标签: security

我正在尝试将Angular与应用列表一起使用,每个应用都是一个链接,可以更详细地查看应用(apps/app.id):

<a id="{{app.id}}" href="apps/{{app.id}}" >{{app.name}}</a>

每次我点击其中一个链接时,Chrome都会将网址显示为

unsafe:chrome-extension://kpbipnfncdpgejhmdneaagc.../apps/app.id

它unsafe:来自哪里？

我不是任何安全专家,但我赞成创建REST风格的Web服务.

在创建需要使其传输的数据安全的新服务时.我们已经开始讨论哪种方法更安全 - 使用HTTPS的REST或使用WS-Security的SOAP WS.

我的印象是我们可以使用HTTPS进行所有Web服务调用,这种方法是安全的.我看待它的方式是,"如果HTTPS对银行和金融网站来说足够好,那对我来说已经足够了".同样,我不是这个领域的专家,但我认为这些人对这个问题已经相当认真,并且对HTTPS感到满意.

同事不同意并说SOAP和WS-Security是唯一的出路.

网络似乎全面都在这上面.

也许这里的社区可以权衡各自的利弊？谢谢!

我试图了解.NET的SecureString的目的.来自MSDN:

System.String类的一个实例都是不可变的,当不再需要时,不能以编程方式安排垃圾收集; 也就是说,实例在创建后是只读的,并且无法预测实例何时从计算机内存中删除.因此,如果String对象包含敏感信息(如密码,信用卡号或个人数据),则使用该信息后可能会显示该信息,因为您的应用程序无法从计算机内存中删除该数据.

SecureString对象类似于String对象,因为它具有文本值.但是,SecureString对象的值会自动加密,可以修改,直到您的应用程序将其标记为只读,并且可以通过应用程序或.NET Framework垃圾收集器从计算机内存中删除.

初始化实例或修改值时,SecureString实例的值会自动加密.您的应用程序可以呈现实例不可变,并通过调用MakeReadOnly方法防止进一步修改.

自动加密是最大的收益吗？

为什么我不能说:

SecureString password = new SecureString("password");

代替

SecureString pass = new SecureString();
foreach (char c in "password".ToCharArray())
    pass.AppendChar(c);

我错过了SecureString的哪个方面？

我想知道是否应该使用CAS协议或OAuth +某些身份验证提供程序进行单点登录.

示例场景:

1. 用户尝试访问受保护资源,但未经过身份验证.
2. 应用程序将用户重定向到SSO服务器.
3. 如果通过身份验证,则用户从SSO服务器获取令牌.
4. SSO重定向到原始应用程序.
5. 原始应用程序根据SSO服务器检查令牌.
6. 如果令牌没问题,将允许访问,并且应用程序知道用户ID.
7. 用户执行注销并同时从所有连接的应用程序注销(单点注销).

据我所知,这正是CAS发明的.CAS客户端必须实现CAS协议才能使用身份验证服务.现在我想知道在客户(消费者)网站上使用CAS或OAuth.OAuth是CAS的那部分的替代品吗？OAuth作为新的事实上的标准应该优先考虑吗？是否有一个易于使用的(不是Sun的OpenSSO!)更换为CAS支持不同的方法,如用户名/密码,OpenID的,TLS certifactes认证部...？

语境:

• 不同的应用程序应该依赖于SSO服务器的身份验证,并且应该使用类似会话的东西.
• 应用程序可以是GUI Web应用程序或(REST)服务.
• SSO服务器必须提供用户标识,这是从中央用户信息存储获取有关用户的更多信息(如角色,电子邮件等)所必需的.
• 单签出应该是可能的.
• 大多数客户端都是用Java或PHP编写的.

我刚刚发现WRAP,它可能成为OAuth的继任者.这是微软,谷歌和雅虎指定的新协议.

附录

我了解到OAuth不是为验证而设计的,即使它可用于实现SSO,但只能与OpenID等SSO服务一起使用.

OpenID在我看来是"新CAS".CAS具有OpenID未命中的一些功能(如单点注销),但在特定场景中添加缺失部分并不困难.我认为OpenID已被广泛接受,最好将OpenID集成到应用程序或应用程序服务器中.我知道CAS也支持OpenID,但我认为CAS对OpenID来说是可有可无的.

我想在php中生成一个随机密码.

但是我得到所有'a'并且返回类型是数组类型,我希望它是一个字符串.有关如何更正代码的任何想法？

谢谢.

function randomPassword() {
    $alphabet = "abcdefghijklmnopqrstuwxyzABCDEFGHIJKLMNOPQRSTUWXYZ0123456789";
    for ($i = 0; $i < 8; $i++) {
        $n = rand(0, count($alphabet)-1);
        $pass[$i] = $alphabet[$n];
    }
    return $pass;
}

有没有使用任何编程方法来击败reCAPTCHA？

我很有兴趣看到证据和潜在的演示,特别是reCAPTCHA已被完全自动化,无人化的方法淘汰.

澄清一点,不是寻找以任何方式涉及人类的reCAPTCHA作弊解决方案,是否负责填写CAPCHA,色情搜索者或Mechanical Turk.

我也不是在寻找reCAPTCHA的替代品,比如选择动物类型,或者背景字段或javascript技巧.

我正在使用的MVC应用程序中的每个页面都在响应中设置这些HTTP标头:

X-Powered-By: ASP.NET
X-AspNet-Version: 2.0.50727
X-AspNetMvc-Version: 2.0

如何防止这些显示？

我正在创建一个存储密码的应用程序,用户可以检索和查看密码.密码用于硬件设备,因此检查哈希是不可能的.

我需要知道的是:

1. 如何在PHP中加密和解密密码？

2. 使用加密密码最安全的算法是什么？

3. 我在哪里存储私钥？

4. 除了存储私钥,最好是要求用户在需要密码解密时输入私钥吗？(可以信任此应用程序的用户)

5. 密码以什么方式被窃取和解密？我需要注意什么？

哪个更好做客户端或服务器端验证？

在我们的情况下,我们正在使用

• jQuery和MVC.
• 要在View和Controller之间传递的JSON数据.

我做的很多验证都是在用户输入数据时验证数据.例如,我使用该keypress事件来防止文本框中的字母,设置最大字符数以及数字在一个范围内.

我想更好的问题是,在客户端进行服务器端验证有什么好处吗？

很棒的回答每个人.我们拥有的网站受密码保护,用户群较小(<50).如果他们没有运行JavaScript,我们将发送忍者.但如果我们为每个人设计一个网站,我同意在双方进行验证.

这比普通MD5更安全吗？我刚刚开始研究密码安全性.我是PHP的新手.

$salt = 'csdnfgksdgojnmfnb';

$password = md5($salt.$_POST['password']);
$result = mysql_query("SELECT id FROM users
                       WHERE username = '".mysql_real_escape_string($_POST['username'])."'
                       AND password = '$password'");

if (mysql_num_rows($result) < 1) {
    /* Access denied */
    echo "The username or password you entered is incorrect.";
} 
else {
    $_SESSION['id'] = mysql_result($result, 0, 'id');
    #header("Location: ./");
    echo "Hello $_SESSION[id]!";
}