问题标签 [password-protection]

您使用什么策略来避免在版本控制中存储密码？

目前，我将开发/测试/生产密码保存在三个不同的文件中，并在部署期间使用相应的文件。所有这一切都致力于版本控制，但我对此不太满意，因为并非所有开发人员都需要知道这些密码（尤其是外包的，他们只有在项目持续时才可以访问，可能只有一个月）。

在数据库中存储密码不是一个好的选择：

• 在 Spring 上下文（Java 应用程序）初始化期间我需要大部分数据，并且我不想构建用于连接单个数据库的脚手架，然后连接到其余数据库并初始化应用程序的其余部分
• 一些密码仅与部署相关；访问不同服务器、密钥库等的密码；这些是应用程序启动后无法加载的东西，因为它根本不加载它

我正在考虑将部署配置从开发人员机器转移到专用计算机，该计算机从版本控制中检查代码并运行构建/部署脚本，但我不确定什么是最好的方法。

我还需要说，我不想要最终的安全性：我只想避免在每个开发人员的磁盘上都设置密码并使其过于简单。

所以我在问你的经验/最佳实践。你怎么做呢？

我正在为我的网站创建一个 PHP 脚本，它允许我的客户登录到他们的客户帐户并查看我为他们上传的文件列表。然后他们可以下载它们而无需重新登录或重新输入密码。

我想保证它的安全，所以如果他们知道客户的名字，任何人都不能进来下载文件。

我试过 .htacccess、保护文件夹等。但它似乎不起作用。我已经编写了客户端登录脚本，可以让他们登录并查看他们目录中的文件列表，但是我不能让他们在没有登录的情况下右键单击下载它。

在这里可以看到类似的东西：http: //forums.cgsociety.org/showthread.php?f=76& t=808482

在第二篇文章中，如果您尝试单击 delete.jpg，它不会让您在未登录的情况下下载它。我希望我的网站具有类似的功能。

该站点是用 PHP 创建的，带有一个 MySQL 数据库。

Office 2007 使用什么方法进行加密（从 Office 菜单中选择加密和设置密码时）？

我的 C# 应用程序需要创建和读取加密的 Excel 2007 文件 (.xlsx)。重要的是这些文件仍然可以从 Excel 访问，所以我必须使用 Microsoft 的加密方法，不能自己酿造。

普通 Excel 2007 文件是一个 ZIP 压缩文件，我使用ExcelPackage访问它，它在内部使用 * System.Io.Packaging.Package* （.net 3.0 的一部分）。

但是，Office 中的加密不是标准的 ZIP 加密。Package 类似乎不支持加密，并报告一个损坏的文件。7Zip 打开文件（不提供密码）并在其中显示一些二进制文件。

假设有一个包含纯文本密码的字符串变量。

是否有可能使用内存转储读取此密码。（假设使用作弊引擎。）我对这个 JVM 的东西感到困惑。JVM 是否对此提供某种保护。如果没有，我需要使用哪些做法来避免这种“偷窃”。

实际威胁是特洛伊木马；将内存转储的段发送给外部方。

我正在将用户从旧数据库转移到 vBulletin 数据库。

我想要一个脚本来做到这一点，否则它将永远持续下去。

我存储了所有用户的密码，就像 md5(password)

但当然，由于盐等原因，这不适用于 vBulletin。

所以我的代码是这样的：

我将如何更改它以使用 vBulletin - 这样我就可以设置 vBulletin 用户。password字段和 vBulletin 用户。salt正确。请记住，我的 $user[password] 或users. password存储为他们真实的文本密码的 md5 哈希。

谢谢！

我需要将 DataSet 结果导出到 Excel 文件（使用数据集、XSLT 转换和 XML 生成 => XML 电子表格）。这是工作，但我想保护这张纸。读者只能在某些下拉列表中进行更改，在某些单元格中进行更改，但不允许进行其他更改。唯一允许的更改是一些特定的单元格（值或下拉菜单）。

我怎样才能做到这一点 ？

谢谢，

我被要求对 Intranet 站点进行一些更改/更新；正如他们所说，让它成为“未来的证明”。

我们发现密码是使用 MD5 算法进行哈希处理的。（该系统自 2001 年以来就已经存在，因此当时就足够了）。
我们现在想将散列算法升级到更强大的算法（BCrypt-hash 或 SHA-256）。

我们显然不知道明文密码，并且为用户库创建新密码不是一个选项^*)。

所以，我的问题是：

在不访问明文密码的情况下更改散列算法的公认方法是什么？
最好的解决方案是完全“在幕后”的解决方案。

_{*） 我们尝试了; 试图说服他们，我们使用“密码年龄”的论据，试图用咖啡贿赂他们，试图用蛋糕贿赂他们等等。但这不是一个选择。}

更新
我希望有某种自动解决方案来解决问题，但显然除了“等待用户登录，然后转换”之外没有其他选择。

好吧，至少现在我现在没有其他可用的解决方案。

我一直在寻找一种有效的算法，可以让我准确了解密码的强度。

我发现几个不同的网站使用了几种不同的算法，因为我在不同的网站上获得了不同的密码强度等级。

我需要为 Open XML Wordprocessing 文档添加基本密码保护。我可以使用COM接口，当我有大量文档要处理时，它会很慢；或者我可以将数据直接放在docx文件<w:settings> <w:documentProtection>中，速度非常快。但是，查看加密密码的要求似乎需要数小时的编程时间。有没有人已经编码了这个算法？我正在用 C# 编码。

我正在尝试将 HTML 表单中的用户名和密码发布到网站上的受保护文件夹中？这可能吗？我以为我只是在 URL 中传递了一个语法，如下所示，但没有任何成功

http://username:password@theurlofthesite.co.uk

我仍然会弹出询问用户名和密码的警报？我需要能够自动登录该人..

希望有人可以帮忙？谢谢