摘要:授权管理器（AzMan）是 Windows Server （2000、2003、Longhorn Server...）中自带的、能够和AD紧密集成的、供应用程序使用的授权检查引擎，它实现了完整的基于角色的授权管理框架，利用它，可以在应用程序中大大简化与授权有关的代码编写与实现。 在目前版本中，授权策略信息有两种存储方式： XML 目录（如活动目录－AD或ADAM） 上述两类三种存储方式的适用场景分别如下： 简单的小型应用可以直接使用XML，在这种方式中，不用设置/扩展 AD/ADAM 的 Schema，非常方便 如果基础域环境不好（如应用程序不便访问DC、存在多个Domain）等情况时，可以使用 ADAM 如果基础域环境较好，且应用程序的身份完全与AD集成，最好使用AD 在 Vista 中，AzMan 又增加了一种存储方式：SQL Server，这样对于应用程序来说，又多了一种更实用的选择，而且即然能存在 SQL Server中，估计通过一些手段，这些信息也能存储到其他类型的数据库中，如Access、Oracle等，现在 ASP.NET 2.0中的一些 Provider 不也是公开源代码了，并且实现了其他数据库类型的 Provider 了嘛。 不过，AD/ADAM 具有复制功能，可以方便地实现多个实例之间的目录同步，而SQL Server 不具有此功能，另外 AD/ADAM 在查询方面具有性能优势（AzMan的绝大多数请求是查询），所以到底要使用哪一种存储方式，还是要综合评估。 关于 AzMan 的更多信息，可以参考 AzMan MSDN Blog。...[阅读全文]

摘要:我们在编写基于 ASP.NET 的应用程序时，如果代码执行出错或检测到异常，一般会提示用户“返回”或“回退”，或者在多步操作、列表/详细的查看界面中，也会给用户提供回退到上一页面的链接，对于这种情况，大家很快就会想到的简单做法就是利用 Javascript 来实现，即 history.go(-1) ，但是由于 ASP.NET 页面的 PostBack 机制，所以 history.go(-1) 可能还是当前页面，而不能真正回退到上一页面。 在 Classifieds Site Starter Kit 中，学习到一种不错的关于回退的处理方法，可以分别在客户端和服务器控件中实现页面的回退，代码如下： 1）首先在页面中增加两个属性 //记录上一个页面的信息 private string UrlReferrer ...{ get ...{ return ViewState["UrlReferrer"] as string; } set ...{ ......[阅读全文]

摘要:近期帮别人在 ASP.NET 中实现简捷的安全/权限控制，于是进行了相关研究与内容搜集，并整理成代码，已在实际的项目中运用，效果突出，比 .NET 中的代码访问安全性（CAS）和 ASP.NET 中的相关安全控制机制更为灵活。 于是把其中实现的内容和主要代码共享出来，但内容较多，放在在随笔里会干扰大家查看首页的视线，所以归到文章里，感兴趣者可以在这里（http://blog.joycode.com/moslem/articles/85194.aspx）查看。 本文及其中的代码主要介绍了以下内容： 如何在 C# 中简捷/方便地进行 AOP 编程 如何利用 AOP 来透明地在业务逻辑对象中进行权限检查 如何实现完整的基于角色的访问控制模型 如何在UI上针对不同的用户权限对控件进行设置（如禁止或隐藏） 如何设置 Attribute，如何利用反射获取程序集中所有的、指定类型的 Attribute 定义 其他相关内容...[阅读全文]

摘要:今年以来，网上银行安全事件层出不群，闹得沸沸扬扬，据网易财经：网银危机（http://finance.163.com/special/002521GA/ebank.html）上公布的信息，受害者近千人，损失资金金额也近千万元。 如果你在银行的科技部门，就知道这些事件带来的波动效应有多大，几乎所有银行的网上银行都极大的关注这些案件，从上至下，进行安全自查，封闭可能漏洞，关闭风险等级较高的功能，以最大限度地提高系统的安全性，降低客户的资金风险，当然，我也被折腾的够呛。可以说，工行此次事件不但给工行的声誉和上市进程造成了严重影响，而且几乎给所有其它银行的电子银行业务都带来很大的冲击和负面影响，我身边的好多人在了解到这些情况后，有的直接关闭了网上银行的功能，有的则坚定了不相信网上银行系统安全、而且决不开通网上银行功能的想法。 就整个事件反思，个人认为： 1) 工行的对整个事件的态度确实存在问题 在网上银行出了安全事件后，不分青红皂白，一律推到受害人身上，按“工行网银受害者联盟”（www.ak.cn）网站上事件相关人的描述，工行把受害人“妖魔化为弱智群体，然后把我们一脚踢到公安机关；甚至工行还混淆其商业银行的企业身份，对我们肆意诬蔑和打压”。 