+设为首页 +添加到收藏夹
首先,我们知道domino在可以运行在多个平台下,例如linux.unix.windows等,很多情况下在服务器的操作系统中存在着多个用户,而恰好如果某个用户可以访问并能修改在操作系统下的数据库的话,那么domino自身的校验机制将没有任何作用,这一点实际上很容易理解,就如同我们在本地修改数据库的acl.所以首先第一点.确保你的domino所在的目录只有相关人员可以进行访问.domino系统的安全的大前提是服务器的操作系统的安全.
第三.我们来看看names.nsf这个系统配置库.只要你有一个用户名,你会发现,你可以看到服务器的配置信息.也就是说,为什么网上的那些提供测试用户的数据库安全性很低的原因了.至于具体方法,我就不在这里多说了.解决办法,所有的关系的配置的视图,用缺省的页面来显示,假设是people这个视图,我们建一个页面 $$viewtemplate for (people)来显示视图,在这个页面的onload事件里面用js直接关闭就可以了,这样用户将不可以通过web来访问视图,也不可以从视图上把用户的id拆离下来了. 【程序编程相关:浅薄”绝不该是中国程序员的性格特征zt】
其次,我们在使用domino的时候,经常会修改一些模版,如domcfg.nsf,mail50.ntf等,这些数据库.模版的缺省default的权限就是编辑者的,也就是说:我们可以达到修改模版的目的来修改数据库!说到这里,各位应该心里有数了吧?也就是说,domino自己的用户,即使不是管理员,也可以修改数据库的. 【推荐阅读:【转载】揭开极端编程的神秘面纱: 测试驱】
... 下一页