问题标签 [security-by-obscurity]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
security - 加密/散列数据库中的纯文本密码
我继承了一个 Web 应用程序,我刚刚发现它在 SQL Server 数据库中以纯文本形式存储了超过 300,000 个用户名/密码。我意识到这是一件非常糟糕的事情™。
知道我必须更新登录和密码更新过程以加密/解密,并且对系统其余部分的影响最小,您会推荐什么作为从数据库中删除纯文本密码的最佳方法?
任何帮助表示赞赏。
编辑:对不起,如果我不清楚,我的意思是问你加密/散列密码的程序是什么,而不是特定的加密/散列方法。
我应该:
- 备份数据库
- 更新登录/更新密码代码
- 几个小时后,检查用户表中的所有记录,对密码进行哈希处理并替换每一个
- 测试以确保用户仍然可以登录/更新密码
我想我的担忧更多来自于用户的数量,所以我想确保我做的正确。
security - 是否使用 GUID 安全性虽然默默无闻?
如果您使用 GUID 作为面向公众的应用程序的密码作为访问服务的一种方式,这种安全性是通过默默无闻实现的吗?
我认为显而易见的答案是肯定的,但安全级别对我来说似乎非常高,因为猜测 GUID 的机会非常低,正确吗?
更新
GUID 将存储在设备中,插入后,将通过 SSL 连接通过 GUID 发送。
也许我可以生成一个 GUID,然后在 GUID 上执行 AES 128 位加密并将该值存储在设备上?
asp.net - 屏蔽外部 URL
我需要能够在我的网站中打开一个外部 URL,而不向我的用户(在浏览器和源中)显示它。我不希望他们能够复制 URL 并根据自己的喜好编辑查询字符串。有没有办法在 iframe 或类似的东西中打开 URL,并隐藏/屏蔽其来源?
这是一个asp.net 2.0 网站。
security - 为什么通过默默无闻的安全是一个坏主意?
我最近遇到了一个系统,其中所有 DB 连接都由以各种方式隐藏的例程进行管理,包括 base 64 编码、md5sums 和各种其他技术。
为什么通过默默无闻的安全是一个坏主意?
css - 在整个 ASP.NET 应用程序中将 CSS 定义打乱到人类不可读状态的最佳方法
我不确定它是否会通过删除长词名称来节省流量,但我肯定想隐藏我的命名、声明及其组织系统。
问题是手动查找和替换将花费很长时间,并且每个细微的修改都可能需要部分或全部重做该过程。
有没有人想过这个问题?也许写一个宏?它是否足够智能,能够发现 CSS 文件中的名称?有没有更好更简单的存在?
licensing - 是否有可能拥有 DRM 软件的开源实现?
我很想知道是否有人想出了一种方法来以开源方式创建 DRM 的服务器部分,同时允许关闭 DRM 客户端。我知道如果客户端是开源的,那么删除 DRM 检查会很容易,但我相信服务器不会遇到同样的挑战。
security - 我想通过默默无闻的安全性来为一个简单网站的管理界面使用安全性。会不会有问题?
为了简单起见,我想对网站使用这样的管理链接:
http://sitename.com/somegibberish.php?othergibberish= ...
所以实际的 URL 和参数将是一些完全随机的字符串,只有我知道。
我知道通过默默无闻的安全通常是一个坏主意,但它是一个现实的威胁,有人可以找到 URL 吗?不要把托管公司的员工和线路上的窃听者考虑在内,因为它是一个玩具网站,不是什么重要的东西,托管公司反正也不给我安全的FTP,所以我只关心普通访问者.
有没有办法找到这个网址?它不会出现在网络上的任何地方,所以谷歌现在也不会这样做。我希望,至少。:)
我的计划中还有其他我看不到的漏洞吗?
php - 隐藏和编码 URL 参数
我想加密一个 URL 变量,以便用户在传递时看不到信息。我在网上找到了几个脚本,但没有一个可以工作。大多数人似乎倾向于使用 base-64。有人可以帮我编写一个简短的脚本来编码或加密,然后在下一页中将其反转吗?它不必非常安全,只要足以将电子邮件地址屏蔽给普通用户即可。
security - 默默无闻的安全性:URL 呢?
首先,从幼稚的角度提出问题:
我有一个 Web 应用程序,其中包含一个产品的 URL,例如Products?id=123
. 假设我有一个可以从Products?id=123&editable=true
.
如果我认为没有人会尝试启用该editable
参数,因此不需要任何进一步的安全机制来保护此页面,那就是obscurity 的安全性,这不是一个好主意,对吧?
-
在我的真实案例问题中,它稍微有点微妙:允许任何人知道我的管理 URL 是否有任何危险?例如,在使用 XSL 时,我想写:
但是对于潜在的攻击者来说,在“重要”页面中发现弱点不是更容易吗?
.net - .NET 与 Delphi 中的混淆
我有旧的 Delphi 应用程序。这个应用程序从服务器获取会话密钥,使用这个密钥做一些秘密的事情,比如散列等,然后将密码发回服务器。服务器知道如何从此密码中检索数据。所以简单地说,它是通过默默无闻的安全性。
我想用 C# 重写这个应用程序,然后使用混淆软件来隐藏创建秘密数据的过程。
C# 混淆应用程序是否会比未混淆但二进制的 Delphi 应用程序或多或少“安全”?破解Delphi代码还会更难吗?
注意:我非常清楚,通过默默无闻的安全性并不是真正安全的。