-
4 votesanswersviews
用于远程创建的盐爪子的sshd_config w bootstrap.sh [关闭]
一些背景信息,我是配置新手并遵循本教程: https://www.digitalocean.com/community/articles/automated-provisioning-of-digitalocean-cloud-servers-with-salt-cloud-on-ubuntu-12-04 它解释了如何使用盐 Cloud 设置远程设置salt-master和salt-minion ... -
10 votesanswersviews
AWS - 从Beanstalk App配置对EC2实例的访问
因此,出于Id而不是进入的原因,我的数据库位于eu-west-1的EC2实例上,我在us-east-1上创建了一个beanstalk应用程序 . 我喜欢我的应用程序与MySQL端口上的EC2实例交谈(3306) . 任何人都可以协助我如何设置这个,我需要在EC2安全组上设置哪些入口规则?鉴于我将在beanstalk中有多个版本的应用程序,IP地址可能会定期更改(在环境重建之后等) . -
21 votesanswersviews
Docker作为root用户运行时的安全性
Docker blog post表示: 默认情况下,Docker容器非常安全;特别是如果您负责将容器内的进程作为非特权用户(即非root用户)运行 . “ 那么,如果我在docker下以root身份运行,那么安全问题是什么?我的意思是,如果我将我的进程作为非特权用户来处理它是非常安全的,那么,作为root用户,如何在容器中托管会有害?我只是要求它理解它,如果以root身份运行它是不安全的,它怎... -
3 votesanswersviews
我如何知道应用内购买收据是否来自沙箱?
iOS IAP文档states,如果您要测试商店,则应该从设置应用程序中的itunes帐户注销 . 在进行应用内购买时,系统会要求您输入用户名和密码 . 但是,在应用程序内部,我不知道用户是否已登录或者他是否正在使用沙盒帐户 . 事实上,我并不在乎它是否是沙盒交易,但是:在服务器上我必须通过URL https://buy.itunes.apple.com/verifyReceipt和沙箱收据通过U... -
1 votesanswersviews
iTunes应用内购买收据验证 - 模糊-JSON
这个问题与AppStore in-App Purchase Receipt Verification Issues 简而言之 - 来自iTunes的收据数据以奇怪的有点JSON格式编码,没有任何规范 . 接受的答案表明没有必要对其进行解码,必须将其发送到iTunes . 在我的情况下,我想解码该数据,以确保 bundle_id 参数等于我的应用 bundle_id .https://buy.it... -
2 votesanswersviews
加密mp3文件
我需要开发一个移动应用程序(android | iphone),下载一些mp3音乐并存储在用户手机上,但我需要确保用户不分发该mp3 . 我需要一种方法来加密这些文件 .有什么我可以做的吗? 谢谢 -
1 votesanswersviews
在网页中嵌入htaccess密码对话(PHP)
有一种使用 htacess 和 htpasswd 文件密码保护网站目录的简单方法 . 更多这里:https://css-tricks.com/easily-password-protect-a-website-or-subdirectory/ 但是当它要求用户输入密码时,它会使用浏览器级别的弹出对话框,如下所示: 是否可以通过PHP与服务器进行通信,以便将此交互(即,使用上述技术请求用户名和密码... -
0 votesanswersviews
Git分布式Web应用程序的部署策略
我有一个PHP Web应用程序在负载均衡器后面的两台服务器上运行相同的代码(可能还有更多) . 代码保存在私有BitBucket存储库中 . 我无法确定适合该情况的最佳部署策略 . 目前,我已经使用Ansible来配置服务器,所以我所做的就是使用Git module将存储库中的代码签出到服务器中 . 由于代码存储在私有存储库中,因此我添加了一个将授权的ssh私钥复制到服务器的游戏,稍后将在git ... -
44 votesanswersviews
禁用Safari自动填充用户名和密码
您可能已经知道,Safari有一个讨厌的自动填充错误,它填写电子邮件,用户名和密码字段,无论您是否设置了 autocomplete="off" . 这是一个基本形式: <form action="/" method="post"> <p> <label>E-mail</l... -
7 votesanswersviews
Web工作者是沙箱不受信任的JavaScript代码的安全方式
我想知道一个网络工作者是否是沙箱不受信任的JavaScript代码的安全方式 . 例如,在开发人员可以实现新绘图工具的绘图应用程序的上下文中,您可以将他们的代码放在webworker中,并且每当用户单击画布时,向他们发送包含光标位置的JSON消息,以及图像数据的数组,并且当脚本完成时,它传递包含新图像数据的消息 . 这是安全的,还是存在我没想到的风险? -
3 votesanswersviews
我应该为ASP.NET使用什么帐户?
