问题标签 [confidential]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
java - 如何防止 Tomcat 部署的文件在上下文中缓存在浏览器中?
我正在开发一个使用 Tomcat 6.0.10 的 Java/Struts 应用程序。它是一个典型的 Web 应用程序,允许用户编辑某些表单并流式传输 PDF。回过头来,我们补充说:
这样任何非流媒体页面都被强制进入 https 并且不被缓存(我们认为)。系统中的流媒体页面有一个单独的约束条目。
在最近对 IE6 的测试中,我们发现“有时”页面正在缓存,尽管我们还没有完全确定什么时候。除了 CONFIDENTIAL 标志外,我们还曾经拥有:
但是我们删除了这些,因为它似乎会在 IE6 中导致难看的重新发布警告,并且我们认为 CONFIDENTIAL 传输保证还包括所有适当的机制来防止浏览器缓存页面。我们宁愿把问题留给 Tomcat 来做。
做这些事情的“正确”方法是什么,所以我们将来不会有(那么多)问题?
我们的缓存问题是由 IE6 中的特定错误引起的吗?还是只是一组特定的版本?这是否允许在 7 和/或 8 中发生?
更新:我们检查了,Tomcat 正确发送了 Pragma、Cache-Control 和 Expires 参数,所以这不是问题(好吧,没有发送 no-string 和 max-age 值,但仍然不是问题) .
问题原来是 Apache Portable Runtime (APR) 1.1.8。不知何故,虽然我们不完全确定原因,但它正在从单个请求创建重复的浏览器操作。对我们来说,看起来好像页面被缓存了,因为它包含一个无效的 Struts 事务令牌,但实际上同一请求的第二个执行版本(具有错误的会话 id)正在覆盖会话中原始请求的令牌。升级到 1.1.16 解决了这个问题。
为什么有些请求会重复(但会话 ID 不同)仍然是个谜……
保罗。
tomcat - 仅在 Tomcat webapp 上为表单登录设置 SSL
我可以将 Tomcat(或我的 webapp,如果这样做的话)设置为要求 SSL 以确保内置基于表单的登录机制的机密性吗?
即保护用户凭据,并使用标准http 进行任何其他交易?
encryption - 加密文本数据方法
我正在开发一个期刊网络应用程序,并试图解决我预见到的最大问题——相信我不会阅读其他人的条目。到目前为止我的解决方案是:
- 用户每次登录时都会提供一个密钥。它不与他们的用户数据一起存储,并且仅在会话的生命周期内保留。
- 用户写入的每个条目都使用此密钥进行加密。同样,当他们尝试打开一个条目时,该条目将使用此密钥解密。
- 如果输入了不正确的键,则给出的条目将作为乱码返回,但是如果用户愿意,这将允许用户使用不同的键存储条目。
虽然信任我不记录密钥(我希望稍后分发一个具有相同代码的单用户版本)但我不禁想到有一种更常见的方法来做到这一点或这种想法的某个地方存在缺陷(我对安全性或加密知之甚少,其他一些对 md5/sha1/blowfish 的理解可能有些片面)。这是解决这个问题的最好方法吗?
google-app-engine - 匿名和机密的应用程序设计
我目前有两个双应用程序,TellMeStraight和SuggestionDrop,它们可以工作,但有一个小缺陷,这个问题是针对的。这两个应用程序是相同的,只是 TellMeStraight 的某些措辞面向与个人的沟通,而 SuggestionDrop 的措辞针对与公司/组织的沟通。这两个应用程序的目的是允许 (A) 个人或公司/组织与其 (B) 学生/客户/客户/成员/等进行保密/匿名对话。
这是问题所在。虽然从 A 到 B和从 B 到 A 的通信是通过一个完全匿名的 Web 链接进行的,但从 B 到 A 的(电子邮件)通信 似乎来自 我,而不是来自 A,并且在使用该系统时 A 似乎会迷失方向. 问题是 gae 只允许从应用程序所有者发送电子邮件,而不是应用程序用户。您可以从下面代码中的注释行中看出问题所在;当我尝试使用注释掉的行时出现系统错误。(顺便说一句,为了安全起见,我在下面更改了自己的电子邮件地址。)
所以我的问题是,你对如何重新设计这个应用程序以继续使用 gae 并消除这个问题有什么建议吗?(例如,是否可以使用谷歌“文档”,或者是否可以以某种方式省略我的返回电子邮件地址?)
ios - 如何在 iOS 上保存机密数据?钥匙扣还是 Outh2?谢谢。
如您所知,许多应用程序使用钥匙串来保存用户登录名和密码,但它真的安全吗?特别是在设备越狱模式下。所以另一种解决方案是使用 Outh2 协议将那些机密信息保存在服务器端,这需要在客户端和服务器端(对于我的应用程序)进行许多更改。
你们是如何处理这个棘手的问题的?有知道的朋友请先分享一下,谢谢。
vbscript - 如何使用 VBScript 发送机密电子邮件
我一直在网上搜索如何发送带有附件作为机密的电子邮件。我已经能够创建一个脚本来发送带有附件的电子邮件,但我不知道如何将其作为机密发送。
如果有人可以帮助我如何在 VBScript 中设置电子邮件敏感度,我将不胜感激。
这是我的代码:
linux - Azure SGX 支持
我正在尝试在 Windows Azure 上使用 SGX,如本文Azure 机密计算简介中所示。但我认为 SGX 它不再受 Azure 支持。除了 Azure,还有其他方法可以在云上运行 SGX 应用程序吗?
passwords - 如何在没有消费者密码或共享客户端秘密的情况下验证机密的 Keycloak 客户端 API 消费者?
我们有一个应用程序定义为 Keycloak 中的机密客户端(它是一个需要登录身份验证的 Web 应用程序,但也需要其 API 消费者身份验证)。我们的客户如何在不与他分享我们的客户秘密的情况下验证 API 使用者,他也不与我们的客户分享他的密码?
MyApp1 的“keycloak 机密客户端”配置是一个不错的选择吗?我不能假设 MyApp2 必须拥有 MyApp1 的密码才能与 MyApp1 中的 MyUser 连接。或者它必须将 MyUser 的密码发送到 MyApp1。或者 MyApp1 必须成为 public keycloak 客户端,以便 MyApp2 能够在没有秘密的情况下连接 MyUser。
有没有其他方法,既保密又不保密,也没有密码共享?
提前感谢您的帮助。
github - 是否可以在公共 git 存储库中提出机密问题?
我想在我团队的 github 存储库中保留公共和私人问题。我宁愿有些问题不向其他人开放,而不仅仅是我的队友。
kubernetes - 如何在 Kubernetes 上部署 SGX 应用程序?
我最近了解到英特尔 SGX 处理器能够加密飞地以将持久存储到磁盘。之后,我开始编写我的第一个 SGX 应用程序,现在我想知道是否有机会在 Kubernetes 上部署它们?