Tag Archives: Security

Oracle 10g 中 CONNECT 角色的变化

其实是一个很老的”新”变化。Oracle 10g 对 CONNECT 角色作了一点调整。原来的 CONNECT 角色(9i) 包括

CREATE SESSION
CREATE TABLE
CREATE VIEW
CREATE SYNONYM
CREATE CLUSTER
CREATE DATABASE LINK
CREATE SEQUENCE
ALTER SESSION

其中象 ALTER SESSION 这样的权限还是很危险的,一个用户可以搞垮整个数据库。所以估计是出于安全的原因吧,Oracle 10g 现在只保留了 CREATE SESSION 这个权限。
在 Metalink Note:317258.1 描述了 CONNECT 的变迁,不看不知道,一看吓一跳,在 Oracle 7 上该角色还包括预定义角色 DBA , 即使是 Oracle 8i 上,该角色也包括了很多权限过大的预定义角色。
细微的东西往往隐藏着危险。
如果是从低版本升级到 10g 导致权限问题,可以用 $ORACLE_HOME/rdbms/admin/rstrconn.sql 这个脚本进行恢复.
EOF

Fortify 的 Java Open Review Project

今天在升级 Azureus 的时候,注意到在项目首页致谢处有 Fortify 的链接,点击过去看到了这个 Java Open Review (JOR)项目。
JOR 项目是由 Fortify 与 FindBugs 联袂举办,旨在提高 Java 开源软件的安全性,现在有很多开源软件已经加入到评测当中。列表中包括 Azureus、Lucene、Nutch、Tomcat 等知名开源软件。
此前看过 Foritify 与 Oracle 合作的新闻,我的 Blog 上也提过这个事儿,Fortify 这个公司给我留下了很深印象。很多大软件公司都是他的客户,包括微软、Oracle、Symantec、Amazon 等。
FindBugs 这个开源项目其实也是 Fortify 赞助的(Google 也是该项目支持者之一),在 Lesser GPL 版权下发布。使用起来并不复杂(参考文档),并且,该工具有针对 Eclipse 的插件(参考文档)。
buggy_FindBugs.png
在安全问题日益严重的今天(如:”网银大盗”横行),或许这些代码安全分析工具会让开发人员少遇到一些麻烦。
EOF

不用卡巴斯基等杀毒软件不行么?

看到有朋友在 “Ideas Factory China” 论坛拿卡巴斯基说事儿:

最近网上搜索最热的单词是”卡巴斯基”,因为卡巴斯基封了几个流传比较广的key…后来,有了个想法:所有的操作系统都会需要杀毒软件,(我不相信vista不需要,当时XP出来的时候也这么说的。)那么杀毒软件是所有机上必须装的软件…

其实我倒是很好奇,杀毒软件对我们就这么重要么? 不用卡巴斯基能怎样? 不用盗版卡巴斯基又能怎样? 不用杀毒软件又能怎样?
以前在一些论坛逛的时候,总会有讨论”哪个杀毒软件更好”的话题,很多 Geek 对卡巴斯基都情有独钟。往往都是什么”世界最强,评测第一”之类的评语。那语气似乎你不用卡巴斯基你都不好意思说自己是 IT 人。于是乎很多人到处找盗版来安装。究竟系统安全性提高了多少不得而知,我倒是听到不少人说”系统起不来了”之类的话。出了问题的朋友自己也不能怪别人,谁让你用盗版呢?
当然,不用盗版的卡巴斯基,也是有许多免费杀毒工具可以选择的,也可以通过变相渠道获得卡巴斯基的合法授权版本 AOL 的 AVS。我用过测试版的卡巴斯基,也用过 AVS,安装完毕后,系统慢了很多–毕竟那东西是要实时扫描的。或许我的机器性能不够好。在心里安慰和性能之间,我宁愿选择后者。现在我的机器就没有安装任何杀毒工具,”裸奔”。
或许我们并不那么随时都需要杀毒软件。Windows XP 的安全性蛮不错的了,XP SP2 防火墙打开,不去乱下载那些来历不明的小软件,不去看那些乱弹窗口的黄色网站,不随意打开不明邮件发送者给你的附件,遇到病毒的可能性非常少。就算你真的中招了,这个时候再找一个杀毒工具基本可以搞定,还没听说有什么病毒只有某某工具才可以查杀,别的工具就做不到了。没必要一定要安装一个”世界上最好”的杀毒工具,实时的扫描你打开的每一个文件。当然有的朋友或许只是觉得”要用就用最好的”,即使是盗版,大可不必。
当然,我这么说,并不是说杀毒软件不重要,只是想说杀毒软件没有重要到那个程度罢了。正如美国人有了手枪觉得安全,但并不一定非要把手枪随时挂在腰带上。
EOF

‘请把您的信用卡号告诉我’ , 招行客服说

今天偶然发现上个月的信用卡还款有问题,在专业版里怎么设置都不成,于是拨了招行的 800 客服电话。
招行的信用卡服务热线做的很是”独到” –需要在听一堆提示之后输入身份证号码和查询密码,这一堆的数字,要一遍按正确了,似乎也不那么容易。
客服: 请告诉我您的身份证号码?
我心里狐疑(电话里不是都输入一遍了么?),再说一遍吧。
客服:不好意思,系统忙,查不到您的信息,请告诉我您的信用卡号码
我:信用卡号码告诉你? 通过身份证查找不出来? 通过我名字查找呢?
客服:通过名字可能有很多重复的,请您把信用卡号码告诉我。
我:你不是搞笑吧 ? 要我通过电话把信用卡号码给你念一遍? 我周围可都是人…
客服:先生(语重心长地),您的所有信息我们都是可以看到的。
我:能看到你就查找么,我不会把我的信用卡号码告诉你的!
客服:那我们就没办法了。
我:你客服号多少?
客服: 沉默…先生,现在查到了,刚才可能是我把身份证号码输错了。
招行的柜台服务一向是不错的,可是这个 800 电话的客服人员似乎也太不注意安全问题了吧(信用卡号要通过电话念给他们,据说有人还真的照这么做过)? 是他们没有这个安全意识? 还是我遇到了电话”钓鱼”(Phishing) ?
这个经过告诉我(这个故事告诉我们):
1) 国内银行对于信用卡安全远远没有重视起来;
2) 国内信用卡消费风险很高; 很多用户没有关于信用卡的安全意识;
3) 那些哭着喊着找你办理信用卡的银行,你要看看他们的信用;
4) 如果没有透支的必要,不要使用信用卡; 借记卡不是也挺好的么?
这几天就和各个公司的客服较劲了.
EOF