问题标签 [password-protection]

既然我知道锁定和密码保护 VBA 代码的标准方法有一个简单的解决方法，我想继续使用更有效的代码保护方法。我要向客户提供一个基于 Excel 的工具，但我想要的不仅仅是简单的烦恼类型的保护，它只会阻止最懒惰的黑客。

Excel-VBA 中是否有任何选项，或者我们真的必须编译一个单独的应用程序而忘记我们基于 Excel 的界面？

查看 Gmail 的 cookie 很容易看到“记住我”cookie 中存储的内容。用户名/一次性访问令牌。在用户名是秘密的情况下，它也可以以不同的方式实现。但不管怎样……这东西的安全性不是很高：你偷了 cookie，然后你就准备好了。

然而，我的问题是在功能方面：你什么时候擦除他们的访问令牌？如果用户登录时没有在另一台机器上点击“记住我”，是否应该使他们在所有机器上的访问令牌失效？我在问这传统上是如何实现的，以及它应该如何实现。

这可能只是我对这个主题的误解，但我希望能找到一个简单的答案。

我运行一个网络服务器供我自己使用，其中有很多原因，只是为了让我有一个域名来引用我家的网络。

由于获得了 MS 慈善许可证，我刚刚部署了 Sever 2008 Enterprise。它比我以前在 XP 设置上的 IIS 5 好得多。

我还在玩弄 AD 组和用户，但现在我只想用密码保护这个框的 web 端的几个文件夹。

假设我去 domain.com，没问题。我想要那里的公共访问，它工作得很好。但如果我访问 domain.com/private，我希望它提供一个用户/密码框。我之前通过使用一个名为 IISPassword 的廉价程序来实现这一点，该程序使用 .htaccess/.htpasswd 文件。

在阅读 IIS7 的功能时，我对 Digest Authentication 产生了兴趣。知道基本身份验证会以明文形式传输密码，我认为这将是一个更好的选择。

我在 /private 文件夹上设置了权限以禁用所有其他方法（anon、basic），并且仅在 IIS MMC 中启用 Digest。我没有修改 NTFS 级别的文件夹权限（只是域组，IUSR 没有条目）。查看页面时我得到的所有响应都是错误 500。

我承认我对这个级别的管理还是新手，并且非常感谢我能获得的任何帮助来启用这个级别的保护。我可以使用 AD 身份验证，但我认为我仍然坚持“为什么我得到 500 而不是凭据提示”

谢谢！乔恩

我一直在尝试为我正在开发的网站进行安全登录。

我只是无法让它工作，我将 MySQL 数据库与 PHP 一起使用。

我可以制作表单以将用户及其信息添加到数据库中，但我似乎无法使其与登录一起使用。

HTML 使用什么类型的加密<input type="password">？

如何在用户访问我的网站期间保持登录状态？

我如何安全地检查它是否是与用户名匹配的正确密码？

我已经做 PHP 大约一年了，我只是还没有学习这部分，所以很高兴知道。

我们有一个 COM 插件，可以在 Word 和 Excel 等 MS Office 应用程序中使用。该 COM 加载项公开了一些可供使用的 API，我们将其用于自定义。

问题是 - 任何用户都可以访问 API，这会导致安全问题。我们不希望这种情况发生，我们只想让少数人访问 VBA 编辑器。

有什么办法 - 禁用 VBA 编辑器，而不禁用 VBA，因为我们想使用其他宏和加载项。

提前致谢！

PS - 我尝试从工具栏中隐藏“开发人员”选项卡，但任何知道快捷方式（ALT-F11）的人仍然可以使用它。

情况1 - 将服务器连接到数据库：
它总是说密码不应该以纯文本形式存储，但是连接到mysql数据库需要密码，在纯文本中似乎......我猜是最好的解决方案这是以加密形式存储它，根据需要在我的应用程序中解密，然后从内存中删除它（我猜是 Windows 中的 SecureZeroMemory，所以编译器无法优化它）。

情况 2 - 用户从远程计算机登录服务器：
至于用户密码，我的计划是根本不实际存储原始密码。相反，我将存储一个随机生成的“盐”，为每个用户在密码前加上前缀，然后对其进行哈希处理，这似乎是一种相对常见的方式。但是我此时没有可用的 SSL 连接，所以我猜测纯文本密码可能会被截获，有什么好的解决方案？

什么是好的算法（如果你有的话，链接到 C/C++ 实现也会很方便），网上一看就会有 100 个？

编辑：
如果我获得 SSL，以下内容是否安全（假设使用了强哈希算法），还是应该使用不同的方法？

1. 客户端请求用户名加盐
2. 客户端在密码前加上盐，然后在将哈希发送到服务器之前对其进行哈希处理
3. 服务器将收到的哈希值与服务器上该用户名的哈希值进行比较

我正在为我们的网站创建一个walkup 创建帐户页面。在用户提交表单后，即使两个密码匹配且有效，我总是出于偏执清除 type="password" 输入的默认值=""。在我们的设计师问我这样做是否有任何真正意义之后，我开始思考这个问题。我当然可以在提交后将密码回显到 value="" 字段中，如果它们不是有问题的验证失败，但是这种方法是否存在漏洞？我们在此特定页面上默认使用 https。我知道您可以进行 html 重写以更改输入类型，以便您回显到非屏蔽输入中，但这似乎只会影响本地用户。

示例表格：

提交时，检查用户名是否看起来像一个正确的电子邮件，密码是否匹配，并且密码是否超过了我们的最低要求。如果电子邮件有问题，但密码没有，我可以添加...

......然后无忧无虑？不，我没有使用寄存器全局变量。我手动将它们从 $_POST 中拉出并先进行消毒。

乔什

我需要从标准输入中读取密码，并且不想std::cin回显用户键入的字符...

如何禁用 std::cin 的回声？

这是我目前正在使用的代码：

我正在寻找一种与操作系统无关的方法来做到这一点。 这里有在 Windows 和 *nix 中执行此操作的方法。

我一直在阅读加盐和散列密码的好处，但有一件事仍然让我难以捉摸......

当我为每个用户提供随机盐时，当我尝试对他们进行身份验证以登录时，我如何知道盐是什么？

所以如果我这样做..

HashPW = PW.RANDOMNUMBER

我可以将随机数存储在数据库中，但这似乎扼杀了添加盐的全部意义..不是吗？我也可以为每个盐使用一个非随机数，但这也会扼杀盐的意义，因为如果他们发现他们拥有我所有的用户密码......

我刚开始学习 PHP 和 MySQL，像这样的抽象东西让我很困惑

谢谢！

我使用密码保护了我的整个网站，.htaccess但我想公开其中一个子目录，以便无需密码即可查看它。

如何禁用子目录的 htaccess 密码保护？具体是什么.htaccess语法。

这是我.htaccess放置在我的 ftp 根目录中的文件。