个版本都有一些安全性的提升,这是怎么回事?
回复:首先,新开发的功能是不是也需要安全性的保证。另外,功能多了难免有一几个小问题,不一定是中高风险,但是该提升咱也得提升。
-------------------新版本安全性提升-------------------
其实活字格的安全性分为2个方面:
- 活字格产品的安全性
- 大家使用活字格开发出来的应用的安全性
前面我说的所有报告都是活字格产品本身的,但是这个并不保证你使用活字格做的系统没有安全性问题。
这是真的。
我来几个例子
- 你发布了应用,但是不是Https的
- 你发布了应用,但是所有内容都是匿名访问的
- 或者你发了应用但是这些全部都走的是最不安全的设置
如果你真的这么弄,那肯定是有安全风险的。但是坦白说,咱们开发应用很多都是内部使用的,有的时候真的没必要卡的那么死,比如创业型团队本来就是未来的公司元老,没啥藏着掖着的。
但是现在咱们很多的格友已经使用活字格进入大企业,大企业那对安全性的要求就不是一点两点了。所以呢之前遇到不少次反馈说活字格做的应用安全扫描以后有高危漏洞,但是基本上反馈给我们以后,我们告知大家怎么在产品上做一些设置,然后漏洞就没有了。
小知识:
安全扫描发现的问题,一般都是说发现可能有这问题,但是具体是不是这些问题要由看报告的人自己确定评估。
但是目前大家的认识是,扫出来有问题,那你就是不安全。
哎,咱也不敢说咱也不敢问,就这样吧
其实,前面说的各种配置基本都是把一些活字格默认值修改一下,就OK了
那既然越来越多的人提出了,那咱们也必须重视,所以
活字格10.1以后,活字格的能开启的默认安全设置都设置成更加高级的限制,保证应用更加安全。
这样设置有没有副作用? 必须得,开放的配置,代表更加容易共享,但是更加开放安全性就低了;更加的安全,代表很多的共享能力减弱,要共享一些信息那就要多做一些事了。
具体有啥修改,说的太细担心心怀不轨的人乱搞,我就给大家说几个默认设置修改了设计的安全问题的关键字:
- HTTP响应头安全问题
- Cross Site
- DoS
- Cookie Samesite
- IdentityServer4
除了这些功能,还有啥安全性功能的提升没?
必须有
支持限制访问应用的IP
设置以后那就变成只有这部分IP的人才能访问你的应用,嘿嘿~~
具体的好处:
- 安全性提升:通过限制仅允许特定 IP 地址范围访问 Web 应用程序,可以降低未经授权的访问风险。这有助于防止恶意攻击和未经授权的访问。
- 访问控制:限制特定 IP 地址范围访问 Web 应用程序可以实现访问控制,确保只有授权的用户或设备能够访问应用程序,从而控制对敏感数据和功能的访问。
- 减少风险:限制 IP 地址范围可以减少暴露在公共网络上的应用程序受到的风险,尤其是一些敏感数据或重要功能的应用程序。
- 防止滥用:限制特定 IP 地址访问应用程序可以防止某些 IP 地址的滥用或恶意行为,保护应用程序免受恶意攻击或滥用。
- 合规性要求:某些行业或组织可能有特定的合规性要求,需要限制访问范围,以确保符合相关法规和标准。
- 降低负载:通过限制特定 IP 地址范围访问应用程序,可以降低不必要的流量和请求,从而减轻服务器负载
这下子大家对活字格的安全性应该有了更加全面的了解,也可以放心的使用了
|
陕公网安备:61019002000258 |
隐私政策 |
网站地图
