今天看到微軟發布了兩個與安全有關的非常有價值的工作,下面一一列出。
1. microsoft private folder 1.0
微軟剛剛發布了乙個個人隱私保護工具microsoft private folder 1.0,它可以幫助使用者電腦中建立乙個private folder並進行密碼保護,在其他們用到電腦時,這個工具會幫助保護隱私和檔案安全,比起複雜的ntfs、使用者帳戶許可權或加密檔案系統(efs)來說, 這個工具非常方便好用。
從目前了解的內容來看,private folder似乎是使用了加密來對檔案進行保護,演算法未知,但應該是對稱演算法,金鑰來自使用者的設定,雖然不如 efs 那麼安全,但是非常適用於共享同一windows帳戶的使用者保護自身的檔案,在使
用 efs 時,經常由於證書的問題,會帶來一些額外的問題,如證書管理/匯入/匯出,而使用密碼則簡化了這些問題。
2. microsoft threat analysis & modeling v2.0
近幾天,微軟在安全開發的方面關注非常多,最有名的當屬於sdl(安全開發生命週期),其中非常有用的乙個安全評估方**就是威脅建模(threat modeling),它是一套非常完整的方**,具有完備的文件,已被業界許多公司和專家所採用。
這次微軟推出的 microsoft threat analysis & modeling v2.0 已不僅僅停留在理論層面,而是以工具的形式具體體現的方**,例如定義系統中的資料、角色、架構特徵、系統元件等時,同時在裡面已經預定了攻擊庫(pre -defined attack library),包括sql、xml、http、網路協議、soap等各種技術所面臨的特定威脅已經包含在裡面。例如,如果你在定義系統元件時,指定你 的系統是基於web的系統,而且裡面有資料庫查詢,那一定會面臨sql注入式攻擊。
當你定義了所有要素之後,microsoft threat analysis & modeling v2.0 將會產生資料訪問控制矩陣,元件訪問控制矩陣、受攻擊的區域、信任流、呼叫流程、資料流程等資訊,同時將會針對特定的專案團隊中的角色(如系統分析、設 計、開發、測試、執行維護等)分別提供不同的報表,以幫助他們關注各身需要解決的重點安全問題。
個人感覺這個工具具有非凡的價值,對於系統安全、應用安全領域的人員來說具有重要的作用,它把可以對紛繁複雜的安全問題進行形式化、數量化、結構化的定義(不知此詞的用法是否準確...),並且幫助我們進行風險分析和評估,個人感覺是由算盤的時代進行了計算機時代。
microsoft private folder 1.0
microsoft threat analysis & modeling v2.0
敏捷團隊的兩個Tips 對彼此有價值 做加法
敏捷的目的是消除浪費,創造價值。為達到這一目的,敏捷給出的解決方案是,以團隊為中心。兩個tips可以幫助形成更好的敏捷團隊。一是團隊成員對彼此有價值。比如說團隊中的前端人員 後端人員 測試人員等,他們對彼此的價值是雙重的。第一重是彼此合作,共同完成乙個產品。第二重是可以互相學習,這樣除了個人多一些技...
推薦兩個好用的小工具
最近參加一下微軟的測試,看到他們的工程師用的兩個好工具,給大家推薦一下 一,type and run 命令列工具,通過輸入命令開啟本地exe檔案,告別桌面上滑鼠點選的開啟方式 config editor edit config 裡面配置一下就可以了,alias name是輸入名字,action是要開...
搭建nodejs環境推薦用兩個工具 nvm和npm
nvm 是 nodejs version manager 的簡稱,即 nodejs版本管理 npm 是 nodejs package manager 的簡稱,即 nodejs模組管理 有了這兩個工具,管理nodejs的版本和模組將變的極其簡單了。安裝 nvm和 npm 安裝好後就可以簡單使用了 nv...