问题标签 [policy]

是否有在运行时向 Java 安全策略添加/删除权限的合法方法？

我的 Flash 游戏需要连接到我的 PHP Socket 服务器。出于安全考虑，当 Flash 客户端尝试连接时，必须将策略文件发送到它。

以下是我所做的。

在 Actionscript / Flex 3 / Flash 中：

为了使套接字服务器响应请求，我在服务器中添加了以下内容：

但是，我收到以下错误：“由于缺少 Content-Type，忽略 (URL) 处的策略文件。” 所以，我试图通过在我的 xml 代码上方添加一个标题来解决这个问题：

不幸的是，我仍然遇到同样的错误。我是否以错误的方式提供内容类型？

有没有人能够成功地实施一项服务来为 FlashPlayer 提供所需的套接字策略文件？

我正在运行 Adob​​e 提供的服务的 Python 实现

并使用以下策略文件：

并从 Flash 接收此消息：

谢谢。

我在一个我们构建处理和存储敏感数据的应用程序的地方工作。我们有 3 个环境。开发、UAT / QA（用户验收测试）和生产

我工作的开发人员无法访问 UAT 或 Production，并且对 Dev 的访问权限有限。我们在 dev 中所能做的就是连接到 dev 数据库服务器。我们无法访问开发服务器本身。所以我们不允许在 dev 上玩 Web 服务器 (iis) 之类的东西。如果我们想要更改，我们必须通过向我们的网络管理员提交工作请求的正式流程（这可能需要几天才能完成）。如果开发人员请求在 UAT 或 PROd 数据库中检查某些内容，情况也是如此。在尝试支持我们的应用程序时，这种严格的访问限制确实令人沮丧。

我能理解为什么我们有这些政策，因为它降低了事情被搞砸的风险。但这使得解决问题非常耗时且痛苦。可能需要 5 分钟才能解决的问题（如果开发人员有权访问）可能需要数天才能解决。

这种严格的访问权限正常吗？

我们公司比较小，没有太多的政策和程序来促进良好的发展。当我第一次开始时，我开发了一些，但我们现在需要以更正式的方式更新这些。由于我在编写策略方面没有太多经验（我已经编写了很多指令集，所以我并不担心程序，尽管仍然很周到），我想向社区寻求有关编写好的提示和建议软件开发的政策和程序。谢谢。

我问这个问题是因为我没有在任何地方看到它记录在案。我们正在使用 Team Foundation Server 2008 和 Team Explorer 2005 的组合。

是否可以部署适用于这种环境的自定义签到策略？

显然，自定义签入策略包含一些必须在客户端运行的代码（以显示帮助等）。所以它应该使用 Team Explorer 2005 附带的 Microsoft.TeamFoundation.VersionControl.Client 程序集。

但是，我的感觉告诉我，为了有效，应该在服务器本身上强制执行签入策略（例如，支持从命令行签入更改或使用原始 Web 服务 API）。因此，它必须针对 Team Foundation Server 2008 附带的 Microsoft.TeamFoundation.VersionControl.Client 运行。

那么，是否可以构建一个使用最新版本的 Microsoft.TeamFoundation.VersionControl.Client 程序集（客户端上为 2005，服务器上为 2008）的单个自定义签入策略？

还是我必须建立两个自定义签入策略，一个用于客户端，一个用于服务器？那还能用吗？

还是自定义签入策略只存在于客户端？

是否可以在不修改安全策略文件的情况下以编程方式安装 Bouncycastle 提供程序？

拥有开发人员中最好的论坛网站，我想我会就哪些政策和最佳实践可以做出好的编码找到非常好的共识。我会把其中的一些放在这里，所以我给出了这个想法，但我想听听你的意见，投票可能会成为最佳政策的评判者。

• 开发团队之间编码的特定缩进
• 每个方法前，每个变量声明前的具体注释
• 命名约定，驼峰式或任何其他。
• 在每个容器标记后的 HTML 注释中。
• 在 CSS 中，每个声明只使用一次。

你明白了。我想知道公司要求我们做什么，以及哪些真正有助于获得可维护和漂亮的代码。

在大型组织现场安装应用程序并支付支持费用的情况下，我的公司正在努力解决维护版本与“正常”版本的问题。首先让我定义我的术语：

• 假设我们已经发布了产品的 1.0、1.1 和 1.2 版本。这些是我所说的“正常”版本，即它们是主要开发分支的下一个版本，包含所有最新和最强大的错误修复和增强功能（每个版本可能有数十个）。
• 现在想象一下 1.0 上的一些大客户报告了一个以前没有人遇到过的令人震惊的问题。这个问题在 1.2 中仍然存在，不幸的是 1.3 不会在几周或几个月后发布。因此，我们在 1.0 分支代码以创建 1.0.1“维护”版本，其中仅包含解决问题的一项更改。

这种方法让客户很高兴，因为我们在一天左右的时间内解决了他们的问题，而不是让他们等待数周直到下一个正常版本。此外，由于维护版本只包含一个小的更改，他们不需要经过广泛的 UAT 过程，而如果他们升级到下一个正常版本，可能会有几个版本，他们可能会收到 30 或 40 （在他们厌恶风险的观点中）需要大量 UAT 的产品变更。

问题是：

• 创建和支持我们软件的多个版本对我们来说成本很高
• 它允许顽固的客户远远落后于最新版本
• 它使将来最终升级这些客户的过程变得复杂，因为他们的安装与所有其他 1.0 客户略有不同（如果维护版本以某种方式对其进行了更改，则升级他们的数据库特别复杂）

所以我想知道其他人在这个问题上的立场是什么？您如何在不通过大量维护版本为您自己背锅的情况下让客户满意？例如，您是否允许某些类别的修复作为维护版本完成，但坚持其他类型的修复在下一个正常版本中完成？

澄清：编写没有错误的软件并不是一个完整的解决方案，因为上述上下文中的“问题”可能是我们产品所依赖的外部系统行为的不可预见的变化。

如何在 C# 中制作套接字策略文件服务器。它所要做的就是在端口 843 上侦听字符串“<policy-file-request/>”，后跟一个 NULL 字节，然后返回一个 XML 字符串（这是套接字策略文件）。

我以前没有编码过这种东西，不确定从哪里开始。我是否在 Windows 服务中创建它？欢迎任何提示或链接。

背景：

要从 Flash 联系 Web 服务，我使用的是“as3httpclient”库而不是 URLRequest/URLLoader。这是因为它使我能够使用 GET 请求发送自定义标头。这个库使用低级套接字来完成它的工作。

当 flash 使用低级套接字连接到服务器时，它会查找套接字策略文件 - 这需要由套接字策略文件服务器提供服务。

Adobe 的套接字策略文件文章