Lotus Connections的安全性

November 17th, 2007 9:26 am

Lotus Connections的安全性包括以下几个方面:

1. 传输层安全。Connections在用户登录时强制采用SSL,用户也可以修改配置实现整个应用的SSL保护。上周我们根据一个国外客户的需求,通过定制web.xml和HTTP Server的rewriterule实现了Web访问的强制SSL保护和feed内容的强制basic authentication。

2. 认证安全。Connections的认证包括form based authentication(j_security_check)和basic authentication。前者是在使用浏览器访问5个模块的时候用户认证方式,后者是feed reader使用的。在Connections 1.0.2中,强制要求feed reader在做post等写操作的时候使用basic authentication over SSL,其他读feed的操作无需认证。

3. 第三方安全产品的支持。1.0.2增加了对Tivoli Access Manager (TAM)的支持。看似和应用无关的安全支持实际上影响了不少的代码。而为了支持AJAX, JSON等调用,TAM的配置也是很不同。举例来讲,我们尝试过的一个TAM配置会在返回的页面的末尾添加一段JS代码,这会break我们的JSON调用,必须用其他配置形式绕过。

4. 对Web内容的过滤。Connections使用了ACF对用户提交内容进行检查,去除掉一些会危害Web访问安全的代码,如Cross-site scripting (XSS)。Blogs还会根据用户配置对上传的文件进行检测,最大程度上减少XSS的可能性。Activities甚至还提供了对CSRF的防范功能。

天下没有免费的午餐,增加了诸多的安全性机制,会在某种程度上对系统性能产生影响,比如HTTPS相对HTTP会降低约40%的性能(仅在登录是使用可以忽略);ACF的HTML解析的代价。好消息是大部分安全机制都是可以由用户修改配置来enable或者disable,有相当的灵活性。

2 Responses to “Lotus Connections的安全性”

  1. Tristan Chen says:

    最近正在总结这个,你这篇真是及时雨啊,谢谢啦。不过号称2.0这部分会有很大的加强。

Leave a Reply

*