未发布 Oracle MySQL 5.5和5.6正受到Riddle漏洞影响,请立即更新到5.7!丨附下载 流行的数据库管理系统(DBMS)Oracle MySQL 中发现了被称为“The Riddle”的编码漏洞,该漏洞允许攻击者利用MiTM(man-in-the-middle,中间人)来窃取用户的用户名和密码等登录凭证。用户请立即更新到5.7版本。
中间人攻击(MiTM)
MiTM 攻击(Man-in-the-MiddleAttack)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。例如SMB会话劫持、DNS欺骗等攻击都是典型的MITM攻击。
Riddle漏洞
Riddle漏洞是Oracle MySQL 5.5和5.6客户端数据库中发现的关键安全漏洞。该漏洞允许攻击者使用‘中间人攻击’来破坏MySQL客户端和服务器之间的SSL配置连接。这个漏洞是一个非常关键的安全漏洞,因为它影响到MySQL(一个非常流行的SQL数据库,SSL连接由其定义安全。)
该漏洞编号为“CVE-2017-3305”,可以潜在地将用户登录凭证暴露给攻击者,当MySQL客户端5.5和5.6将这些用户凭证信息发送到服务器时,攻击者就能够顺利捕获它们。
针对5.5.49和5.6.30版本发布的安全更新无法完全解决这一安全漏洞。5.7及更高版本以及MariaDB系统不受该安全问题的影响。
根据安全研究人员 Pali Rohár 所言,他们曾经尝试利用影响MySQL数据库的BACKRONYM漏洞的修补方式来修复Riddle漏洞,但是结果失败了。Backronym漏洞也同Riddle漏洞一样,允许攻击者运行中间人攻击来窃取用户登录凭证,即使流量已经被加密也无法阻止。
MySQL 5.5.49以及5.6.30 稳定版的安全更新包括在验证过程完成后添加安全参数的验证。因为验证完成后,攻击者可以使用中间人攻击与 SSL 降级攻击来窃取用户的登录数据,以便立即进行身份验证并登录 MySQL 服务器,可笑的部分是,MySQL 客户端不会在MySQL服务器拒绝验证用户时报告任何与 SSL 问题相关的错误,而是报告服务器发送的未加密的错误信息。此外,当中间人攻击处于活跃状态时,错误信息可以由攻击者控制。
更新建议
安全专家建议用户尽快将客户端软件更新到MySQL 5.7 或 MariaDB,因为这些应用程序的安全更新正在正常运行,未受该安全漏洞影响。需要注意的是,这个漏洞虽然早在今年2月份就已经发现了,但是目前仍然在影响Oracle MySql软件。
如果你不是Oracle 用户,那么你对他们报告安全漏洞是无用的(即使确实是与安全相关的漏洞)。他们可以完全无视这些安全报告,甚至希望任何人都不要知道这些报告和漏洞的存在,所以至此他们都没有对漏洞进行修复。所以,立即向用户公开披露这些安全漏洞看来是最有效的解决方案,因为这样可以让用户知道一旦受影响应该做什么,有效的保护用户数据安全。
试用、下载、了解更多产品信息请点击"咨询在线客服"
未发布 【教程】FileAudit入门的基本要求 FileAudit可用于对Windows服务器上文件和文件夹的所有访问进行主动跟踪、审核、报告和警告。本文为大家介绍FileAudit入门的基本要求,包括操作系统、硬盘、数据库等。
操作系统
FileAudit可以在以下操作系统中安装(用于控制台安装):
- Windows 10
- Windows 8
- Windows Server 2012 R2
- Windows Server 2012
- Windows 7
- Windows Server 2008 R2
- Windows Server 2008
- Windows Vista
- Windows Server 2003
- Windows XP
- .Net Framework 4是必需的。
硬盘
FileAudit安装文件和文件夹需要60MB的可用硬盘空间。
此外,您必须保留一定的磁盘空间来存储文件访问事件历史记录:由FileAudit审计的访问事件保存在数据库中时会占用0.5KB的磁盘空间。通过将此值乘以平均访问次数
(在测试阶段已知或观察到),您可以轻松地估计数据库大小。
数据库
FileAudit支持以下数据库系统:
