小编ftr*_*ter的帖子

我正在构建一个包含健康信息的应用程序.这个应用程序将面向消费者,对我来说是新的.我想要一种让隐私问题完全放心的方法.当我查看在公共可访问数据库中保护敏感数据的方法时,我经常遇到数据库半透明的概念.有关于这个主题的原始书和Oriellynet关于这个主题的优秀教程.

我担心的是,关于我认为非常现代的编程网站(比如这个),我看到的关于这个想法的信息很少.在维基百科上似乎没有关于这个想法的文章.这里没有关于这个主题的问题,也没有关于这个主题的最新教程或文章.简而言之,这个想法是某些数据对系统的某些用户是清楚的,而其他用户在加密方面无法访问该数据,即使他们具有管理员访问权限.

我已经在提供半透明数据访问的原型数据库上做了大量工作.我遇到了一个相当大的问题:要真正半透明,就没有密码恢复机制.如果管理员可以重置用户密码,则他们可以短暂地访问用户数据.要真正半透明,用户绝不能丢失密码.

在使用这些强大的加密系统时,我们这些使用强加密来保护我们日常生活中的私人数据(技术人员确定)的人习惯于这个问题.如果"河豚"这个词是你日常词汇的一部分,那是一回事,而是一个以消费者为中心的网站？我担心用户不会愿意围绕真正的数据库半透明隐含的"真正为你加密"概念.我害怕以"我丢失了密码"开头的支持电话,并以"我无能为力"为止告诉我.

我的问题:我应该在我的应用程序中实现此方法吗？是否有其他开源应用程序沿着这条路走下去,我可以比较数据库设计(特别是使用php/MySQL)？我还有其他人在追求这些真正安全但非常不方便的功能集吗？是否有其他数据库安全模型更流行和现代,我错过了？数据库半透明是我应该拥抱的时尚还是合法的数据库设计方法？虽然我总是喜欢讨论,但我更喜欢在设计中可以利用的客观答案.

我正在开发一个允许用户管理一些单独数据点的应用程序.我的用户想要做的事情之一是"删除",但这意味着什么？

对于Web应用程序,最好是为用户提供严重删除选项或使用"垃圾"系统吗？

在"严重删除"下(很想知道这个名字是否更好......)你点击"删除",然后警告用户"这是最后和悲惨的行动.一旦你这样做,你将无法做到在这里获取-insert数据点名称,即使你在哭......"然后如果他们点击删除......那么它真的永远消失了.

在"垃圾"模式下,您永远不会相信用户真的想要删除...而是从"主显示"中删除数据点并放入称为"垃圾箱"的存储桶中.这使得它不受用户的影响,这是他们通常想要的,但如果他们犯了错误,他们可以将其取回.显然,这是大多数操作系统的方式.

"严重删除"的优点是:

• 易于实施
• 易于向用户解释

"严重删除"的缺点是:

• 它可悲惨地是最终的
• 有时,猫走在键盘上

"垃圾"系统的优点是:

• 用户对自己是安全的
• 像"一次删除一堆"这样的批量方法更有意义
• 节省了支持头痛

"垃圾"系统的缺点是":

• 对于敏感数据,您会创建一种破坏幻觉,用户认为某些东西已经消失,但事实并非如此.
• 许多微妙的区别使实施更加困难
• 你"最终"删除了垃圾桶的内容吗？

我的问题是哪一个是现代Web应用程序的正确设计模式？"归档"功能如何适用于此？这就是gmail的工作原理.给出足够的讨论来证明你的答案是合理的......希望能指出一些相关的研究.

-FT

我需要使用gzip或deflate预压缩一些非常大的html/xml/json文件(大型数据转储).我从不想要提供未压缩的文件.它们是如此庞大和重复,以至于压缩可能会非常好地工作,虽然一些旧的浏览器不能支持解压缩,但我的典型客户不会使用它们(尽管如果我能产生某种'嘿你需要的那样会很好升级浏览器的消息)

我自动生成文件,我可以轻松生成.htaccess文件以与每种文件类型一起使用.基本上我想要的是一些总是在mod_gunzip版本.因为文件很大,并且因为我将重复提供它们,所以我需要一种方法,允许我在命令行上压缩一次,非常好.

