我想为忘记密码生成标识符。 我读过,我可以通过使用mt_rand()的时间戳来做到这一点,但有些人说,时间戳可能不是唯一的每一次。 所以我有点困惑。 我可以用这个时间戳吗? 题 生成自定义长度的随机/唯一标记的最佳做法是什么? 我知道这里有很多问题,但是在阅读了不同的人的不同意见后,我越来越困惑。
我想知道人们认为保护网站pipe理部分的最佳做法,特别是从authentication/访问的angular度来看。 当然有很明显的事情,例如使用SSL和logging所有访问,但是我想知道以上这些基本步骤的人们认为设置栏。 例如: 你只是依靠你用于普通用户的authentication机制吗? 如果不是,什么? 你是否在同一个“应用程序域”中运行pipe理部分? 您采取了哪些步骤来使pipe理部分未被发现? (或者你拒绝整个“默默无闻”的东西) 到目前为止,来自回答者的build议包括: 在每个pipe理员密码检查中引入仿真的服务器端暂停,以防止暴力攻击[开发人员艺术] 使用单独的login页面为用户和pipe理员使用相同的数据库表(阻止XSRF和会话窃取授予访问pipe理区) [大师] 考虑也添加web服务器本地身份validation到pipe理区(例如通过.htaccess) [大师] 考虑一些失败的pipe理员login尝试后阻止用户的IP [大师] 失败的pipe理员login尝试后添加validation码[贼大师] 为用户和pipe理员提供同样强大的机制(使用上述技术)(例如,不要专门对待pipe理员) [Lo'oris] 考虑二级authentication(例如客户端证书,智能卡,纸牌空间等) [JoeGeeky] 只允许从受信任的IP /域访问,如果可能的话,将检查添加到基本的HTTPpipe道(通过例如HttpModules)。 [JoeGeeky] [ASP.NET]lockingIPrincipal&Principal(使它们不可变且不可枚举) [JoeGeeky] 联合权限提升 – 例如在任何pipe理员权限升级时向其他pipe理员发送电子邮件。 [JoeGeeky] 考虑pipe理员的细粒度权限 – 例如,而不是基于angular色的权限,为每个pipe理员的个别行为定义权限[JoeGeeky] 限制创buildpipe理员 – 例如pipe理员不能更改或创build其他pipe理员帐户。 使用locking的“superadmin”客户端。 [JoeGeeky] 考虑客户端SSL证书或RSAtypes密钥(电子令牌) [Daniel Papasian] 如果使用Cookie进行身份validation,则对pipe理员和常规页面使用单独的Cookie,例如,将pipe理员部分放在不同的域上。 [Daniel Papasian] 如果可行,请考虑将pipe理站点保留在私有子网上,不要使用公共互联网。 [John Hartsock] 当在网站的pipe理员/正常使用情况之间移动时重新发放authentication/会话票证[Richard JP Le Guen]
在deviseREST API时,通常先validation用户身份? 我正在寻找的典型用例是: 用户想要获取数据。 当然很酷,我们喜欢分享! 获取一个公共API密钥并阅读! 用户想要存储/更新数据…哇等等! 你是谁,你能做到吗? 我想build立一次,并允许说一个networking应用程序,一个Android应用程序或iPhone应用程序来使用它。 REST API似乎是这样的需求的合理select 为了说明我的问题,我将使用一个简单的例子。 我有一个数据库中的项目,它有一个评级属性(整数1到5)。 如果我正确理解REST,我将使用我select的语言来实现GET请求,该语言返回如下所示的csv,xml或json: http://example.com/product/getrating/{id}/ 说我们select我们返回的JSON: { "id": "1", "name": "widget1", "attributes": { "rating": {"type":"int", "value":4} } } 这对于面向公众的API来说很好。 我得到那部分。 我有很多问题是如何将这与安全模型相结合? 我习惯了networking应用程序的安全性,我有一个会话状态在任何时候都可以识别我的用户,所以我可以控制他们可以做什么,不pipe他们决定发送给我什么。 据我所知,这不是RESTful,所以在这种情况下将是一个不好的解决scheme。 我会尝试使用相同的项目/评级的另一个例子。 如果用户“JOE”想要添加评级到一个项目 这可以使用: http://example.com/product/addrating/{id}/{givenRating}/ 在这一点上,我想存储的数据说,“JOE”给了产品{id}评级{givenRating}。 问:我怎么知道请求来自“JOE”而不是“BOB”。 此外,如果是用户的电话号码更合理的数据呢? 我到目前为止是: 1)使用HTTP的内置function在每个请求进行身份validation,无论是纯HTTP还是HTTPS。 这意味着每个请求现在都采取以下forms: https://joe:joepassword@example.com/product/addrating/{id}/{givenRating}/ 2)像私人和公共密钥一样使用Amazon S3的方法: http : //www.thebuzzmedia.com/designing-a-secure-rest-api-without-oauth-authentication/ 3)无论如何都要使用cookie,并打破REST的无状态部分。 第二种方法对我来说似乎比较好,但是我还想知道我是否真的必须重新发明这整个事情呢? 散列,存储,生成密钥等都由我自己? 这听起来很像在典型的Web应用程序中使用会话,并自己重写整个堆栈,通常我的意思是“你做错了”,特别是在处理安全性时。 编辑:我想我应该提到OAuth以及。
