标签: security

许可证密钥是作为反盗版措施的事实标准.说实话,这让我觉得安全通过Obscurity,虽然我真的不知道如何生成许可证密钥.什么是许可密钥生成的好(安全)示例？他们使用什么加密原语(如果有的话)？这是消息摘要吗？如果是这样,他们会散列什么数据？开发人员采用了哪些方法来使破解者难以构建自己的密钥生成器？关键发电机是如何制造的？

当与请求一起发送时,查询字符串参数是否在HTTPS中加密？

今天早上,将我的Firefox浏览器升级到最新版本(从22到23),我的后台(网站)的一些关键方面停止了工作.

查看Firebug日志,报告了以下错误:

Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css"
Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"`

除了上面两个中的后者没有被加载导致的其他错误.

以上是什么意思,我该如何解决？

我需要.pfx文件在IIS上的网站上安装https.

我有两个单独的文件:证书(.cer或pem)和私钥(.crt)但IIS只接受.pfx文件.

我显然安装了证书,它在证书管理器(mmc)中可用,但是当我选择证书导出向导时,我无法选择PFX格式(它是灰色的)

是否有任何工具可以做到这一点或C#以编程方式执行此操作的示例？

将SQL IN子句与实例一起使用的最佳解决方法java.sql.PreparedStatement是什么,由于SQL注入攻击安全问题,多个值不支持这种解决方法:一个?占位符代表一个值,而不是值列表.

请考虑以下SQL语句:

SELECT my_column FROM my_table where search_column IN (?)

使用preparedStatement.setString( 1, "'A', 'B', 'C'" );本质上是一种非工作尝试,?首先使用的原因是解决方法.

有哪些变通方法？

我在一台机器上运行了两个HTTP服务.我只是想知道他们是否共享他们的cookie或者浏览器是否区分了两个服务器套接字.

看起来我们将向Stack Overflow 添加CAPTCHA支持.这对于防止机器人,垃圾邮件发送者和其他恶意脚本活动是必要的.我们只希望人类在这里发布或编辑内容!

我们将使用JavaScript(jQuery)CAPTCHA作为第一道防线:

http://docs.jquery.com/Tutorials:Safer_Contact_Forms_Without_CAPTCHAs

这种方法的优点是,对于大多数人来说,CAPTCHA永远不可见!

但是,对于禁用JavaScript的用户,我们仍然需要回退,这就是它变得棘手的地方.

我为ASP.NET编写了一个传统的CAPTCHA控件,我们可以重用它.

但是,我更喜欢使用文本内容来避免在每次请求时在服务器上创建所有这些图像的开销.

我见过像......

• ASCII文本验证码: \/\/(_)\/\/
• 数学难题:什么是7减3倍2？
• 琐事问题:什么味道更好,蟾蜍或冰棍？

也许我只是在这里倾斜风车,但<noscript>如果可能的话,我希望有一个资源较少,非基于图像的兼容CAPTCHA.

想法？

我正在尝试获取远程服务器的证书,然后我可以使用它来添加到我的密钥库并在我的java应用程序中使用.

一位资深开发者(节假日:())告诉我,我可以运行这个:

openssl s_client -connect host.host:9999

要获取原始证书,我可以将其复制并导出.我收到以下输出:

depth=1 /C=NZ/ST=Test State or Province/O=Organization Name/OU=Organizational Unit Name/CN=Test CA
verify error:num=19:self signed certificate in certificate chain
verify return:0
23177:error:14094410:SSL routines:SSL3_READ_BYTES:sslv3 alert handshake failure:s3_pkt.c:1086:SSL alert number 40
23177:error:140790E5:SSL routines:SSL23_WRITE:ssl handshake failure:s23_lib.c:188:

我也试过这个选项

-showcerts 

而这一个(在debian上运行你的头脑)

-CApath /etc/ssl/certs/ 

但得到同样的错误.

这个消息来源说我可以使用那个CApath标志,但它似乎没有帮助.我尝试了多条路径无济于事.

请让我知道我哪里出错了.

在存储之前对密码进行两次哈希处理的安全性是否比仅仅哈希一次更安全？

我在说什么是这样做的:

$hashed_password = hash(hash($plaintext_password));

而不仅仅是这个:

$hashed_password = hash($plaintext_password);

如果它不太安全,你能提供一个很好的解释(或链接到一个)吗？

此外,使用的哈希函数是否有所作为？如果混合使用md5和sha1(例如)而不是重复相同的散列函数,它会有什么不同吗？

注1:当我说"双重哈希"时,我正在谈论两次哈希密码以试图使其更加模糊.我不是在谈论解决碰撞的技术.

注2:我知道我需要添加一个随机盐来真正使其安全.问题是使用相同算法进行两次散列是否有助于或损害散列.

使用Angular,Ember,React等框架构建SPA风格的应用程序时,人们认为什么是身份验证和会话管理的最佳实践？我可以想到几种方法来考虑解决问题.

1. 假设API和UI具有相同的原始域,则与使用常规Web应用程序的身份验证没有什么不同.

   这可能涉及具有会话cookie,服务器端会话存储以及可能的一些会话API端点,经过身份验证的Web UI可以点击以获取当前用户信息以帮助个性化或甚至可能确定客户端上的角色/能力.当然,服务器仍会强制执行保护数据访问的规则,UI只会使用此信息来自定义体验.

2. 像使用公共API的任何第三方客户端一样对待它,并使用类似于OAuth的某种令牌系统进行身份验证.客户端UI将使用此令牌机制来验证对服务器API发出的每个请求.

我在这里并不是一位专家,但对于绝大多数情况来说,#1似乎已经足够了,但我真的很想听到一些更有经验的意见.