Lodop系列软件的安全机制灵活而有效,所有安全细节经过周密推演,全球广泛流行十几年来也未曾有安全事故报告。本文主要针对一些安全评估需求做一下说明。
一、安全访问本地资源
注意这个许可也只能是本机浏览器页面,如果试图远程访问会被严禁,类似如下警示:
二、管理页面功能被安全固化
C-Lodop软件以“零设置”为架构设计目标,所以可设置项极少,那个8000端口看到“欢迎页面”全是demo,便于初学者入门,程序内部也已锁死\Rootdir这个目录,其中全是例子文件。直白点说,无论攻击者如何费劲周折,获得的仅仅是这些“广告”而已。
另外由于C-Lodop是浏览器与打印设备之间的接口(也就是空管道)程序,本身没有数据库一类的涉密资源,所以通过web端口的不轨意图几无油水可寻。
三、登录账户和密码是业务安全补充
既然没有安全信息资产可图,那么借用C-Lodop进行私自打印就是占纸张便宜的唯一"漏洞"。这个密码之所以没那么复杂,正因管理者希望的是简单好记、容易改动的小范围人群口授令。而且即便真要被突破成功,那么私自打印出来的内容纸张正是"物理罪证"本身。所以严格来说,这个环节属于“非技术加密”范畴,安全评估者不用费心思于此。
四、安装C-Lodop时可选择本机模式
对于仅本地打印的电脑,安装C-Lodop时选择“只许本机打印”,则彻底避免因开启了几个web端口引起的盲目恐慌。选择方式截图如下:
如果安装时忘记以上选择,还可以重新安装一遍。当然也可以通过禁选“允许访问”网络,让操作系统防火墙来避免其他设备使用本机,截图如下(这个操作不影响本机正常打印),安装时点“取消”按钮即可:
五、屏蔽web管理页面让恶者无从下手
六、设置访问来源的网址白名单,把安全责任统归业务页面