我在这个网站上找到了一些关于如何使用gzip进行此操作的信息,但我想知道是否有人可以指导我如何使用deflate来做到这一点.奖励指向一个完整的答案,包括我的.htaccess文件应该是什么样子,以及我应该使用的命令行代码(GNU/Linux)来获得最佳压缩.答案的超级奖励积分还解决了如何向不兼容的浏览器发送"抱歉没有文件"消息.

如果我们可以创建一个"预压缩"标签来涵盖这样的问题,那将是很可爱的.

-FT

关于使用传统SSL创建的IP到域映射问题,NHIN Direct 的安全和信任工作组正在进行讨论.如果HISP(由NHIN Direct定义)想要为提供商托管数千个NHIN Direct"健康域名",那么必须为这些域中的每个域购买IP将是"人为膨胀的成本".

由于Apache和OpenSSL最近发布了支持SNI扩展的TLS,因此可以使用SNI作为服务器端此问题的解决方案.但是,如果我们决定允许 NHINDirect传输层的服务器实现支持TLS + SNI,那么我们必须要求所有客户端也支持SNI.默认情况下,基于OpenSSL的客户端应该这样做,如果您的给定编程语言SSL实现不支持SNI,我们总是可以实现TLS + SNI感知客户端代理.看来使用OpenJDK的本机Java应用程序还不支持SNI,但我无法从该项目中得到直接的答案.我知道有OpenSSL Java库可用,但我不知道这是否可行.

你能否给我一个关于TLS + SNI支持Java客户端的"最新技术"总结？我需要一个Java实现者的观点.

Generally, I am excited by the Temporal Database feature.

However, mysqldump is not supported for database export and restore.

I can find no resource in the documentation (linked to above) that indicates which methods of backup and restore are safe to use for this type of database. Google searches do not seem to help.

Does anyone have any insights into using these MariaDB temporal databases in production environments? Or more specifically, in using them in development environments, and then transferring …

这听起来像一个非常简单的问题,但我找不到答案.

我有一篇来自textarea的帖子.我想使用当前的facebook php库来执行以下操作...

$description = $_POST['textarea_description'];

//magic happens

$attachment =  array(
'access_token' => $token,
'message' => "$title",
'picture' => "$image_url",
'link' => "$action_link",
'name' => "$action_label",
'caption' => "$caption",
'actions' => $action_json,
'description' => "$description",
 );

$facebook->api('/'.$my_uid.'/feed', 'POST', $attachment);

并让它工作.现在它似乎忽略了

<br> <br /> \n \r \n\r \r\n

但我相信我可能已经做了一些事情来搞砸我的测试......我只需要用有效的东西取代'魔术发生'.现在它只是将我投掷的所有新行转换为空格.非常令人沮丧.facebook论坛上有人建议添加所有内容......但这对我来说似乎不起作用

谢谢,-FT

我已经好几天了,我似乎无法弄明白.我想要做的就是当推送订阅按钮,发送变量(发送得到我不在乎)付款完成并登陆成功页面,我的变量!

从我可以收集到的,这应该能够做到:

<form action="https://www.sandbox.paypal.com/cgi-bin/webscr" method="post">
<input type="hidden" name="cmd" value="_s-xclick">
<input type="hidden" name="hosted_button_id" value="0000000">
<Input type="hidden" name="custom" value="<?php md5($code.microtime()); ?>"/>
<input type="image" src="https://www.sandbox.paypal.com/en_US/i/btn/btn_subscribeCC_LG.gif" border="0" name="submit" alt="PayPal - The safer, easier way to pay online!">
<img alt="" border="0" src="https://www.sandbox.paypal.com/en_US/i/scr/pixel.gif" width="1" height="1">
</form>

任何帮助非常感谢(是的,我读过paypal和沙盒文档,只是不那么擅长阅读.)

我有兴趣使用LAMPhp服务器上的公钥加密,使用Web客户端上的相应私钥解密(至少是firefox,如果是标准的javascript则最好)

请注意,我想要做的是 - 不仅仅是使用SSL/https进行加密连接.甚至使用基于浏览器的客户端证书作为登录/访问控制方法.我知道如何做这两件事.我想做的更像是用gpg键发送电子邮件.我希望能够创建一条短消息,我将使用用户公钥加密 - 只有他们可以使用他们的私钥解密.我正在寻找的不是ssl自动实现的隐私,而是仅允许特定用户解密消息的能力.我知道我可以用gpg或SMIME轻松做到这一点,也许这是最好的方法,但我更喜欢基于网络的替代品.

