问题标签 [password-protection]

Initially I had the issue reported in this question.

Now, what I noticed is that there are some browsers that accept the password, and there are some which don't. Difference? For some reason the cookie is generated when I log in into the Administration module, but it isn't when I write down the password to access the page, forcing it to simply reload.

I can see the cookie created for the log-in, but I can see none for the password-protected Page.

These happens on Internet Explorer, both version 7 and 8; only on some machines, though, but most of them fail this. I already tried white-listing the URL, and even letting it accept ALL cookies, to no avail.

What may be the cause? If perhaps it's got something to do with question above, please help me!

Thanks in advance.

PS: If you know of another, cookie-free method to make a simple authentication, please link me to it. Thanks. Oh, and by the way, this is inside an Intranet with static, class C IPs.

我正在开发一个与许多外部系统 API：s 交互的系统。他们中的大多数需要某种身份验证。为了可用性，有一个“应用程序范围内可访问”的 AppConfig 存储配置信息以及外部系统的凭据。

我的问题是，将用户名和密码（以明文形式）存储到应用程序配置文件中的外部系统是否是个坏主意。如果是这样，你如何避免它？

为了访问配置文件，您要么必须破坏服务器的文件系统，要么破坏另一台服务器（或者当然是任何开发人员的系统）上的 git 存储库。我一直认为加密配置文件中的密码不会提高安全级别，因为加密密钥也必须存储在某个地方。我错了吗？

我非常感谢您解释您如何解决此问题的答案。

解决方案

好的，这是我的最终解决方案。我使用 OpenSSL 创建了一个简单的库来加密和解密我的敏感数据。加载配置时会从用户那里检索密钥，但存储在文件中的生产服务器上除外。它仍然不是最佳解决方案，但比我之前的“解决方案”要好得多。

谢谢您的回答。我会接受韦恩的回答，因为它提供的信息最多。

问候！

我需要使用我正在开发的应用程序部署一个紧凑型数据库。数据库充当应用程序已经看到的数据的缓存，并且该数据永远不会更改，因此缓存的值永远不会过时。我选择了 SQLite，并且我正在用 C# 编写。

我想保护数据库文件，以便用户无法轻松访问或编辑它们 - 仅保留对我的应用程序的访问权限。现在，一种选择是使用密码保护，这很好，除了使用 Reflector 等工具可以轻松查看接近原始版本的源代码并检查密码/每个文件生成密码的方式并复制它。

有没有关于如何实现这个结果或接近的建议？过去人们有没有做过这样的事情？

谢谢！

我正在使用 Flash CS4 和 AS 3.0

我正在尝试添加登录以运行我的 Flash 电影。当用户单击登录按钮时，密码字段的文本被验证，这允许gotoAndPlay(2).

但问题出在我.swf和我的投影仪上，.exe我可以通过按Ctrl+轻松跳转登录框Enter。

我正在创建一个游戏社区网站，我的目标是尽快向公众发布。目前，我正在处理密码和登录。我以前只使用过 MD5，但我读过有关密码安全的内容，听说加盐是目前要走的路。

这是我的计划：每个用户都有自己独特的 12 个随机字符（#/¤& 等）的盐，存储在 users 表中。盐在注册时与密码一起被散列（使用 SHA-256），并在登录时重新散列。

你觉得这听起来如何？有什么我可以改进的吗？我应该选择 SHA-512 和更长的盐，还是这样就足够了？

我有一个 CakePHP 应用程序，我想用密码保护它。棘手的是，所有文件/位置都只能通过密码访问，除了一个特定的地址（一个带有 CakePHP 控制器的函数）

地址是这样的：

http://example.com/MyApp/MyController/MyFunction?MyParam=MyValue

所有其他位置只能通过密码访问

http://example.com/MyApp/MyController/MyOtherFunction
http://example.com/MyApp/MyController/MyOtherFunction
http://example.com/MyApp/MyOtherController/MyOtherFunction

好吧，我首先在根文件中尝试了它.htaccess，但是 CakePHP 的整个重写使它变得非常困难，并且在 .htaccess-Files 中不允许<LocationMatch>使用指令。所以我试了一下<FilesMatch>，但真正的文件总是一样的：index.php. mod_rewrite 将所有地址重写为

http://example.com/MyApp/app/webroot/index.php?url= $1

在下一步中，我在 apache-configuration 中进行了尝试，并将此部分放在那里

那么正则表达式匹配，但它是错误的方式。它保护 MyFunction 但不保护其余部分。

有什么方法可以使用 JavaScript 验证主页吗？我确实知道几种方法，但它们非常容易“破解”，因为用户名和密码存储在脚本本身中 - 作为数组。

你们知道验证一个或两个子页面的好方法吗？

我开始阅读 Google Chrome 的文档，并喜欢它使用 HTML 和 Javascript 创建扩展的方法。阅读本关于本地存储的教程让我想到了很多不同的用途。

我想开发一个扩展来帮助我处理公司系统。它非常具体，并且只会在公司内部使用。

这个扩展将使用 javascript DOM 对这个公司系统进行一些活动，只需单击 Google 的 Chrome 工具栏。要一键工作，扩展程序需要在 Chrome 中存储密码：因此，如果您重新启动系统，则无需再次输入。

我怎么做？在 Google Chrome 扩展程序中保留密码以登录另一个系统？我不想将它存储在“纯文本”中，我想至少使用某种加密（可能是带有此资源的 Google Chrome API）。

是否可以？如何使用谷歌浏览器的扩展结构保存这些数据（最好的方法）？

我想创建一个站点范围的哈希，用作创建密码检索令牌的盐。我一直在 stackoverflow 周围蹦蹦跳跳，试图了解做到这一点的最佳方法。

以下是重置过程：

当用户请求密码重置电子邮件时，代码会生成一个检索令牌：

*$reset_hash 是使用 phpass HashPassword() 函数创建的哈希，保存在用户表中。

然后，我将 URL 中的令牌发送到用户的电子邮件地址。他们在令牌在一小时内超时之前单击。我将他们的提交与服务器端生成的质询令牌相匹配。如果匹配，则他们被迫选择一个新密码，然后登录。

我想知道生成 $site_key 的最佳方法。我正在考虑使用另一个由随机数播种的 HMAC 哈希：

这会产生如下内容：

这将是一个适当的随机用于此目的吗？我是否过于复杂化，或者以错误的方式接近它？

这个答案启发了我使用HMAC

编辑：我试图避免我的一些同事敦促的“秘密问题”步骤，所以我希望重置链接提供一个重置密码的步骤。因此，我担心这个过程足够安全以保护包含敏感信息的系统。

目前已解决：我将使用 The Rook 所描述的随机数作为重置令牌。感谢大家的评论和反馈。

有人对如何做到这一点有任何想法吗？我找到了一个插件，但它没有完成这项工作。我基本上使用 Wordpress 作为 CMS，我只想让一个“页面”既私有又受密码保护，即您需要密码才能查看该页面并且它不会显示在菜单中。