Tag: 安全

使用端口80运行Node.js的最佳实践(Ubuntu / Linode)

我在一个cloud Linux node上设置了我的第一个Node.js服务器,而且我对Linux admin的细节还是比较Linux admin 。 (顺便说一句,我不想​​同时使用Apache。) 一切安装正确,但我发现,除非我使用root login ,我不能听节点上的port 80 。 但是,我宁愿不作为根安全的原因运行。 最佳做法是什么? 为节点设置良好的权限/用户,使其安全/沙盒? 允许在这些限制内使用端口80。 启动节点并自动运行。 处理发送到控制台的日志信息。 任何其他一般的维护和安全问题。 我应该将80端口stream量转发到不同的监听端口吗? 谢谢

什么是IIS / ASP.NET的所有用户帐户,它们有什么不同?

在安装了ASP.NET 4.0的Windows Server 2008下,有一大堆相关的用户账号,我不明白哪一个是哪一个,哪一个是不同的,哪一个真的是我的应用运行的。 这是一个列表: IIS_IUSRS IUSR 默认应用 ASP.NET v4.0 NETWORK_SERVICE 本地服务。 什么是什么?

奇怪的MySQLpopup“Mysql安装程序正在运行社区模式”

我最近从MySQL站点安装了最近的社区版本的MySQL。 版本是5.6.x. 这是使用安装程序完成的,我还select了在Windows上创buildMySQL服务的选项,以便我可以简单地启动该服务。 该服务被设置为不自动启动。 虽然我没有积极使用MySQL,但是在我的PC上使用其他function时,出现了一个奇怪的popup窗口,“在社区模式下运行MySQL”,在屏幕上打印并closures: 我很惊讶地看到这一点,并想知道:它在做什么 – 连接到远程服务器,并做什么? 有人知道内部和如何防止它连接到远程服务器? 这可能是一个安全问题?

身份validation与授权

Web应用程序有什么区别? 总之,请。 我看到很多缩写“auth”。 它代表的是身份validation还是身份validation ? 或两者?

你见过的最严重的安全漏洞?

什么是你见过的最严重的安全漏洞? 保持有限的细节可能是一个好主意,以保护有罪。 对于什么是值得的,这里有一个问题 ,如果你发现一个安全漏洞该怎么办,如果公司没有(似乎)回应一些有用的答案。

在基于浏览器的应用程序中如何保存JWT以及如何使用它

我正在尝试在我的身份validation系统中实现JWT,并且我有几个问题。 要存储令牌,我可以使用cookie,但也可以使用localStorage或sessionStorage 。 哪个会是最好的select? 我读过JWT保护CSRF的网站。 但是,我无法想象如何将这个工作假设我保存在Cookie存储的JWT令牌。 那么它将如何保护CSRF? 更新1 我看到一些使用示例如下所示: curl -v -X POST -H "Authorization: Basic VE01enNFem9FZG9NRERjVEJjbXRBcWJGdTBFYTpYUU9URExINlBBOHJvUHJfSktrTHhUSTNseGNh" 当我从浏览器向服务器发出请求时,我该如何实现? 我也看到一些在URL中实现令牌: http://exmple.com?jwt=token 如果我通过AJAX发出请求,那么我可以设置一个jwt: [token] ,然后我可以从头中读取令牌。 更新2 我安装了高级REST客户端谷歌浏览器扩展,并能够将令牌作为自定义标题。 在向服务器发出GET请求时,是否可以通过Javascript设置这个标题数据?

我应该在PHP中注意哪些安全问题

我刚刚开始学习PHP,我一直在ASP.Net开发Web应用程序很长一段时间。 我想知道是否有任何PHP特定的安全错误,我应该寻找。 所以,我的问题是每个PHP开发人员应该知道的最重要的安全提示是什么。 请保持每个答案一个提示,以便人们可以有效地投下来。

当机器人攻击!

除了CAPTCHA,还有哪些stream行的垃圾邮件防范方法?

使用Apache httpclient进行https

我已经在tomcat中启用了https,并且有一个用于服务器authentication的自签名证书。 我使用Apache httpClient创build了一个http客户端。 我已经设置了一个加载服务器证书的信任pipe理器。 http客户端可以连接服务器没有问题。 要查看发生了什么,我启用了debugging: System.setProperty("javax.net.debug", "ssl"); 我看到以下我完全无法理解的东西: *** adding as trusted cert: Subject: CN=Me, OU=MyHouse, O=Home, L=X, ST=X, C=BB Issuer: CN=Me, OU=MyHouse, O=Home, L=X, ST=X, C=BB Algorithm: RSA; Serial number: 0x4d72356b Valid from Sat Mar 05 15:06:51 EET 2011 until Fri Jun 03 16:06:51 EEST 2011 我的证书显示并被添加到信任库(正如我所见)。 然后: trigger seeding of SecureRandom done […]

从HTTP表单提交到HTTPS安全吗?

通过https提交http表单是否可以接受? 这似乎应该是安全的,但它允许一个中间人攻击( 这是一个很好的讨论 )。 像mint.com这样的网站允许你从http页面login,但是做了一个https post。 在我的网站,请求是有一个httplogin页面,但能够安全地login。 是不是值得可能的安全风险,我应该让所有的用户去一个安全的页面login(或使登陆页面安全)?