New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom

dp2library 中对于涉及到密码的各个环节进行加固 #14

Open

DigitalPlatform opened this issue Apr 16, 2016 · 0 comments

Labels

Owner

DigitalPlatform commented Apr 16, 2016 •

edited

Loading

dp2library 中，读者库记录的 password 元素用于存储密码，这里存储的是 hash 以后的字符串，不是明码。但如果泄露给不具备相应权限的用户还是具有一定危险性的。所以最近对相关环节进行了一些加固，下面描述这个过程，为测试验证提供帮助。

所有用户使用 GetReaderInfo() API 的时候，系统过滤掉了读者记录中的 password 元素再返回。在需要创建一些其他格式返回的情况下，在创建这些格式以前，原始的 XML 字符串中已经预先去掉了 password 元素。
所有用户使用 GetOperLog() 和 GetOperLogs() API 在返回日志记录的时候，过滤掉了其中各种读者记录的 password 元素，也过滤掉了 changeReaderPassword 操作和 setUser 操作日志记录中的密码信息。
当(超级用户) 使用 dp2library 日志恢复操作的时候，从物理文件读出日志记录的中间环节不过滤任何密码信息，因为这些密码要用于恢复读者记录和相关记录。测试的时候要格外注意检查这一点，看看是不是不恰当过滤的密码信息、导致系统恢复后读者密码和相关环节的密码无法还原到最新的状态。

DigitalPlatform added the 用户手册 label

renyh pushed a commit that referenced this issue


          Merge pull request #14 from DigitalPlatform/master

154b171

同步源

DigitalPlatform pushed a commit that referenced this issue


          Merge pull request #14 from DigitalPlatform/master

ef23f4a

同步源

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment