Session的資訊安全設計原則、測試、個案與實作 這篇文章主要說明 Session 所帶來的資訊安全風險與安全設計相關議題。 由於 HTTP本身沒有狀態區別。因此如果要針對連線區別當下的狀態(例如:購物車、帳號密碼登入前與登入後等), 這些狀態就會有所謂的 Session Management。最普遍 Session的做法就是使用 cookie。 Session處理不當也容易讓駭客有機會可以不需要知道帳號密碼而取得授權直接存取相關資源。 因此要如何設計一個比較安全的 Session Management 舊式這篇文章要討論的範圍。 Session Management 安全設計原則 Session…
Authentication 的資訊安全設計原則、測試、個案與實作
Authentication 的資訊安全設計原則、測試、個案與實作 這篇文章主要討論 Authentication 認證的資訊安全議題,涵蓋下列主題: 認證的資訊安全設計原則, 針對認證測試可以用的工具與測試方法作討論 認證所導致資訊安全事件的實際新聞與個案討論, 最後舉一個程式碼範例說明好的設計與不好的設計差異。 認證基本原則 認證不外乎是運用下列三個的組合。 知道:例如知道帳號密碼 擁有:例如擁有手機或是實體的憑證 誰:生物辨識。像是指紋或是視網膜 認證的安全設計基本原則為 定義密碼規則 登入錯誤失敗時的鎖定(Lock-out)機制 忘記密碼的處理流程 禁止使用 Http或是…
Appium 手機自動化測試實作課程剪影 8/28 8/31
Appium 手機自動化測試實作課程剪影 8/28 8/31 這是一個兩天的課程。參加者因為大部分都有實作過 Web/Selenium自動化測試, 因此相對於手機自動化測試的部分只有些許的不同,例如: 測試環境的安裝與準備 Native App 與 Hybrid App 手機UI 元件的定位 Appium 的啟動與環境設定 輔助開發測試程式時的小工具 手機特有的手勢操作 因為使用虛擬機器的關係,會導致許多非預期的問題。…