-
[設計案例] “授權碼” 如何實作? #3 (補) - 金鑰的保護
前一篇 #3 介紹了如何利用 "數位簽章" 簡單又可靠的做好 "授權碼" 的驗證,主要都在說明程式架構的實作,沒有對實際運作的情況做太多補充,這篇就來補足這些遺漏的部分。運用這些公開的加密演算法,既安全又可靠,不過這些東西大家都拿的到啊,因此安全與否,完全取決於你的金鑰是否有妥善的被管理。
-
[樂CODE] Microsoft 面試考題: 用 CPU utilization 畫出正弦波
故事的開頭很簡單,起因就只是某個上了年紀的大叔,逛到別人的面試題目,發現答不出來就一頭鑽進去,輸不起的故事而已 XD
-
[實戰] 十分鐘搞定! 在 Azure 上面佈署 Docker Container! - Docker Cloud 託管服務體驗
之前一直預告要在 Azure 上面快速佈署 Docker Engine / Container, 現在終於做到這一個步驟了。由於之前一直都是 Linux 的門外漢,所以講了一口好架構,但是真的要實作驗證時,總是碰到不少難關,現在一一克服了,就把這些過程整理一下~
-
[設計案例] "授權碼" 如何實作? #3, 數位簽章
資料的封條: 數位簽章 原理說明
這裡最關鍵的就是軟體該如何確認 "這份資料是否是原廠提供,而非第三者偽造的假資料?" 這個問題。這類安全問題,最忌諱的就是讓一些搞不清楚狀況的工程師自己土炮一堆怪怪的 "加密" 方式,試圖混淆內容讓別人認不出來。這是很危險的,因為你靠的是 "演算法" 來保護資料,而不是靠 "金鑰" 來保護。如果你靠的是別人不知道你怎麼加密的,那麼將來這份程式碼你敢 Open Source 嗎? 你能不讓你的團隊其他成員 REVIEW 你的 CODE 嗎? 既然 CODE 不是絕對保密的,那麼你如何能證明你的資料是絕對安全的? 所以,比較可靠的方式,還是要靠那麼多人對密碼學的研究,用公開的演算法 + 只有你才擁有的金鑰,來保護你的資料才是上策。也因為這樣,請盡可能的採用廣為流通的加密方式及涵式庫。 -
[設計案例] "授權碼" 如何實作? #2, 序列化
這次直接跳到主題: 網站安裝授權開始吧。這東西的用途,就跟過去安裝軟體要輸入序號一樣的目的,輸入序號之後,軟體不用上網就要能知道你購買的是什麼版本,有哪些功能要被啟用? 在不連到 internet 的情況下,要單靠一段授權資料就達到這目的,最好是能簡單明瞭,資料結構清楚容易擴充維護,同時安全強度還要夠強 (防止偽造),這就是這次要解決的問題。 我的目的,不但要顧及功能性(安全強度),同時也要顧及程式碼及系統架構的層面,因此我拆成兩個部份來探討,一個就是最關鍵的資料安全問題,另一個就是如何用程式碼來表達及封裝這些功能?
