You are viewing a plain text version of this content. The canonical link for it is here.
Posted to commits@dubbo.apache.org by al...@apache.org on 2021/09/06 02:38:11 UTC

[dubbo-website] branch master updated: Add security docs (#938)

This is an automated email from the ASF dual-hosted git repository.

albumenj pushed a commit to branch master
in repository https://gitbox.apache.org/repos/asf/dubbo-website.git


The following commit(s) were added to refs/heads/master by this push:
     new aeb3389  Add security docs (#938)
aeb3389 is described below

commit aeb3389acd0ff70f3dedeb2805ad36edf0e1f39a
Author: Albumen Kevin <jh...@gmail.com>
AuthorDate: Mon Sep 6 10:38:02 2021 +0800

    Add security docs (#938)
---
 content/zh/docs/Introduction.md                    |  2 +-
 content/zh/docs/advanced/serialization-security.md | 17 +++++++++++++++++
 2 files changed, 18 insertions(+), 1 deletion(-)

diff --git a/content/zh/docs/Introduction.md b/content/zh/docs/Introduction.md
index bab189b..e3ea2d5 100644
--- a/content/zh/docs/Introduction.md
+++ b/content/zh/docs/Introduction.md
@@ -10,7 +10,7 @@ description: "这篇文档是关于 Dubbo 的简单介绍,涵盖 Dubbo 的核
 Apache Dubbo 是一款微服务开发框架,它提供了 RPC通信 与 微服务治理 两大关键能力。这意味着,使用 Dubbo 开发的微服务,将具备相互之间的远程发现与通信能力,
 同时利用 Dubbo 提供的丰富服务治理能力,可以实现诸如服务发现、负载均衡、流量调度等服务治理诉求。同时 Dubbo 是高度可扩展的,用户几乎可以在任意功能点去定制自己的实现,以改变框架的默认行为来满足自己的业务需求。
 
-Dubbo3 基于 Dubbo2 演进而来,在保持原有核心功能特性的同时, Dubbo3 在易用性、超大规模微服务实践、云原生基础设施适配等几大方向上进行了全面升级。
+Dubbo3 基于 Dubbo2 演进而来,在保持原有核心功能特性的同时, Dubbo3 在易用性、超大规模微服务实践、云原生基础设施适配、安全设计等几大方向上进行了全面升级。
 以下文档都将基于 Dubbo3 展开。
 
 ## What Dubbo3 is
diff --git a/content/zh/docs/advanced/serialization-security.md b/content/zh/docs/advanced/serialization-security.md
new file mode 100644
index 0000000..99a21e5
--- /dev/null
+++ b/content/zh/docs/advanced/serialization-security.md
@@ -0,0 +1,17 @@
+---
+type: docs
+title: "序列化协议安全"
+linkTitle: "序列化协议安全"
+weight: 1
+description: "在 Dubbo 中更安全的使用序列化协议"
+---
+
+Dubbo3.0在序列化协议安全方面进行了升级加固,推荐使用Tripe协议非Wrapper模式。
+该协议默认安全,但需要开发人员编写IDL文件。
+
+
+Triple协议Wrapper模式下,允许兼容其它序列化数据,提供了良好的兼容性。但其它协议可能存在反序列化安全缺陷,对于Hession2协议,高安全属性用户应当按照samples代码指示,开启白名单模式,框架默认会开启黑名单模式,拦截恶意调用。
+
+不建议使用其它序列化协议,当攻击者可访问Provider接口时,其它序列化协议的安全缺陷,可能导致 Povider 接口命令执行。
+
+若必须使用其它序列化协议,同时希望具备一定安全性。应当开启Token鉴权机制,防止未鉴权的不可信请求来源威胁Provider的安全性。开启Token鉴权机制时,应当同步开启注册中心的鉴权功能。