- Microsoft Access数据库文件(mdb)
- Microsoft SQL Server Express 2008/2008 R2 / 2012/2014
- Microsoft SQL Server 2008/2008 R2 / 2012/2014
- MySQL 5.6和更高版本
为了便于FileAudit评估,安装包集成了一个“MS Access数据库”来归档所有文件访问事件。这个免费的数据库类型被设计限制为2GB。你可以在使用FileAudit的第一天检查数据库大小的演变,以确认您选择的数据库系统是否适合您的环境。
协议和端口
FileAudit要求将这两个协议从FileAudit服务授权给目标审计系统:
- Microsoft网络的文件和打印机共享 - SMB TCP 445
- ICMP - Ping
请确保在“防火墙例外”列表中启用“远程事件日志管理”(Windows 2008/2008 R2和Windows Server 2012)。FileAudit控制台默认使用TCP端口2000远程连接到FileAudit服务。这个特定的端口可以在“服务”设置中修改。
显示分辨率
FileAudit要求1024 x 768的最小分辨率。
未发布 文档管理控件Xshell 发布v6 Beta版本,引入会话管理器面板丨附下载 Xshell是一个功能强大的终端模拟器,支持SSH、SFTP、TELNET、RLOGIN和SERIAL。它提供业界领先无法替代的性能和特性集。它有许多对企业用户有用的特性,包括:分页式环境、动态端口转发、自定义键映射、用户定义按钮、VB脚本以及显示2字节字符和支持国际语言的UNICODE终端。
Xshell v6 Beta更新内容:
会话管理器
在版本6中,我们对Xshell的界面做了一些直观的改变。最大的改变是引入了会话管理器面板,用户可以轻松创建、编辑和删除会话文件。现在,会话管理的所有方面以及同时启动多个会话的功能都可以通过会话管理器在Xshell中访问。
可停靠的UI
会话管理器窗口、编辑窗口和其他窗扣可以停靠在Xshell的主窗口中。这为Xshell的可定制配置提供了更多的功能。用户可以简单地拖放窗口。
支持SSH PKCS#11
PKCS#11协议使用户能够使用硬件令牌(HSM)安全地存储私钥,以提高安全性。
主题选择
您现在可以根据需要选择Xshell的颜色和整体主题。
编辑窗口
以前,Xshell只能使用编辑栏向终端发送一行准备好的字符。Xshell 6引入了组合窗口,使用户能够准备多行脚本或字符串,并同时将其传送到当前会话或多个会话中。
突出显示
Xshell 6允许用户使用自定义的文本和背景颜色来区分终端的字符串输出。用户可以轻松地管理他们想要突出显示的关键字,也可以创建分组,以便在特定情况下使用设置的关键字。
ASCII和非ASCII(中文,韩文等)字符的独立字体集成
通常,在某些窗口中,即使使用相同的字体,ASCII字符和非ASCII字符的大小也可能不同。在Xshell 6中,用户可以为不同的语言指定不同的字体,从而获得更加一致和稳定的终端输出。
在网上搜索所选文本
任何在Xshell 6终端中选择的字符串都可以通过用户定义的搜索引擎立即在网上搜索。
各种铃声/闹铃选项
当监视远程服务器时,用户设置警报以通知他们任何改变、错误等。仅使用基于字符串的警报可能不足以吸引用户。Xshell 6的铃声选项提供了各种声音和屏幕效果,以确保用户可以及时得到提醒。
稳定性和性能增强工具
我们增强了跟踪消息的功能,并添加了更多的日志记录选项以便用户可以更高效地识别和诊断连接问题。
试用、下载、了解更多产品信息请点击"咨询在线客服"
未发布 MailBee.NET Objects显示HTML/纯文本邮件教程(三):在Web应用程序中显示 MailBee.NET Objects是一款为创建、发送、接收以及处理电子邮件而设计的健壮、功能丰富的.NET控件。几行代码便可为应用程序添加E-Mail支持,简单高效。具备“必需”以及独特的功能,这些控件帮助开发人员简单快速地将复杂的电子邮件功能添加到他们的应用程序中。
本文主要介绍了在Web应用程序中显示HTML/纯文本邮件的代码示例。目前MailBee.NET Objects在线订购享75折优惠正在进行中,欢迎您下载试用版进行运用!