Firefox等有一个证书存储,我知道由于明显的安全原因,那里持有的私钥不太可能导出到javascript中,但我认为有一些方法可以使用来自javascript调用的证书解密一些东西.

我想这样做的原因是,我需要一种安全的方法来向特定管理员提供随机生成的密码.我正在尝试实现完整的数据库半透明性,公钥加密似乎是这项工作的重要组成部分.但这是一个用例,我在没有这种能力的情况下难以解决.

所以在php方面我会像这样使用openssl加密调用......

<?php

$browsers_public_key = get_it_from_the_browser_via_apache_maybe(); 

openssl_public_encrypt($data,$encrypted_ends_up_here,$browsers_public_key);

echo "<html><head>
<script type='javascript'>
      function decrypt_textarea(){  
            ??
     }
</script>
</head>
<body><textarea id='decrypt_me'> $encrypted_ends_up_here </textarea> 
<div id='where_the_plaintext_goes'>  </div>
</body> </html>";

?>

请注意,我通过stackedoverflow找到了许多优秀的javascript加密库...但我实际上想要使用按照MyOpenId.com或CaCert.org导入Firefox的密钥

有谁知道这是否可能？

谢谢,-FT

我试图使用selenium webdriver自动化一些测试.我正在处理在其html中使用重复ID的第三方登录提供程序(OAuth).结果我无法正确"找到"输入字段.当我选择一个id时,我得错了.

这个问题已经为JQuery解答了.但是我想要一个可以在Selenium webdriver中使用的答案(我假设使用Xpath).

关于这个问题的其他问题,答案通常会说"你不应该在html中有重复的id".在那里向合唱团讲道.我无法控制相关网页.如果是的话,我会正确使用class和id,并以这种方式修复问题.

因为我做不到.使用xpath等可以获得哪些选项？

我有兴趣为用户执行高级访问控制以访问软件系统中的资源.我在医疗保健IT领域工作,年轻的我经常低估医疗保健中基于角色的访问控制的复杂性.但是这个问题应该适用于具有复杂ACL要求的任何人.

很长一段时间以来,php gacl一直是我的首选库,用于处理Health IT系统内部非常复杂的ACL控制问题.但我现在正在更多地使用javascript和节点.我已经在npm中搜索了库以便以通用的方式进行访问控制.

我想支持定义操作而不仅仅是用户和资源(3层而不是2),我想拥有用户,操作和资源组,并且暗示我希望拥有ACL继承.

从星球大战主题手册到该库的经典示例是以下规则:

• 所有船员都有(访问,配置和使用)进入枪支,发动机,驾驶舱和休息室,期待chewie.
• 所有机器人都有(访问和使用)访问驾驶舱,但只有R2D2可以配置访问引擎.
• Han拥有所有类型的资源访问权限.

这里的基本概念包括您可以制定适用于任意一组用户(即机组人员,乘客或机器人)或个人(Han和Chewie)的规则,您可以拥有不同类型的访问权限(访问,配置,使用) )或访问组(维护访问=配置+修复+使用)到不同的资源(引擎和驾驶舱),也可以分组,(战斗站=驾驶舱+枪支).

这允许配置极其复杂的访问控制规则,具有相对简单的基于组的管理.

到目前为止,我在php-gacl之外没有看到这样的东西.我已经看了一下基于javascript的精彩ACL项目,所有这些项目都宣传简单易用,而不是全面.对于其他典型的php ACL库(即Zend ACL)也是如此

有人在为节点工作"高级ACL"项目吗？是否有一个更好的方法,我应该寻找某个地方？

php-gacl有三个部分,一个是基于php的管理GUI(这无疑是过于复杂的),以及一个关于规则的CRUD的API(我认为可以很容易地转换为REST接口)和一个非常小的部分提供ACL检查功能的文件.

从技术上讲,只有最后一种类型需要完全移植到节点才能使该软件模型工作？

在更深层次上,我想了解哪些方法已成功用于处理此问题.这个问题通常如何解决？对于那些根据节点/ javascript甚至特定数据库方法(关系与非关系)有效讨论此问题的人的奖励积分.我理解有很多理论基础可以做这个对/错(即对RBAC和ACL有很多意见).我想要的是理论上坚实的,或几乎坚实的东西,从图书馆的角度来看仍然"正常".我专注于Javascript,但是理解其他语言如何实际解决这个问题会很好.