我工作的组织使用PPolicy(OpenLDAP模块)来自动加密和散列密码.不幸的是,我无法访问运行OpenLDAP服务器的机器,所以我无法查看配置文件.从我所看到的,几乎所有东西似乎都使用默认设置进行设置.
我希望能够为特定用户检索salt.如果我查看用户的属性,userPassword是SSHA密码.我没有看到任何有关该特定用户的盐的信息.我最终查看了LDAP模式,我也没有看到任何关于盐的信息.
如果您猜测每个用户存储盐的位置,它会在哪里?我理解这是模糊的,可能不是很多信息,但我在OpenLDAP文档中找不到任何解释确切存储唯一盐的位置.也许之前配置过OpenLDAP服务器的人会知道默认位置在哪里.
谢谢.
我的iOS应用程序需要连接到mysql服务器.为了实现这一点,我想创建一个webapp,充当客户端应用程序和服务器端数据库之间的中间人.
我担心的是,有人可以简单地弄清楚我的应用使用的网址并传递自己的网址参数 - 因为网络应用程序不知道是否从我的iOS应用程序发送了合法数据,而只是输入正确制作的URL任何网络浏览器,系统都会受到攻击.
假设我有一个用于将用户标记为"已验证"的PHP函数(在我向他们发送电子邮件验证码之后).这是非常标准的东西,但是什么阻止某人从网络浏览器发出相同的请求?
当然,应用程序用于进行数据库查询的用户将具有有限的权限,因此数据库的其余部分将不会有风险.但是,即使让用户从应用程序外部激活他们的帐户也是灾难性的.
我想到的选项是使用https,这样即使用户计算出URL,他们也不会知道密码,也无法嗅探它,因为它是从头到尾加密的.不幸的是,https对于一个贫穷的大学生来说可能是昂贵的,所以如果存在,我会想要一个替代方案.