Monthly Archives: May 2012

[WIF] 怎麼改變 STS 送出的 Token 的格式? e.g., Saml2?

預設的狀況下,STS 會將 identity 包在 Saml1.1 的 Token 裡面。 如果要使用別的 Token,則需要修改 STS 的 GetScope() 方法, 加入想要的 TokeType. 譬如說,如果要設定成 Saml2 Token, 則加入下面代碼: request.TokenType = “http://docs.oasis-open.org/wss/oasis-wss-saml-token-profile-1.1#SAMLV2.0”; 如下所示 (程式碼取自 Wif v1 SDK): [csharp] protected override Scope GetScope( IClaimsPrincipal principal, RequestSecurityToken request ) { ValidateAppliesTo( … Continue reading

Posted in WIF | Tagged | Leave a comment

[轉貼] Base64 原理

Reference: http://www.cnblogs.com/apm70/archive/2012/02/19/2358569.html

Posted in WCF | Tagged | Leave a comment

Kerberos 的相關連結

References: http://technet.microsoft.com/en-us/library/bb742449.aspx http://technet.microsoft.com/en-us/library/bb742516.aspx http://www.microsoft.com/taiwan/technet/columns/profwin/kerberos101.mspx http://technet.microsoft.com/zh-tw/library/dd125511.aspx

Posted in Windows | Tagged , | Leave a comment

[轉貼] Windows 登錄過程 winlogon / GINA / Kerberos / KDC

Reference: http://www.blogjava.net/jinfeng_wang/archive/2007/07/26/132599.html http://topic.csdn.net/t/20060301/15/4585911.html# 先说说登录过程吧,首先声明,winlogon.exe可不是随意可更换的,我们更换的是GINA,而非winlogon.exe,如果处理不当,可能WINDOWS就起不来了. 在“交互式登录”过程中,Winlogon调用了GINA组文件,把用户提供的账号和密码传达给GINA,由GINA负责对账号和密码的有效性进行验证,然后把验证结果反馈给Winlogon程序。在与Winlogon.exe对话时,GINA会首先确定Winlogon.exe的当前状态,再根据不同状态来执行不同的验证工作。通常Winlogon.exe有三种状态:   1.已登录状态   顾名思义,用户在成功登录后,就进入了“已登录状态”。在此状态下,用户可以执行有控制权限的任何操作。   2.已注销状态   用户在已登录状态下,选择“注销”命令后,就进入了“已注销状态”,并显示Winlogon桌面,而由GINA负责显示登录对话框或欢迎屏幕。   3.