我需要在我的C ++应用程序中存储敏感信息(我想保密的对称encryption密钥)。 简单的方法是做到这一点: std::string myKey = "mysupersupersecretpasswordthatyouwillneverguess"; 但是,通过strings进程(或从二进制应用程序提取string的任何其他应用程序)运行应用程序将显示上述string。 应该使用什么技术来掩盖这种敏感数据? 编辑: 好吧,几乎所有人都说“你的可执行文件可以被反向devise” – 当然! 这是我的宠物,所以我要在这里咆哮一下: 为什么99%(好吧,也许我夸大了一点)这个网站上的所有与安全相关的问题都是用“没有办法创build一个完全安全的程序”的洪stream来回答的 – 这不是一个有用的回答! 安全性是一种完美的可用性和无安全性之间的滑动规模,完美的安全性,但另一方面没有可用性。 重点在于你根据自己想要做的事情以及软件运行的环境来select你的职位。 我不是在写军事装置的应用程序,而是在为家用电脑编写应用程序 。 我需要使用预先已知的encryption密钥对不可信networking上的数据进行encryption。 在这些情况下,“通过默默无闻的安全”可能已经足够了! 当然,有足够的时间,精力和技能的人可以对二进制文件进行逆向工程并find密码,但猜猜看是什么? 我不在乎: 实施一stream的安全系统需要花费的时间比由于破解版本造成的销售损失要贵(不是说我实际上是在出售这个,但是你明白了我的观点)。 这个蓝天“让绝对的最好的方式可能”在新程序员的编程趋势是愚蠢的,至less可以说。 感谢您花时间回答这个问题 – 他们是最有帮助的。 不幸的是,我只能接受一个答案,但我已经投了所有有用的答案。
上周我读了很多关于密码哈希的文章,Blowfish似乎是现在最好的哈希algorithm之一 – 但这不是这个问题的主题! 72个字符的限制 河豚只考虑input密码中的前72个字符: <?php $password = "Wow. This is a super secret and super, super long password. Let's add some special ch4r4ct3rs a#d everything is fine :)"; $hash = password_hash($password, PASSWORD_BCRYPT); var_dump($password); $input = substr($password, 0, 72); var_dump($input); var_dump(password_verify($input, $hash)); ?> 输出是: string(119) "Wow. This is a super secret and super, super long […]
我很难理解JAAS。 这似乎比它应该更复杂(尤其是太阳教程)。 我需要一个简单的教程或例子来说明如何在基于Struts + Spring + Hibernate的java应用程序中使用自定义用户资源库来实现安全性(authentication+授权)。 可以用ACEGI来实现。
对于Web应用程序,当HTTPS不可用作安全措施时,是否仍然可以使login有点安全? 例如: Tokenizelogin,使重复攻击困难? 以某种方式encryption从HTML密码字段发送的密码? 特别是我使用CakePHP和AJAX POST调用触发身份validation(包括提供的用户名和密码)。 问题更新: HTTPS不可用。 期。 如果你不喜欢这种情况,那么把它看作一个理论问题。 没有明确的要求,你有任何HTTP,PHP和浏览器(cookies,JavaScript等)在现实生活中提供(没有神奇的RSA二进制文件,PGP插件)。 问题是,什么是最好的,你可以做出这种情况,这比发送密码明文更好。 了解每个这样的解决scheme的缺点是一个加号。 欢迎任何比普通密码更好的改进。 我们不瞄准100%l33tG0Dhx0r-proff解决scheme。 难以破解比复杂的破解更好,这比揭示密码的琐事更好。
我看到这两个术语有点相似(特别是在基于networking的场景中,但我想它不仅限于此),我想知道是否有区别。 在我看来,他们都意味着你可以做你正在做的事情。 那么这只是一个命名的东西,还是在意义上有一个基本的区别?
我最近一直在尝试与Docker一起构build一些服务来玩玩,而一件让我烦恼的事情是把密码放在一个Dockerfile中。 我是一名开发人员,因此在源代码中存储密码就像是一个重大的冲击。 如果这甚至是一个问题? 有没有什么好的约定如何处理Dockerfiles中的密码?
我一直在做一些关于PHP会话处理的研究,并且遇到了1440秒的session.gc_maxlifetime值。 我一直在想,为什么标准值是1440,它是如何计算的? 这个计算的基础是什么? 保持会议有多长时间? session.gc_maxlifetime的最小值/最大值是否会推荐? 值越高,Web应用程序对于会话劫持就越容易受到攻击。