默认情况下,ASP.NET使用网络服务帐户,这是我应该在 生产环境 中使用ASP.NET的帐户吗?与ASP.NET使用的帐户相关的最佳实践是什么? 问候 编辑:如果这有任何区别,我将在Windows 2008服务器上使用ASP.NET -
20 votesanswersviews
为IIS_IUSRS提供完全控制权限有哪些安全影响?
在IIS网站的根文件夹上授予IIS_IUSRS完全控制权限的安全影响是什么? 为什么我不能仅向IUSR提供完全控制权限,这是IIS_IUSER组的一部分? 任何答案都澄清了这种冲突,真的很感激 . -
1 votesanswersviews
IIS 7.5 MVC应用程序中的访问被拒绝
我正在使用一个曾经完美工作的测试服务器上的MVC应用程序 . 它在第二个应用程序用于登录的服务器上创建帐户 . 它使用凭证存储和PrincipalContext和UserPrincipal对象来创建这些帐户 . 我没有使用这个应用程序的测试版本几个月或可能差不多一年 . 现在,当我使用该应用程序创建帐户时,出现以下错误: 访问被拒绝 . ASP.NET无权访问所请求的资源 . 考虑将资源的访问... -
0 votesanswersviews
我应该使用IUSRS还是物理路径凭证?
最近,我接受了一个项目,要求我遵循一些我不太习惯的步骤 . 通常,在使用IIS的Windows Server上设置站点时,我只需要安装IIS,让它自己做,然后从那里开始......但是这个设置有点不同 . Environment Info: Windows Server 2012 IIS 8.0 .NET 4.5 WebAPI 2应用程序 Requirements: 必须将应用... -
1 votesanswersviews
通过传递的其他上下文信息进行安全登录(这也需要是安全的)
我的Web应用程序将通过现有的胖客户端应用程序启动 . 启动时,将生成HTTP POST请求,包括userID和其他上下文信息(基本上类似于目标用户的名字,生日等)之类的信息 . 我的身份验证计划是在数据库中有一个查找表 . 如果用户名已经存在,则自动登录用户,但如果数据库中没有条目,则将用户重定向到初始登录页面,该页面将用于创建该数据库条目 . 我的问题是如何确保这对MITM和其他安全漏洞 . ... -
5 votesanswersviews
安全身份验证如何在Web应用程序中运行
我理解ssl是如何工作的,所以浏览器会发送加密的用户名/密码 . 但接下来会发生什么? 客户端是否收到cookie?它安全吗?如果唯一的https页面是登录页面,服务器浏览器如何安全地进行通信? 我想如果有人在发送cookie时得到该cookie的副本,他们可以访问该帐户,无论cookie是多么加密 实际上,我想了解安全Web应用程序中从登录到注销的过程 . 服务器:Tomcat,Apache .... -
1 votesanswersviews
在java中安全的Web应用程序开发
我已经要求使用java(使用开源框架)进行Web应用程序,这应该是一个高度安全的应用程序 . 我的印象是使用https将解决与浏览器和服务器之间的通信相关的所有问题 . 这是对的吗 ? 如果我想将登录详细信息存储到会话对象中 . 假设连接是https,那么我是否真的安全 . 请介绍一下如何使用java开发安全的 (to sustain session ID spoofing etc..) 应用程序... -
1 votesanswersviews
将用户名/密码从Windows窗体应用程序传递到ASP.NET Web应用程序
情况如下: C#Windows窗体应用程序 ASP.NET Web应用程序 两者都使用同一数据库中的自定义用户表进行身份验证(usename / password)并创建在两个应用程序中使用的User对象 用户登录到Windows窗体应用程序,我们想要启动URL以在默认浏览器(IE,Chrome,Firefox等)中打开ASP.NET Web应用程序中的页面 . 我们希望将当前用户... -
0 votesanswersviews
基于表单登录java Web应用程序
我'm trying to perform a form-based login into a web application. I'使用JSF和JBoss v7.1.1 . 我按照网页上的说明进行了操作http://docs.oracle.com/javaee/6/tutorial/doc/bncbx.html#bncby 这是我的登录页面: 登录以访问安全页面: <h:panelGrid... -
0 votesanswersviews
Java Web应用程序仅角色安全性
美好的一天! 我尝试通过web.xml中的角色安全来保护我的Web应用程序: <security-constraint> <web-resource-collection> <web-resource-name>RESTRICTED</web-resource-name> <description>... -
1 votesanswersviews
安全认证cookie Asp.Net
我有两个页面P1.aspx(登录页面)和P2.aspx(重定向页面),都配置了SSL . 在P1.aspx中,我创建了身份验证cookie,其中“Secure”属性设置为“true”,并添加到P1.aspx的响应对象中 . 但是当页面从P1.aspx重定向到P2.aspx时,P2.aspx请求中的身份验证cookie将cookie的“Secure”属性显示为“false” . 我不明白为什么在请求... -
0 votesanswersviews
PHP登录安全理念
我有一个系统登录用户并验证他们在页面上登录的想法 .我意识到那里有很多系统,但我主要是好奇,如果我的想法是好的 . 我一直认为是重要的做法(如密码加密等) . 我真的使用了应用程序安全性,希望得到一些反馈 . 当用户登录时,他们的名称和密码是根据数据库进行验证的,密码是使用SHA256和随机生成的盐加密的,整个字符串(盐和加密密码都是128个字符 . 长) . 这是密码验证码: function ... -
2 votesanswersviews
PHP session_start $ _SESSION值作为登录验证的安全性如何?