由于Web应用程序在呈现HTML而不是纯文本的Web浏览器中运行,因此应将纯文本数据转换为HTML,以便在浏览器中查看此数据。这也适用于在HTML容器中渲染数据的桌面应用程序。
MailBee可以邮件解析期间自动将纯文本内容转换为HTML。为了调整邮件解析过程,MailMessage类提供了Parser属性。
C#
MailMessage msg = pop.DownloadEntireMessage(1);
msg.Parser.PlainToHtmlMode = PlainToHtmlAutoConvert.IfNoHtml;
VB.NET
Dim msg As MailMessage = pop.DownloadEntireMessage(1)
msg.Parser.PlainToHtmlMode = PlainToHtmlAutoConvert.IfNoHtml
上面的节点从服务器中下载邮件,并让MailBee自动将邮件的纯文本转换为HTML(如果邮件还没有HTML版本)。因此,你将得到可以在ASP.NET应用程序中显示的HTML邮件,如下所示:
C#
Response.Write(msg.BodyHtmlText);
VB.NET
Response.Write(msg.BodyHtmlText)
如果你还需要在HTML容器中显示邮件标头,你可以使用HeadersAsHtml属性替换邮件的所有标题中的“<”,“>”,“和”和“”字符,其HTML表示形式为:
C#
msg.Parser.HeadersAsHtml = true;
Response.Write("From: " + msg.From.ToString());
VB.NET
msg.Parser.HeadersAsHtml = True
Response.Write("From: " + msg.From.ToString())
未发布 终端仿真软件z/Scope Anywhere发布v8.0版本,引入了新的用户界面 Cybele Software,Inc.发布z/Scope Anywhere最新版本v8.0。该产品旨在安全地提供主机系统对全球员工、承包商、客户和其他用户的访问,无需设置客户端。
v8.0引入了新的用户界面(UI)。提供了多种方式在多个活动会话之间查看和导航,v8.0保留了旧版本的经典模式,并引入了Cover Flow显示模式(允许用户在视觉上翻转连接)、Gallery模式(连接显示为缩略图)、网格模式(对齐并显示连接会话)。此外,浏览器选项卡也可用于管理主机系统之间的不同连接。
重要的是,最新版本支持打印机终端仿真(TN3287和TN3812)。z/Scope Anywhere现在可以轻松访问打印文件、打印队列、打印预览功能和其他打印功能。此外,打印作业可以发送到浏览器端打印机或下载为文件。 v8.0中提供了许多身份验证选项,包括简化的单点登录(SSO)、登录、OAuth/2(Google,Facebook等)和RADIUS。匿名访问连接现在可以生成一次性URL(OTURL),以避免URL持有者的登录过程中仍需要标准用户的身份验证。这些URL在使用后或在指定时间后到期,是提供临时访问的好方法。如果这些选项不够,还可以使用提供的安全API创建自定义的身份验证过程。
如果需要从外部应用程序集成访问z/Scope Anywhere,则提供了一个新的HLLAPI JavaScript界面以便于集成。用于集成的另一个显着特征是通过用于连接的专用虚拟路径直接访问仿真屏幕的新选项,允许绕过标准着陆页。
要求
需要运行Windows操作系统的服务器机器。为了缩放和负载平衡部署,需要运行Windows操作系统的网关服务器。
兼容的主机系统包括IBM大型机、AS/400和基于Unix的系统。
客户端机器需要符合HTML5标准的Web浏览器,如Microsoft Edge、IE10/11、Safari、Opera、Chrome或Firefox。
未发布 用户界面控件TMS IntraWeb Component Pack Pro发布v5.8.8.1丨附下载 IntraWeb的TMS控件允许从Delphi IDE直接在IntraWeb表格上编辑设计期间的网页。IntraWeb的TMS控件允许以RAD方法用Delphi进行网页应用程序的开发。这使得网页开发就像在表格上放控件一样简单。
v5.8.8.1
修复:
v5.8.8.0
新增:
修复:
v5.8.7.0
新增:
修复:
v5.8.6.0
改进:
修复:
IWResponsiveList:滚动列表时可能出现问题
IWMultiColumnComboBox:DropDownImage属性的设计时间功能
IWDatePicker:在较新的IW版本中设置可见性问题
IWAdvWebGrid:内存泄漏
IWAdvTreeView:设置SelectedNode属性的问题
v5.8.5.0
新增:
修复:
【慧都十四周年庆预热开启!全场满额送七级豪礼,AppleMac笔记本电脑、iwatch、iPad等您来拿!】
活动时间:10月1日-10月30日
未发布 开发者在增加移动APP收益时必须做的5件事 如今手机应用市场越来越大,其中创新、独特的产品也越来越多。APP市场最好的地方就是无论是iTunes还是Google Play中,你都有平等的机会参与竞争和获得成功。这是一个公平的竞争环境,吸引着无数优质的开发商。专家们已经预测,APP市场在2020年将翻一番,价值可以达到101亿美元。
无论你是一个多优秀的开发者,在开始新的APP应用时也应该注意一些事情。在启动一个APP项目时你应该记住和经过几个重要的步骤来确保它能成功。
沪公网安备31011202009668号 | 沪ICP备13020027号-2