Lodop系列軟件的安全機制靈活而有效,所有安全細節經過周密推演,全球廣泛流行十幾年來也未曾有安全事故報告。本文主要針對一些安全評估需求做一下說明。
一、安全訪問本地資源
網頁程序利用C-Lodop或Lodop訪問本地文件時,會有如下安全許可提示:
注意這個許可也只能是本機瀏覽器頁面,如果試圖遠程訪問會被嚴禁,類似如下警示:
二、管理頁面功能被安全固化
C-Lodop軟件以“零設置”為架構設計目標,所以可設置項極少,那個8000端口看到“歡迎頁面”全是demo,便於初學者入門,程序內部也已鎖死\Rootdir這個目錄,其中全是例子文件。直白點說,無論攻擊者如何費勁周折,獲得的僅僅是這些“廣告”而已。
另外由於C-Lodop是瀏覽器與打印設備之間的接口(也就是空管道)程序,本身沒有數據庫一類的涉密資源,所以通過web端口的不軌意圖幾無油水可尋。
三、登錄賬戶和密碼是業務安全補充
既然沒有安全信息資產可圖,那么借用C-Lodop進行私自打印就是占紙張便宜的唯一"漏洞"。這個密碼之所以沒那么復雜,正因管理者希望的是簡單好記、容易改動的小范圍人群口授令。而且即便真要被突破成功,那么私自打印出來的內容紙張正是"物理罪證"本身。所以嚴格來說,這個環節屬於“非技術加密”范疇,安全評估者不用費心思於此。
四、安裝C-Lodop時可選擇本機模式
對於僅本地打印的電腦,安裝C-Lodop時選擇“只許本機打印”,則徹底避免因開啟了幾個web端口引起的盲目恐慌。選擇方式截圖如下:
如果安裝時忘記以上選擇,還可以重新安裝一遍。當然也可以通過禁選“允許訪問”網絡,讓操作系統防火牆來避免其他設備使用本機,截圖如下(這個操作不影響本機正常打印),安裝時點“取消”按鈕即可:
五、關閉web管理頁面讓惡者無從下手
如果是部署雲打印服務器,則建議關閉web管理頁面,關閉地址為:8000/c_options,此時為了避免登錄密碼被暴力破解,可以設置密碼長點,一個超十位的字母數字混合密碼,粗略測算可讓理論上能破解的程序在實踐上運行上百年才行。
當然破解之后才發現,安全門之后是一面"白牆",因為C-Lodop程序是固化單一功能。
六、設置訪問來源的網址白名單,把安全責任統歸業務頁面
以上安全舉措皆限於C-Lodop本身不被侵害,但由於Lodop強大的編程功能,特別是被打印內容的腳本里包含惡意代碼,也就是利用Lodop它作為攻擊工具的意圖就成了難點。
此時只能通過地址 :8000/c_whitelist 設置訪問來源白名單,把安全責任統統交有合法來源頁面管理,畢竟它僅是工具。
如果你還有其它安全需求,譬如您想定做“默認勾選本機打印模式”的安裝程序,可聯系Lodop官方: