我在Debian 6.0 32位服务器上configurationSSL时遇到问题。 我对SSL比较新,所以请耐心等待。 我尽可能地包括尽可能多的信息。 注意:真正的域名已被更改,以保护服务器的身份和完整性。 组态 服务器正在使用nginx运行。 它configuration如下: ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt; ssl_certificate_key /usr/local/nginx/priv/mysite.ca.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_verify_depth 2; 我用这里描述的方法链接我的证书 cat mysite.ca.crt bundle.crt > mysite.ca.chained.crt 其中mysite.ca.crt是签名机构给我的证书, bundle.crt是我的签名机构发给我的CA证书。 问题是我没有直接从GlobalSign购买SSL证书,而是通过我的托pipe提供商Singlehop购买。 testing 证书在Safari和Chrome上正确validation,但不在Firefox上validation。 初步search显示,这可能是CA的问题。 我探索了一个类似问题的答案,但无法find解决scheme,因为我不太明白每个证书的用途。 我用openssl的s_client来testing连接,并收到似乎表明与同样的问题相同的问题的输出。 错误如下: depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify […]
披露了最近的一个漏洞, CVE-2014-6271 , Bash如何解释环境variables。 该漏洞利用Bashparsing一些环境variables声明作为函数定义,但是继续执行下面定义的代码: $ x='() { echo i do nothing; }; echo vulnerable' bash -c ':' vulnerable 但我不明白。 在Bash手册中,我没有find关于将环境variables解释为函数的东西(除了inheritance函数 ,这是不同的)。 事实上,一个正确的命名函数定义只是被视为一个值: $ x='y() { :; }' bash -c 'echo $x' y() { :; } 但是一个腐败的人什么也不打印: $ x='() { :; }' bash -c 'echo $x' $ # Nothing but newline 腐败的function是未命名的,所以我不能只是调用它。 这个漏洞是一个纯粹的实现错误,还是在这里有一个预期的function,我只是看不到? 更新 Per […]
那里有什么自动化工具?
我正在编写一个shell脚本,应该有点安全,即不通过命令的parameter passing安全的数据,最好不使用临时文件。 我如何将一个variables传递给命令的stdin? 或者,如果不可能,如何正确使用临时文件来完成这样的任务?
我的Rails应用程序使用Devise进行身份validation。 它有一个姊妹iOS应用程序,用户可以使用它们用于Web应用程序的相同凭据login到iOS应用程序。 所以我需要一些API来进行身份validation。 这里有很多类似的问题指向本教程 ,但似乎已经过时了,因为token_authenticatable模块已经从Devise中移除,并且一些行会抛出错误。 (我正在使用Devise 3.2.2)。我试图根据那个教程(和这个教程)推出自己的教程,但是我不是100%自信的 – 我觉得我可能会有一些东西误解或错过。 首先,遵循这个要点的build议,我添加了一个authentication_token文本属性到我的users表中,以及以下到user.rb : before_save :ensure_authentication_token def ensure_authentication_token if authentication_token.blank? self.authentication_token = generate_authentication_token end end private def generate_authentication_token loop do token = Devise.friendly_token break token unless User.find_by(authentication_token: token) end end 然后我有以下控制器: api_controller.rb class ApiController < ApplicationController respond_to :json skip_before_filter :authenticate_user! protected def user_params params[:user].permit(:email, :password, :password_confirmation) end end […]
我试图在我的web api应用程序中支持JWT不记名令牌(Json Web令牌),我迷路了。 我看到.net core和OWIN应用程序的支持。 我目前通过IIS托pipe我的应用程序。 我如何在我的应用程序中实现这个authentication模块? 有什么办法可以使用<authentication>configuration类似于我使用窗体\ windows身份validation的方式吗?
所以我遇到了HTML5中的这个新标签, <keygen> 。 我无法弄清楚它是什么,它是如何应用的,以及它如何影响浏览器的行为。 我知道这个标签是用于表单encryption的,但是<keygen>和你的域名有一个SSL证书有什么不同。 另外, challenge属性是什么? 我没有打算使用它,因为它远远不是在可接受的浏览器范围内实现的,但我很好奇这个标签究竟干什么。 所有我能find的是模糊的cookies文件,没有使用的真实例子。 编辑: 我在这里find了非常丰富的文档。 这贯穿了keygen标签的客户端和服务器端的实现。 我仍然好奇这对于域SSL证书的好处是什么。
DDoS(分布式拒绝服务攻击)通常在服务器级别被阻止? 有没有办法阻止它在PHP级别,或者至less减less它? 如果不是,停止DDoS攻击最快,最常用的方法是什么?
根据维基百科: http : //en.wikipedia.org/wiki/Transport_Layer_Security 似乎TLS是SSL的替代品,但大多数网站仍在使用SSL?
通过查看我的JRE文件java.security ,我发现默认使用的密钥库types被设置为JKS 。 这里有一个可以使用的密钥库types列表。 有推荐的密钥库types吗? 什么是不同的密钥库types的优点/缺点?