如果用户成功登录并通过安全检查(用户名,密码,2fa ......等等)和假设的PHP登录系统,则执行以下操作: session_start(); $_SESSION['logged_in_userid'] = 1; 那么依赖于$ _SESSION值'logged_in_userid'的存在作为这个人真的确实以前通过完整安全检查的证据是多么安全?不是,我在想 . 如果通过XSS有人确定PHPSE... -
1 votesanswersviews
使用WSO2 IS保护WSO2 AS
我想将WSO2身份服务器配置为我的WSO2应用服务器的安全存储库 . 我已经阅读了应用程序服务器在线文档,但我没有找到任何对此配置的引用 . 有没有教程? 简单场景:我有一个Web应用程序,配置为在web.xml文件中使用Basic Auth,我想使用wso2is作为用户存储进行身份验证和授权 . -
0 votesanswersviews
在wso2is-5.2.0中保护纯文本密码
在我的应用程序中,我使用wso2is-5.2.0作为身份服务器 . 我想在user-mgt.xml中保存我的LDAP密码,但我没有得到任何相关文档 . 我尝试使用下面给出的密码加密链接,但根据此文档,它仅适用于碳3.2.X产品 . https://docs.wso2.com/display/IS500/Securing+Plain+Text+Passwords 请告知我们与wso2is-5.2.0... -
3 votesanswersviews
设计新用户确认(通过电子邮件验证)
我正在开发一个ASP.Net应用程序,需要验证用户是否合法而不是垃圾邮件 . 一旦新用户输入他们的名字,姓氏,电子邮件地址,我的应用程序将发送电子邮件以验证用户的真实性 . 该电子邮件将包含一个确认用户帐户的链接 . 我正在寻找有关电子邮件链接背后的逻辑的帮助 . 一旦用户点击链接,会发生什么? 我有一个使用过Captcha的网站,并没有太多运气阻止垃圾邮件(我知道你不能阻止100%垃圾邮件)类似... -
0 votesanswersviews
我们应该允许宽限期来确认电子邮件地址吗?
在网站平台上注册了电子邮件地址的用户 . 向用户发送确认电子邮件 . 用户被重定向到仪表板,但不允许用户访问网站平台上的私人信息 . 用户注销 . 目前,如果用户未在48小时内确认电子邮件地址,则他们的帐户将处于非活动状态,并且在他们确认其电子邮件地址之前不会允许他们登录 . 是否应该向用户提供48小时的宽限期,或者在他们确认其电子邮件地址之前不允许他们访问网站平台? 是否... -
83 votesanswersviews
为什么盐会进行字典攻击'impossible'?
Update: Please note I am not asking what a salt is, what a rainbow table is, what a dictionary attack is, or what the purpose of a salt is. I am querying: If you know the users salt and hash, isn't it... -
9 votesanswersviews
哈希和盐渍密码是否可以抵御字典攻击?
我知道salt会将相同的密码哈希值设置为不同的值 . 但是,盐通常使用密码存储在数据库中 . 所以让我说我是攻击者,这里是我如何使用字典攻击盐(注意在这个例子中我不写出128位哈希或盐为了简洁起见): user_pw = 'blowfish' Given: email = 'blah@blah.com' hash = '1234567890' salt = '0987654321' funct... -
6 votesanswersviews
为什么盐的长度与散列值相同? [关闭]
我已经读过,将要使用的盐应该与散列密码具有相同的长度,这背后的原因是什么?它会增加密码保护吗?我看过了Here: 为了使攻击者无法为每个可能的盐创建查找表,盐必须很长 . 一个好的经验法则是使用与散列函数输出大小相同的salt . 例如,SHA256的输出是256位(32字节),因此salt应至少为32个随机字节 .