可以说，工行的这种态度是很多大型国有企业（包括其他行业）的通病，丝毫不出人意外，大家在日常生活中碰到这样的店大欺店案例并不鲜见。在最新一期的《新金融》杂志上，仍看见工商银行电子银行部的主管领导在推脱责任，说问题全出在用户身上。 个人对此也深有感触，有一位同学在工行数据中心，我们在聊起此事时，他仍坚称：整个事件仍是“别有用心”的人在夸大其辞，即使其中真有受害人，那也是他自己太笨。个人以为目前在中国，没有人敢公开地对中国工商银行这样的大目标“别有用心”，所以我宁愿相信，www.ak.cn 上公布的受害人，不存在造假的可能。 态度决定一切，国家足球队原主主教练米卢这话说得没错，我相信，如果工行不是始终独善其身、推脱责任的态度，事件也不会闹到如此地步。 回过头来看看招行，能够在网站上开通论坛，专门收集网友的反馈，来不断地更改和升级系统，印证了其“因您而变”的企业口号，其他哪家银行能有些魄力开这样一个论坛？ 当然了，以现在这种系统的水平，最好还是不要开，会被口水淹没的。 2) 工行的系统确实存在问题 据我个人估计，这次大面积暴发的网上银行安全事件的主要原因就是出在工商银行网上银行系统登录页面的安全控件上，工行最早的网上银行系统使用的是普通的 HTML 控件，而且也没有使用验证码，后来，在系统升级时，加入了图片验证码，也加入了安全控件，但这个所谓“安全控件”的安全性并不高，不但不能防止大部分键盘记录软件（KeyLogger）的截获，也没有对数据进行加密（详见于2004年我对此进行的分析：网上银行“安全登录控件”分析），再后来，他们再次对安全控件进行了升级，对数据进行了加密，也能够防止大部分 KeyLogger 的截获，但据了解内情的人员透露，仍然存在漏洞，工行也在考虑进行进一步的升级。 有人也许会说，工行的系统管不了用户机器上的木马，但是，系统安全是一个整体的概念（信息安全领域的“木桶理论”），光做到银行端的安全是没有用的，黑客不会找最安全的地方来进攻的，即然网上银行系统的页面扩展到了用户端，那么银行就有责任地保护这部分应用（最薄弱的部分）的安全。 3）工行的安全事件响应机制存在问题 按照中国人民银行和银监会（它们在此次事件中也有监管缺失的问题）有关要求，商业银行在开办网上银行时，一定要建立安全事件响应机制。但就此次事件来看，没看出来他们的响应机制在哪里，首先是没有积极地帮助受害人锁定帐户，其次是没有积极与公安机关配合，尽早对所有事件统一分析，统一处理，而只是在事件闹得沸沸扬扬的时候，才“正面回应”，结果仍是“工行回应网银资金失窃案 称系统不存在漏洞”（http://news.tom.com/2006-08-18/000N/78413992.html）。 按说对于网上银行这种安全性要求非常高的系统来说，系统务必要记录访问客户端的所有细节，不但应包括最重要的客户端 IP 地址，还应该包括 HTTP 请求（Request）中的所有变量，如远程主机名、User_Agent、HTTP_REFERER、Accept-Language/Encoding等数据，这些数据将对追踪访问人、电子取证、案例侦破提供提供非常有力的证据，很多系统会记录 IP 地址，但往往会忽视其它一些特征数据的记录，而通过对这些数据的分析，有助于对那些通过代理来进行犯罪的黑客进行证据搜集。据个人分析，这些重要数据很可能被工行的网上银行系统所忽视，以至于影响了有效的响应过程。 其次，以工行的这样的大型企业来说，在事件发生时，完全有能力直接与最高级别的公安机关对话，对整个事件统一立案，集中力量统一侦破，相信很快会有结果，但是据了解，工行直到最近才把这事做起来，但这里，大好的时机都错过了。 4）客户所承担的安全成本太高 这不仅是工行的问题，几乎其他所有银行的网上银行系统都存在此问题，个人以为，在 USB-Key（工行称之为 U 盾）上赚客户的钱，纯属利令智昏之举，有的银行甚至以此来做为利润科目，实在是一大耻辱，这就和CCTV以送台大熊猫起名的时机敛财、欺骗全国人民感情的恶举如出一辙（年初起的名，现在还没有送过去），自己图名利，别人来买单。 既然是你系统提供的安全认证手段，费用就应该你自己负责，如果 USB-Key 收费，那是不是设置帐户/卡的口令也要收费？ 即使收费，收点成本成不？ 现在 1G 的U盘才多少钱，你那个 USB-Key 要收近百元？ 除此之外，包括工行在内的多家银行收取所谓的“网上银行年费”，说的不客气，纯属脑子进水，想不明白确定收费的这些决策人员到底有没有了解网上银行业务对于网点/柜台减负所带来的成本节约？ 我相信，USB-Key 的代价较高是绝大多数用户没有选择它的原因所在，工行现在推动态口令卡，依我看没必要，把 USB-Key 取消/少量收费即可。 