问题标签 [security-by-obscurity]

我继承了一个 Web 应用程序，我刚刚发现它在 SQL Server 数据库中以纯文本形式存储了超过 300,000 个用户名/密码。我意识到这是一件非常糟糕的事情™。

知道我必须更新登录和密码更新过程以加密/解密，并且对系统其余部分的影响最小，您会推荐什么作为从数据库中删除纯文本密码的最佳方法？

任何帮助表示赞赏。

编辑：对不起，如果我不清楚，我的意思是问你加密/散列密码的程序是什么，而不是特定的加密/散列方法。

我应该：

1. 备份数据库
2. 更新登录/更新密码代码
3. 几个小时后，检查用户表中的所有记录，对密码进行哈希处理并替换每一个
4. 测试以确保用户仍然可以登录/更新密码

我想我的担忧更多来自于用户的数量，所以我想确保我做的正确。

如果您使用 GUID 作为面向公众的应用程序的密码作为访问服务的一种方式，这种安全性是通过默默无闻实现的吗？

我认为显而易见的答案是肯定的，但安全级别对我来说似乎非常高，因为猜测 GUID 的机会非常低，正确吗？

更新

GUID 将存储在设备中，插入后，将通过 SSL 连接通过 GUID 发送。

也许我可以生成一个 GUID，然后在 GUID 上执行 AES 128 位加密并将该值存储在设备上？

我需要能够在我的网站中打开一个外部 URL，而不向我的用户（在浏览器和源中）显示它。我不希望他们能够复制 URL 并根据自己的喜好编辑查询字符串。有没有办法在 iframe 或类似的东西中打开 URL，并隐藏/屏蔽其来源？

这是一个asp.net 2.0 网站。

我最近遇到了一个系统，其中所有 DB 连接都由以各种方式隐藏的例程进行管理，包括 base 64 编码、md5sums 和各种其他技术。

为什么通过默默无闻的安全是一个坏主意？

我不确定它是否会通过删除长词名称来节省流量，但我肯定想隐藏我的命名、声明及其组织系统。

问题是手动查找和替换将花费很长时间，并且每个细微的修改都可能需要部分或全部重做该过程。

有没有人想过这个问题？也许写一个宏？它是否足够智能，能够发现 CSS 文件中的名称？有没有更好更简单的存在？

我很想知道是否有人想出了一种方法来以开源方式创建 DRM 的服务器部分，同时允许关闭 DRM 客户端。我知道如果客户端是开源的，那么删除 DRM 检查会很容易，但我相信服务器不会遇到同样的挑战。

为了简单起见，我想对网站使用这样的管理链接：

http://sitename.com/somegibberish.php?othergibberish= ...

所以实际的 URL 和参数将是一些完全随机的字符串，只有我知道。

我知道通过默默无闻的安全通常是一个坏主意，但它是一个现实的威胁，有人可以找到 URL 吗？不要把托管公司的员工和线路上的窃听者考虑在内，因为它是一个玩具网站，不是什么重要的东西，托管公司反正也不给我安全的FTP，所以我只关心普通访问者.

有没有办法找到这个网址？它不会出现在网络上的任何地方，所以谷歌现在也不会这样做。我希望，至少。:)

我的计划中还有其他我看不到的漏洞吗？

我想加密一个 URL 变量，以便用户在传递时看不到信息。我在网上找到了几个脚本，但没有一个可以工作。大多数人似乎倾向于使用 base-64。有人可以帮我编写一个简短的脚本来编码或加密，然后在下一页中将其反转吗？它不必非常安全，只要足以将电子邮件地址屏蔽给普通用户即可。

首先，从幼稚的角度提出问题：

我有一个 Web 应用程序，其中包含一个产品的 URL，例如Products?id=123. 假设我有一个可以从Products?id=123&editable=true.

如果我认为没有人会尝试启用该editable参数，因此不需要任何进一步的安全机制来保护此页面，那就是obscurity 的安全性，这不是一个好主意，对吧？

-

在我的真实案例问题中，它稍微有点微妙：允许任何人知道我的管理 URL 是否有任何危险？例如，在使用 XSL 时，我想写：

但是对于潜在的攻击者来说，在“重要”页面中发现弱点不是更容易吗？

我有旧的 Delphi 应用程序。这个应用程序从服务器获取会话密钥，使用这个密钥做一些秘密的事情，比如散列等，然后将密码发回服务器。服务器知道如何从此密码中检索数据。所以简单地说，它是通过默默无闻的安全性。

我想用 C# 重写这个应用程序，然后使用混淆软件来隐藏创建秘密数据的过程。

C# 混淆应用程序是否会比未混淆但二进制的 Delphi 应用程序或多或少“安全”？破解Delphi代码还会更难吗？

注意：我非常清楚，通过默默无闻的安全性并不是真正安全的。