已锁定状态   当用户按下“Win+L”键锁定计算机后,就进入了“已锁定状态”。在此状态下,GINA负责显示可供用户登录的对话框。此时用户有两种选择,一种是输入当前用户的密码返回“已登录状态”,另一种是输入管理员账号和密码,返回“已注销状态”,但原用户状态和未保存数据丢失。   ////登录到本机的过程   1.用户首先按Ctrl+Alt+Del组合键。   2.Winlogon检测到用户按下SAS键,就调用GINA,由GINA显示登录对话框,以便用户输入账号和密码。   3.用户输入账号和密码,确定后,GINA把信息发送给LSA进行验证。   4.在用户登录到本机的情况下,LSA会调用Msv1_0.dll这个验证程序包,将用户信息处理后生成密钥,同SAM数据库中存储的密钥进行对比。   5.如果对比后发现用户有效,SAM会将用户的SID(Security Identifier–安全标识),用户所属用户组的SID,和其他一些相关信息发送给LSA。   6.LSA将收到的SID信息创建安全访问令牌,然后将令牌的句柄和登录信息发送给Winlogon.exe。   7.Winlogon.exe对用户登录稍作处理后,完成整个登录过程。   ////登录到域的过程   登录到域的验证过程,对于不同的验证协议也有不同的验证方法。如果域控制器是Windows NT 4.0,那么使用的是NTLM验证协议,其验证过程和前面的“登录到本机的过程”差不多,区别就在于验证账号的工作不是在本地SAM数据库中进行,而是在域控制器中进行;而对于Windows 2000和Windows 2003域控制器来说,使用的一般为更安全可靠的Kerberos V5协议。通过这种协议登录到域,要向域控制器证明自己的域账号有效,用户需先申请允许请求该域的TGS(Ticket-Granting Service–票据授予服务)。获准之后,用户就会为所要登录的计算机申请一个会话票据,最后还需申请允许进入那台计算机的本地系统服务。   其过程如下:   1.用户首先按Ctrl+Alt+Del组合键。   2.Winlogon检测到用户按下SAS键,就调用GINA,由GINA显示登录对话框,以便用户输入账号和密码。   3.用户选择所要登录的域和填写账号与密码,确定后,GINA将用户输入的信息发送给LSA进行验证。   4.在用户登录到本机的情况下,LSA将请求发送给Kerberos验证程序包。通过散列算法,根据用户信息生成一个密钥,并将密钥存储在证书缓存区中。   5.Kerberos验证程序向KDC(Key Distribution Center–密钥分配中心)发送一个包含用户身份信息和验证预处理数据的验证服务请求,其中包含用户证书和散列算法加密时间的标记。   6.KDC接收到数据后,利用自己的密钥对请求中的时间标记进行解密,通过解密的时间标记是否正确,就可以判断用户是否有效。   7.如果用户有效,KDC将向用户发送一个TGT(Ticket-Granting Ticket–票据授予票据)。该TGT(AS_REP)将用户的密钥进行解密,其中包含会话密钥、该会话密钥指向的用户名称、该票据的最大生命期以及其他一些可能需要的数据和设置等。用户所申请的票据在KDC的密钥中被加密,并附着在AS_REP中。在TGT的授权数据部分包含用户账号的SID以及该用户所属的全局组和通用组的SID。注意,返回到LSA的SID包含用户的访问令牌。票据的最大生命期是由域策略决定的。如果票据在活动的会话中超过期限,用户就必须申请新的票据。   8.当用户试图访问资源时,客户系统使用TGT从域控制器上的Kerberos … Continue reading