还有一些小细节：大家现在访问一下工行网上银行系统，在登录页面上，仍然没有一些醒目的安全提示，登录页面那么大，就容不下一段关于防止身份盗用的说明？ 看看页面源码，很多数据检查/校验的机制仍光溜溜地用 JavaScript 显示在那里，在看看进入系统时的这个地址：http://www.icbc.com.cn/wangyin_xitong/alert.jsp（网银_系统），不能起一个好一点、专业一点的目录名吗？（此网站上诸多目录都是以中文拼音命名） ========================================================= 回顾这个尚未结束的事件，可以认为它是对工商银行在网上银行系统安全保护不够完善的一个教训，也是对其他银行的一个警示，未尝不是坏事，亡羊补牢未晚也。当然了，要说推脱，工行还是有些理由的，毕竟它的网银用户数量在国内是最大的，因此黑客会选择攻击它的用户（这和微软的软件最常被攻击的原因类似），但是，只要扎扎实实地、全面地、负责任地做好安全工作，不要老喊口号而未真正地付诸行动，相信前景还是美好的，网上银行业发展的大潮仍是浩浩荡荡不可挡。 个人以此事件为启发，就网上银行系统的安全性来说，提出一些以后需要关注的问题： 1）降低客户所承担的安全成本，如 USB-Key 费用的降低，大力推广数字证书的应用； 2）学习招商银行（这似乎让很多大银行很没有面子），发展基于浏览器的专用客户端，不但功能更为强大、操作更为快捷方便，而且能够有效避免假网站、木马型病毒的攻击。我们看看欧美地区，大多数的较大的银行都支持OFX（开放金融协议），通过 Microsoft Money 等专用客户端可以直接连接到它们的系统中，个人认为这也是国内网上银行系统的发展方向； 3）改变目前系统中这种通过用户+密码的传统认证方式，只要使用用户名/密码，就有可能受到键盘记录木马的威胁，要彻底的解决此问题，必须使用全新的身份鉴别技术。例如在 .NET Framework 3.0 中新推出的 CardSpace 技术（内置在 Windows Vista 中，可以安装在 Windows XP 上），就可以彻底地避免键盘记录软件、通讯侦听软件对身份鉴别过程的威胁； 4）进一步加强应用的安全性，在事前、事中、事后各个环节提高可控性，例如：可疑交易的确认（类似于信用卡的可疑消费确认），用户可自行设置登录时段、登录位置（如只限于北京地区）、进行风险等级较高的操作时，能够及时发送短消息通知用户，能够快速定位交易对手（转出时的目标帐户）的相关信息，能够快速锁定可疑账户，能够更完全面的记录客户端的信息，能够进行行为分析； 5）继续有策略、有技巧、持之以恒地加强用户安全教育，这在目前中国的互联网界流氓软件满天飞、普通用户极端受害的情况下，是非常非常有必要的。...[阅读全文]

摘要:在 ASP.NET 2.0 中，大多数控件都可以直接“自动套用格式”，以便设置一些内置的配色方案，能够方便地设计多姿多彩、色彩丰富的页面，除些之外，ASP.NET 2.0 还提供了网站和页面的主题（Theme）和Skin的功能，可以在网页或网站层次设定各种控件的显示风格，以便统一站点的外观。 在实际开发中，实际上大家可能不会过多地采用内置的“自动套用格式”的功能，而是自己来设定控件的色彩、字体等，当然也有可能是通过 Theme/Skin 来进行的，但是，以我的实践来看，实现机制是很好，但结果往往另人不满意，主要原因是缺乏色彩方面的感觉，往往会设计出来色彩冲突、不协调，甚至在很多情况下相当不好看的界面 ... 即然有这么好的实现机制，肯定会有人实现/共享很好的 Theme/Skin ，Google 了一下，找到一组 Theme，看起来还是相当不错的，可以直接应用的项目开发中，当然了，这组 Theme 也有一些小瑕疵，即某些对比色的过于接近而比较模糊。  Theme预览：http://www.dotnettreats.com/SampleThemes/Default.aspx Theme下载：http://www.dotnettreats.com/tools/Default.aspx...[阅读全文]

