问题标签 [security-by-obscurity]

我知道通过默默无闻的安全性是不受欢迎的并且被认为不是真正安全的，但是通过默默无闻的密码安全性不是吗？只要没有人找到它，它就是安全的。

仅仅是默默无闻的程度问题吗？（即一个很好的加盐和散列的密码是不切实际的）

注意我不是在询问保存密码的过程（假设它们被正确地散列和加盐）。我正在询问使用密码的整个想法，这是一条信息，如果知道可能会危及一个人的帐户。

还是我误解了通过默默无闻的安全意味着什么？我想这就是我认为的意思，即存在一些信息，如果已知这些信息会危及系统（在这种情况下，系统被定义为密码旨在保护的任何内容）

我正在运行一个使用 Wordpress 作为 CMS 系统的网站。现在我不想让任何人知道这个网站是由 Wordpress 在后台提供支持的。

有什么简单的方法可以完全掩盖 Wordpress？

我要做的第一件事是： - 重命名 wp-content & wp-admin 目录，分别重命名它们的 URL。

也许有一个插件呢？

谢谢！

我在 WinForms 应用程序中嵌入了 Web 浏览器控件。用户在不属于我的网站上进行了一些操作。最后（例如在最后一页）我需要向我的服务器发送确认（例如通过网络服务），该用户确实做了他应该做的事情。

现在，该应用程序正在该过程中收集一些数据，并在用它制作一些奇怪的东西（即通过默默无闻的安全性）之后将信息发送到我的服务器。从应用程序发送到服务器的消息是模糊的，并且应用程序是用 C++ 编写的，因此反编译并检查真正发送的内容并不容易。此外，可能破解密码的用户有机会赚取很少的钱，并且很容易跟踪他。这种情况从未发生过。

源代码变得不可维护，我想用 C# 重写它。问题很明显：即使是混淆代码也比旧的原生 C++ 二进制文件更容易破解。

你看到任何“安全”的出路吗？是否有可能在 Web 浏览器控制（仅限 https 连接）上获得类似页面的数字签名？除了获取外部页面的用户凭据并代表他在服务器端执行操作之外，我不知道该怎么做，这是完全不可接受的。

隐藏代码中文字值的主要现有方法是什么，以便仅使用 hexdumper 或反编译器就不容易跟踪它们？

例如，而不是这样编码：

我们可以有：

这只是我们正在尝试做的一个例子。（是的，我知道，编译器可能会优化它并预先计算常量）。

免责声明：我知道这根本不会提供任何额外的安全性，但它会使逆向工程的代码更加晦涩（或有趣）。这样做的目的只是迫使攻击者调试程序，并在上面浪费时间。请记住，我们这样做只是为了好玩。

我的游戏和应用程序中有许多着色器，我目前使用我制作的一个简单程序来获取着色器并生成一个 java 类，该类将文本放入 StringBuilder 中，一次一个字符，因此找不到文本搜索如果有人逆向工程师的话。

感觉不对，但它确实可以让它们远离视线，但我并不幻想它们非常安全。

我看过一个关于预编译的问题，没有答案。还有什么可以做的？

背景

假设我想使用 twitter 的 javascript api。推特 javascript api 说

将 JavaScript 与 OAuth 一起使用时要小心。不要暴露你的钥匙[1]。

听起来使用带有 OAuth 的 javascript 是不安全的[2]。不是因为网络问题（可以使用 https），而是因为有权访问查看源的用户也可以查看用 javascript 硬编码的密钥。使用这些密钥，用户可以独立于您的应用程序控制您的 Twitter 帐户！

我见过的最好的方法是使用 YQL [3]。但是如何在您自己的服务器上执行此操作。

以下场景是安全的还是晦涩的？

设想

我打算使用 twitter 的 javascript api 来控制对我的 twitter 帐户的访问。

为了解决允许用户查看源访问我的 api 凭据的问题，假设我通过一个面向公众的页面（例如 Post.php）汇集所有 twitter api 通信。为了防止所有用户访问此页面，我可以在 url 中要求一个 guid：Post.php?pass=91626979-FB5C-439A-BBA3-7715ED647504

