Tag: 安全

以纯文本forms存储密码在PHPvariables或PHP常量是否可以?

按照每个问题,是否安全的密码存储在PHP页面如 $password = 'pa$$w0rd'; 如果用户看不到,这是安全的,对吧? 编辑:有些人居然build议使用哈希,但是,会有一个数据库服务器连接密码的问题,不是吗?

HTML5 localStorage安全性

将localStorage用于敏感数据(假定当前的HTML5实现)是好的还是坏主意? 我可以使用哪些方法来保护数据,使其无法在客户端计算机上访问?

在web.config中encryptionappSettings

我正在开发一个web应用程序,它需要一个用户名和密码存储在web.Config,它也指的是一些url,这将是由networking应用程序本身,而不是客户端的要求。 我知道.Net框架将不会允许web.config文件被提供,但我仍然认为它的不好的做法是以纯文本的方式留下这种信息。 到目前为止,我读过的所有东西都要求我使用命令行开关或将值存储在服务器的registry中。 由于主机处于在线状态,我只能访问这两者,而且我只有FTP和控制面板(舵机)访问权限。 任何人都可以推荐任何好的,免费的encryptionDLL或方法,我可以使用? 我宁愿不发展自己的! 感谢迄今为止的反馈家伙,但我不能发出命令,并不能够编辑registry。 它将不得不是一个encryption利用/帮手,但只是想知道哪一个!

许多哈希迭代:每次追加盐?

我已经使用了无声的md5 / sha1很长一段时间,但是由于这个方法不是很安全(随着时间的推移,这个方法变得更加安全),我决定改用sha512。 此外,我想通过使用很多迭代(例如100)来减缓散列的生成。 我的问题是,我应该在每次迭代中追加盐,还是只在开始时追加一次。 以下是两个可能的代码: 每次追加: // some nice big salt $salt = hash($algorithm, $salt); // apply $algorithm $runs times for slowdown while ($runs–) { $string = hash($algorithm, $string . $salt, $raw); } return $string; 追加一次: // add some nice big salt $string .= hash($algorithm, $salt); // apply $algorithm $runs times for slowdown while […]

在.NET / C#中testing进程是否具有pipe理权限

有没有规范的方法来testing,以查看过程是否在计算机上具有pipe理权限? 我将要开始一个漫长的运行过程,在这个过程的很长一段时间里,它将尝试一些需要pipe理员权限的事情。 如果stream程拥有这些权利,而不是以后,我希望能够事先进行testing。

权限被拒绝在hdfs

我是hadoop分布式文件系统的新手,我已经在我的机器上完成了hadoop单节点的完整安装,但之后当我要将数据上传到hdfs时,它给出了一个错误消息Permission Denied 。 来自terminal的消息与命令: hduser@ubuntu:/usr/local/hadoop$ hadoop fs -put /usr/local/input-data/ /input put: /usr/local/input-data (Permission denied) hduser@ubuntu:/usr/local/hadoop$ 使用sudo并添加hduser到sudouser之后: hduser@ubuntu:/usr/local/hadoop$ sudo bin/hadoop fs -put /usr/local/input-data/ /inwe put: org.apache.hadoop.security.AccessControlException: Permission denied: user=root, access=WRITE, inode="":hduser:supergroup:rwxr-xr-x hduser@ubuntu:/usr/local/hadoop$

我如何防止DLL注入

所以有一天,我看到这个: http://www.edgeofnowhere.cc/viewtopic.php?p=2483118 它通过三种不同的DLL注入方法。 我将如何防止这些过程? 或者至less,我如何防止第一个? 我想也许是一个Ring 0驱动程序也许是唯一的方法来阻止所有这三个,但我想看看社区的想法。

如何通过HTTP安全地发送密码?

如果在login屏幕上用户使用他的用户名和密码提交表单,密码将以纯文本forms发送(即使使用POST,如果我错了,也要纠正)。 所以问题在于保护用户和密码的方法是什么?对于可能窃听通信数据的第三方? 我知道HTTPS是解决问题的方法,但有什么办法可以保证使用标准的HTTP协议(POST请求)至less有一定程度的安全性吗? (可能以某种方式使用JavaScript) 编辑我可能已经遗漏了一些重要的事情。 我所讲的是一个页面 – 那就是PHP生成的login页面,当然这个页面是通过HTTP GET请求作为HTML文件发送给用户的。 服务器和客户端之间没有(@Jeremy Powel)连接,所以我不能创build这样的握手协议。 我希望完整的过程对用户是透明的 – 他想提交密码,而不是密码处理。 谢谢。

为什么盐会使字典攻击“不可能”?

可能重复: 需要一些帮助了解密码盐 更新:请注意,我不是问什么盐,什么彩虹桌,字典攻击是什么,或盐的目的是什么。 我在查询:如果你知道用户salt和hash,计算他们的密码不是很容易吗? 我理解这个过程,并在我的一些项目中自己实现。 s = random salt storedPassword = sha1(password + s) 在你存储的数据库中: username | hashed_password | salt 每一次我见过的盐都会在密码的末尾添加salt,或者开始: hashed_Password = sha1(s + password ) hashed_Password = sha1(password + s) 因此,一个值得他的盐的黑客的字典攻击(哈哈)将简单地运行每个关键字对存储的盐在上面列出的常见组合。 上面描述的实现只是为黑客添加了另一个步骤,而没有真正解决潜在的问题? 有什么替代方法来解决这个问题,或者我误解了这个问题? 我唯一能想到的就是有一个秘密的混合algorithm,它将salt和password绑定在一起,或者将其他用户字段添加到散列过程中,这意味着黑客必须有权访问数据库,他们的字典攻击certificate富有成效。 (更新,正如在评论中指出的那样,最好假定黑客可以访问你的所有信息,所以这可能不是最好的)。 让我举一个例子,说明我build议黑客会用密码和哈希列表破解用户数据库: 我们被黑客窃取的数据 RawPassword (not stored) | Hashed | Salt ——————————————————– letmein WEFLS… WEFOJFOFO… 常用密码字典: Common Password ————– letmein […]

你如何保护你的软件免遭非法分发?

我很好奇你如何保护你的软件免受破解,黑客攻击等 你是否使用某种序列号检查? 硬件密钥? 您是否使用任何第三方解决scheme? 你如何解决许可问题? (如pipe理浮动许可证) 编辑:我不是说任何开源,但严格的商业软件分发…