为什么iframe被认为是危险的,存在安全风险? 有人可以描述一个可以恶意使用的例子吗?
在数据库中存储密码的首选方法/数据types是什么(最好是SQL Server 2005)。 在我们的几个应用程序中,我一直这样做的方式是首先使用.NETencryption库,然后将它们作为二进制(16)存储在数据库中。 这是首选的方法,或者我应该使用不同的数据types或分配更多的空间比16?
我如何在我的PHP apps设置Cookie作为HttpOnly cookies ?
django中的SECRET_KEY究竟是什么意思? 我做了一些谷歌search,并检出了文档( https://docs.djangoproject.com/en/dev/ref/settings/#secret-key ),但我正在寻找一个更深入的解释,以及为什么这是必需的。 例如,如果密钥泄露/其他人知道它是什么,会发生什么? 谢谢。
我将使用oAuth从谷歌获取邮件和联系人。 我不想每次都要求用户login以获取访问令牌和秘密。 根据我的理解,我需要将它们与我的应用程序一起存储在数据库或SharedPreferences 。 但是我有点担心安全方面的问题。 我读过,你可以encryption和解密令牌,但是攻击者很容易只是反编译你的apk和类并获得encryption密钥。 在Android中安全存储这些令牌的最佳方法是什么?
我正在研究ASP.NET中的应用程序,并想知道如何实现Password Resetfunction,如果我想推出自己的。 具体来说,我有以下问题: 生成一个难以破解的唯一ID的好方法是什么? 是否应该附加一个计时器? 如果是这样,应该多久? 我应该loggingIP地址吗? 它甚至重要吗? 在“密码重置”屏幕下,我需要什么信息? 只是电子邮件地址 或者,也许电子邮件地址加上他们“知道”的一些信息? (最喜欢的球队,小狗的名字等) 还有其他的事情需要注意吗? 注 : 其他问题完全掩盖了技术实现。 事实上接受的答案掩盖了血淋淋的细节。 我希望这个问题和随后的答案能够进入细节,我希望通过狭义的措辞来解释这个问题的答案是“绒毛”和“戈尔”。 编辑 :也进入如何将这样的表build模和处理在SQL Server或任何ASP.NET MVC链接到答案的答案,将不胜感激。
这个问题一直困扰着我。 在Linux上,当被要求input密码时,如果您的input是正确的,那么它立即检查,几乎没有任何延迟。 但是,另一方面,如果input错误的密码,则检查时间会更长。 这是为什么? 我在所有曾经尝试过的Linux发行版中观察到这一点。
我正在尝试使用Google身份validation器应用程序生成的一次性密码。 Google身份validation器的function Google Authenticator基本上实现了两种types的密码: HOTP – 基于HMAC的一次性密码,这意味着每次通话都会改变密码,符合RFC4226 , TOTP – 基于时间的一次性密码,每30秒改变一次(据我所知)。 Google身份validation器也可在此处以开放源代码的forms获得: code.google.com/p/google-authenticator 当前的代码 我正在寻找现有的解决scheme来生成HOTP和TOTP密码,但没有find太多。 我的代码是负责生成HOTP的以下片段: import hmac, base64, struct, hashlib, time def get_token(secret, digest_mode=hashlib.sha1, intervals_no=None): if intervals_no == None: intervals_no = int(time.time()) // 30 key = base64.b32decode(secret) msg = struct.pack(">Q", intervals_no) h = hmac.new(key, msg, digest_mode).digest() o = ord(h[19]) & 15 h = (struct.unpack(">I", […]
Bob使用Web应用程序来实现某些function。 和: 他的浏览器正在节食,因此它不支持cookies 。 Web应用程序是一个非常stream行的应用程序,它在特定时刻处理很多用户 – 它必须很好地扩展 。 只要保持会话会对同时连接的数量施加限制 ,当然会带来不可忽视的性能损失 ,所以我们可能希望有一个无会话的系统:) 一些重要的说明: 我们确实有运输安全 ( HTTPS及其最好的朋友); 在幕后,Web应用程序将代表当前用户的许多操作委托给外部服务 (这些系统将Bob识别为其用户之一) – 这意味着我们必须将Bob的凭据转发给他们 。 现在,我们如何validation鲍勃(每个请求)? 这将是一个合理的方式来实现这样的事情? 通过HTMLforms的隐藏字段与证书打网球 … 球包含的凭据( 用户名和密码 )和两个球拍分别是浏览器和Web应用程序。 换句话说,我们可以通过表单域而不是通过cookie来回传输数据。 在每个Web请求中,浏览器都会发布凭证。 尽pipe在单页应用的情况下,这可能看起来像在墙壁上打壁球 ,而不是打网球 ,因为包含凭证的网页表单可能在网页的整个生命周期(以及服务器将被configuration为不提供凭证)。 存储在页面的上下文中的用户名和密码 – JavaScriptvariables等单页需要在这里,恕我直言。 encryption的基于令牌的authentication。 在这种情况下,login操作将导致生成一个encryption的安全令牌(用户名+密码+其他)。 这个令牌将被返回给客户端,并且即将到来的请求将伴随令牌。 这有道理吗? 我们已经有HTTPS … 其他… 最后的手段:不要这样做,在会话中存储凭据! 会议是好的。 有或没有cookies。 关于前面提到的任何想法,是否会出现任何networking/安全问题? 例如, 超时 – 我们可能会保留一个时间戳 ,以及证书(时间戳=鲍勃input证书的时间)。 例如,当NOW – 时间戳>阈值时 ,我们可能会拒绝该请求。 […]
我们都知道Meteor提供的miniMongo驱动程序可以无缝地让客户端访问持久层(MongoDB)。 如果任何客户端可以访问持久化API,那么如何保证他的应用程序? meteor提供的安全机制是什么?在什么情况下应该使用?