服务器端应用程序将向该页面发出 http 请求，因为服务器上的唯一 guid 是已知的。

api 通信可以保留在 javascript 中，而对该 javascript 的访问是通过服务器已知的 guid 保护的。http 请求是在服务器上发起的，因此无法通过查看流量来查看请求。guid 不会包含在客户端的源中。客户端将向服务器函数发出请求，然后向 Post.php 发出服务器端 http 请求

这实质上会导致 Post.php 无法从浏览器访问。本质上，服务器将启动 javascript api 调用。

这是安全的还是晦涩的？ 您有更好的方法（当然是通过 javascript）吗？

我想在我的 VB6 代码中隐藏密码，这样即使通过反编译也无法显示密码。

这可能吗？

我正在使用哈希来加密和解密我发送到 cass 构造的密码。示例如下：

然后解密在一个protected static function

然后我通过以下方式调用连接：

出于安全原因，我使用了一个虚拟密码并隐藏了我的服务器凭据。

连接功能：

我的总体问题是，这是一种将带有秘密盐的密码传输到我的 API 的有效安全方法吗？

我不喜欢以纯文本形式输入密码：

以上是一个例子，在我看来，这是我不能接受的。

那么这是使用 TCP 协议安全连接到我的 LDAP 服务器的有效方法吗？

虽然这个问题的外观，但我可以确认我可以成功连接到我的 LDAP 服务器，只要输入正确的凭据；所以这不是问题。我只是从安全方面询问，没有我的安全知识，我不希望以任何形式或形式损害数据或服务器，因此为什么这是在生产阶段并且只有我自己的一个用户可以访问。

我正在做一个项目，客户提出了一些有趣的要求。想知道是否有人有任何建议或想权衡。

我正在为我的客户创建一个 Web 应用程序，以便在公司内部分发给少数人。他们需要能够从世界任何地方访问 Web 应用程序。

客户要求他们的用户不必登录即可使用该应用程序，但他们不希望世界上的每个人都可以访问它。这让我想到了 Google Apps 共享功能，您可以在其中创建链接，并且拥有该链接的任何人都可以访问该文件。基本上是默默无闻的安全。所以我想我可以创建一个基本上是 50 或 60 个随机字母数字字符长的 URL，然后客户可以与他们的团队共享。

我想知道这是否是最好的主意，或者是否有更好的方法来解决它。

此外，为了确保页面不会被抓取，我计划使用一个 robots.txt 文件来阻止所有内容。

最后，我们希望使用 Google Analytics 收集分析数据，以便他们更好地了解员工如何使用该应用程序。据我了解，谷歌分析和谷歌搜索之间没有直接联系，只要我使用 robots.txt 阻止谷歌搜索机器人，谷歌分析中捕获的任何内容都不会被自动编入索引。我想确保是这种情况。发送到 Google Analytics 的任何内容都不会自动显示在公共论坛中。

整个事情的关键是能够创建一个向客户保证的工作流程，只要链接不公开，他们的内容就会受到“保护”。或者至少，与不受保护的内容一样受到保护。

有什么想法吗？

谢谢，豪伊

我一直在编写一个 EPO 程序，到目前为止，我已经能够找到一个调用操作码并从二进制中的以下地址获取 RVA，然后解析 IAT 以获取导入的函数的名称及其对应的 RVA。

在尝试使用名称 + RVA 填充数组并继续将调用地址中的 WORD 值与所有导入函数的 RVA 进行比较时，我遇到了一个问题。

这是我一直在使用的代码；

其余的：

注意：很多此代码已被删除（ printf 语句来跟踪进度。）

问题是我一直在使用的数组类型。我不确定如何正确存储 pThunkData（名称）和 pFThunkData（RVA）以供以后使用。

我已经尝试了一些乱七八糟的代码，但我承认失败并寻求您的帮助。