摘要:首先看看 CodeProject 上的两个东西 1、The Freeze Pane DataGrid （http://www.codeproject.com/aspnet/FreezePaneDatagrid.asp） 利用文章中提到做法及代码，可以实现在 ASP.NET 1.1 上的、支持横向滚动与纵向滚动的表格，基本上是使用 CSS 实现的，比较简单。 在 ASP.NET 2.0 上，由于文档 HTML DOCKTYPE 发生了变化（HTML->XHTML），所以在使用原文中的横向滚动条会出现问题，但是使用纵向滚动条和锁定表头没有问题。 这种做法没有考虑页面 PostBack 时记录表格的滚动位置，使得用户不得不重新去寻找刚才选中/编辑的那条记录，这比较的不人性化。 2、ScrollingGrid: A cross-browser freeze-header two-way scrolling DataGrid（http://www.codeproject.com/aspnet/ScrollingGrid.asp） 此文章利用 Panel 控件和 DataGrid 控件实现了 ASP.NET 1.1 下的完整的、可实现双向滚动、表头锁定的表格，而且它实现了可以记录表格的滚动位置，页面 PostBack 后，表格仍能自动滚动到原有位置。这个控件的一个最大优点是能够适应多种浏览器，如 Internet Explorer 、FireFox 等。 在 ASP.NET 平台上，由于 DataGrid 控件已经升级为 GridView ，所以此控件已不能使用，按照文章下面的讨论，作者声称会尽快升级控件，但似乎在实现时碰到一些麻烦（如何确实表头各列的宽度），目前还没有结果。 目前我的做法： 参照文章1中提到的作法，利用 CSS 来实现锁定表头的功能 利用 Panel 控件，设置 ScrollBar 为 Vertical，再在其中放入 GridView 控件 ，可以实现竖向滚动条的功能 利用 Atlas ，将上述 Panel 再放入 UpdatePanel ，以透明实现保持滚动条位置的功能 示例代码：<h1>滚动条表格演示h1> <style type="text/css">...... th {...}{...}{...}{ border-right: 1px solid silver; position:relative; top: expression(this.parentNode.parentNode.parentNode.parentNode.parentNode.parentNode.scrollTop-2); /**//**//**//*IE5+ only*/ } style> <atlas:ScriptManager ID="ScriptManager1" runat="server" EnablePartialRendering="True"> atlas:ScriptManager> <br /> <asp:Panel ID="GridPanel" runat="server" Height="250px" ScrollBars="Auto" Width="562px"> <atlas:UpdatePanel ID="UpdatePanel1" runat="server"> <ContentTemplate> ......[阅读全文]

摘要:由于这次试用它们的目的主要是寻找一种能够简单实现滚动条的表格控件，所以关注重点也在这个方面，其他方面没有过多涉及。 1. Developer Express ASPxGrid   1) 程序本身有 Bug ，有乱码现象  2) 代码量很大  3) 不能创建 DataSource ，但可以绑定已经建好的 DataSource  4) Scroll 动作需要 Postback 到服务器上，较慢，横向的无须 CallBack  5) 代码量较大，尤其是处理数据更新时（例子有 600 行代码）  6) 不支持自动格式，在 UI 定制方面工作量较大  7) 过于臃肿，更象是一个 WinForm 而非 WebForm 的控件   价格： 1 Developer License  $265  网站： www.devexpress.com 2. ComponetOne WebGrid    1) 和 GridView 比较接近   2) 有专用界面来定义列   3) 可以横向或纵向滚动，但要求将 Grid 的大小（宽度和高度）设置为绝对值，不能设为百分比   4) 可以设置模板   5) 必须设置列宽，不便于自动调整    价格： $999.99  Componet Studio Enterprise   网站： www.componentone.com 3. ComponentArt Grid    1) 不带设计器，所有属性和事件都需要手动设置，无法在 GUI 下设计   2) 大多数效果都是以代码实现的   3) 启用滚动条的方式比较复杂，如需要设置 Scrollbar 的宽度，图像等    价格： 1 Developer License 799$ (共 13 个控件）   网站： www.componentart.com 4. Telerik Grid    1) 内置 AJAX Framework，有可能和 Atlas 冲突   2) 可以方便地设置 Scroll   3) 支持的绑定控件比较丰富，直接支持......[阅读全文]