Posted in Windows | Tagged | Leave a comment

Well-Known SIDs

Reference: Well-Known SIDs

Posted in 微軟相關 | Tagged | Leave a comment

Windows Logins Revealed

Reference: Windows Logins Revealed 之前一直搞不懂使用者怎麼登錄 windows 的,這個 video 裡面有比較詳細的說明。 基本上,使用者輸入的密碼,並不會送到遠方的電腦去比對,而是使用 password 的 hash 對 server 送過來的 nounce 或 challenge 加密,然後送回去給 Server,Server 會比對 user 是不是使用同一個 password 的 hash 來加密資料,如果是那就認證完成,然後傳送一個含有 SIDs 的 Token 給 user。

Posted in 微軟相關, 網路安全 | Tagged , | Leave a comment

[轉貼] 產業分析師常見的迷思

轉錄於 http://yuyulaw.info/wordpress/?p=106 這陣子我都在資策會上【高科技產業分析】的課程 老實說,上這樣的課程與其說讓我知道產業分析能作些什麼,不如說讓我知道產業分析不能作些什麼! 產業分析師,聽起來風光,感覺好像很厲害,但事實全然不是這麼回事! 接下來我會說說產業分析常見的幾點迷思: 1.只見樹,不見林 產業分析師很多的報告,你都可以發現著重在於技術產品的說明 但是卻不能夠明確點出該項技術、產品真正在產業中所扮演的角色;更看不出那些東西背後真正的競爭力所在。 他們的確很認真的去弄懂其實他們不是很懂的技術(即便是理工出身的,不在第一線根本就不能說自己有多懂技術) 但是技術發展、產品發展,在分析企業核心競爭力時有扮演到那麼重要的角色嗎? 其實往往大部分的分析師,連這都搞不清楚! 更重要的是,他們所謂的技術大部分也是問來的,真真正正打開教科書、打開專利說明書研究的沒幾個。這種半吊子的技術研究,不如不要研究! 而從一個專業投資人的角度來看,投資絕對不是在這種小地方上鑽營,因為即便是第一線的工程師,甚至該公司的大老闆,也常常投資錯誤或是誤判情勢!(例如台積電的張忠謀)。他們的專業、認真絕對超過分析師,如果說去分析樹木,我想分析失事絕對比不過他們的。 講一堆,簡單說分析師就是在這方面作白功,卻又自以為專業! 2.競爭力迷思 大部分的分析師,根本不知道什麼是競爭力 他們看,都只是看現在,但對CEO或是投資人來說,真正重要的顯然是該公司是否具有能夠面對未來10年的競爭力特質。 對於這點,如果你認真看分析師的報告,他們顯然是在產品上打轉、在謠言中打轉、在公司廣告詞中打轉….. 這樣的分析方式,難怪台灣的基金賺錢的幾乎沒有,賠錢的倒是一堆! 競爭力,就是公司不管景氣、不管產品、不管行業,能夠繼續存活的力量! 除此之外,都只是行為,都只是現象! 沒有該特質為核心的行為,絕對不會導致同樣的結果 分析師似乎總是認為成功企業總是因為某個策略而成功 但事實上成功企業的成功是眾多行為的累積,絕對不可能是一時點的某一行為就能成其大業的! 而背後推動這一連串行為的抽象價值觀,才是企業真正競爭力之所在 3.市佔率迷思 高市佔率等於成功? 這是很多分析師常見的迷思。 例如Intel具有高市佔率,所以他就真的完全在市場上呼風喚雨? 企業存在的目的就僅僅是為了高市佔率? BMW在汽車業中市佔率並不高,但你會覺得他是失敗的公司嗎?你覺得他是失敗的產品嗎? 分析師會犯下這樣錯誤,甚至有企管學院的教授也犯這樣的錯誤,我覺得都來自於對企業本質的認識與觀念發生偏差! 企業的目的絕對不是獲利而已,相反地,獲利是企業存在之現象。如果你無法看穿,你就找不到你的企業核心競爭力! 企業首先必須先認清自己的本質,確定自己是什麼公司、為什麼存在? 並真實地了解自己所提供於市場的產品到底是什麼,才能進一步的去評析自己有沒有繼續存在的價值? 如果自己的產品在顧客眼中沒有價值,你的公司也是沒有價值,這時你必須選擇關閉或是轉型;如果有價值,那你必須讓自己的公司獲得維持價值的最小利潤! 這最小利潤將支付下一年度的營運、R&D的費用以及股東所需的投資報酬。 而同時,成功的企業必須學會避免自己過於快速的成長:因為你不可能讓你的人跟企業一樣快速成長,所以過快到最後你的人會控制不了! 你也要避免你的企業變成市場第一名! 心理層面來說,市場第一名通常會被自大打敗;實質層面來說,第一名的變動成本往往是最大的,所以因應未來只會越快速變動的市場,過大的變動成本只會讓你死得更快! … Continue reading

Posted in 市場分析 | Tagged | Leave a comment

[讀書心得] 致富之路 (Peter Lynch & John Rothchild)

Learn to Earn: A Beginner’s Guide to the Basics of Investing And Business 作者:Lynch, Peter/ Rothchild, John (NRT) 出版社:良品文化館 出版日期:2004年08月 (我看的是中文版!) “沒有人天生就懂得投資的訣竅,千萬別相信「天生的投資專家」這種神話,成功的投資一定是得花時間靠學習而來的。” 投資概論: 越早投資越好,及早利用一小筆錢進行投資,比拿著一大筆錢卻耽擱了投資時點來的有利的多。 耐性才是最大的贏家! 投資就是想辦法讓錢幫你賺錢,而儲蓄是投資的基礎。 五種基本的投資工具: 1. 存款 2. 收藏品 3. 房地產 4. 債券 5. 股票 Lynch 分析上面五種工具得到兩個結論: 不論發生任何情況,都不可放棄投資股票的機會。 … Continue reading

Posted in 投資理財, 讀書心得 | Tagged , , | Leave a comment