資安JAVA(三三): Access Control (3)

來源:John Melton's Weblog
標題:YEAR OF SECURITY FOR JAVA – WEEK 33 – ACCESS CONTROL (3)
作者:John Melton
What is it and why should I care?

前前一篇 已經提過 Access Control 的定義了。

What should I do about it?

part1 我們談到以功能性來限制使用者的行為、part2 我們將資料存取也列入考量。接下來,我們將討論更多普遍適用於限制使用者的因素。根據資料的不同類型我們可以增加某些情境資訊來限制使用者的行為。我將列出幾點常見的情境,由你來繼續列下去,並套用到你的應用程式環境中。

Date / Time
每天的某些時段可當作是否允許存取應用程式的重要條件。例如,你可以限定員工在星期一到星期五的AM 08:00-PM 18:00 才能進入系統。上班時段以外,員工只能有少許的使用權限。另外一種方式是,限制每24小時只有6小時能執行特殊工作,減少資料被竄改的機會。

Physical Location
位於英國辦公室的小王,突然從澳洲登入了系統,你應該會感到困惑。這種地理限制隨著手機行動上網的普及越來越重要。你可以限制員工只能從家裡或辦公室登入系統,定位準確度則與服務供應商有關,現今的許多服務(尤其是手機服務)已經越來越精準。

Type of Device
你也許希望限制應用程式只能執行在手機上或電腦上。

IP Address
你也許希望限制只有某些 IP 可以存取系統。

Browser Type / Version
許多WEB應用程式很久以前就開始限定瀏覽器種類或版本。而最近也開始聽聞某些WEB 應用程式為了安全原因,拒絕舊版瀏覽器。

上述是我目前想到的情境資訊,希望你能以此為參考,套用到你的應用程式。本篇文章重點在從資料的觀點提出更多存取控制決策可以用到的情境資訊。本系列結論是將情境資訊加入到存取控制決策的參考比起一般決策更複雜。這些額外的資訊能幫助你以更精準、更適合的方式制定決策,當然也更近一步的提升應用程式的安全性。

參考資料
———–
https://www.owasp.org/index.php/Category:Access_Control
https://www.owasp.org/index.php/Guide_to_Authorization
https://www.owasp.org/index.php/Access_Control_Cheat_Sheet


———–———–
資安Java: 上一篇 || 下一篇
———–———–

留言

這個網誌中的熱門文章

資安JAVA(八):HTTP強制傳輸安全(HSTS)

以 SharpPcap 實作可收聽封包的 C# 程式

資安JAVA(四):Session Cookie HTTPOnly Flag