问题标签 [security]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby-on-rails - 您如何保护 database.yml?
在 Ruby on Rails 应用程序中,database.yml 是一个纯文本文件,用于存储数据库凭据。
当我部署我的 Rails 应用程序时,我的 Capistrano 配方中有一个部署后回调,它在应用程序的 /config 目录中创建到 database.yml 文件的符号链接。该文件本身存储在标准 Capistrano /releases 目录结构之外的单独目录中。我 chmod 400 文件,所以它只能由创建它的用户读取。
- 这足以锁定它吗?如果没有,你还能做什么?
- 有人加密他们的 database.yml 文件吗?
c# - C# Web 服务中的加密
我正在寻找一种简单的方法来加密我的 C# Web 服务中的肥皂通信。
我正在研究WSE 3.0,但微软似乎放弃了对它的支持,因此使用起来并不简单。
似乎 WCF 可能是一种选择,但我不想从 .NET 2.0 升级。
任何简单直接的加密方法?
linux - 在 Linux/UNIX 之类的纯文本文件中隐藏网络代理密码
通常在大型网络中,计算机需要在经过身份验证的代理后面运行 - 任何与外部世界的连接都需要用户名/密码,这通常是用户用于登录电子邮件、工作站等的密码。
这意味着必须将网络密码apt.conf以及通常定义http_proxy, ftp_proxy的https_proxy环境变量放入文件中~/.profile
我意识到apt.conf你可以设置chmod 600(在 Ubuntu/Debian 上不是默认设置!)但在我们的系统上有些人需要 root priveleges 。
我也意识到从技术上来说,从具有 root 访问权限的人那里保护密码是不可能的,但是我想知道是否有一种方法可以隐藏密码以防止意外发现。Windows 以管理员身份与用户一起操作,但以某种方式存储网络密码(可能以某种方式隐藏在注册表深处),因此在典型使用中您不会以纯文本形式偶然发现它
我从前几天才问起,在比较跨系统的配置文件时,我完全是偶然发现了别人的密码。
@monjardin - 恐怕公钥身份验证不是这个网络上的替代方案。另外,我怀疑大多数命令行工具都支持它。
@Neall - 我不介意其他用户可以访问网络,他们可以使用我的凭据访问网络,我只是不希望他们以纯文本形式出现在我的密码中。
security - 弹出奇怪的黄色条:'Microsoft 数据访问 - 远程数据服务
当我从任何计算机访问我的网站时,我看到弹出以下警告:
“此网站想要运行以下插件:来自‘Microsoft Corporation’的‘Microsoft 数据访问 - 远程数据服务数据...’。如果您信任该网站和插件并希望允许它运行, 点击这里...”
我猜这是某种病毒或什么的。我想知道如何从我的网站中删除它。
security - 如何保护我的新 Web 服务器 (Server 2008)?
我刚刚将我的新服务器放在一个 IP 地址上,并有一个指向它的域。我需要能够远程管理它。我已经为远程桌面和 HTTP 流量打开了防火墙。这足够安全吗?我想我可能应该重命名管理员用户...
windows - 使用 Windows CardSpace 做什么?
我正在做一些时髦的身份验证工作(是的,我知道,open-id 很棒,但是我的 open-id 现在又不能正常工作!)。
偶然发现 Windows CardSpace 我想知道是否有人在真实的产品系统中使用过它。如果你用过,对你有什么好处和坏处?我如何在我的开放 ID 中使用它?
security - DCOM:CoCreateInstanceEx 返回 E_ACCESSDENIED
我正在使用两台机器上的服务器和客户端处理 DCOM 应用程序,这两台机器都运行带有 Service Pack 2 的 WinXP。在两台机器上,我都使用相同的用户名和密码登录。
当一台机器上的客户端调用 CoCreateInstanceEx,要求另一台机器启动服务器应用程序时,它返回 E_ACCESSDENIED。
我尝试在 dcomcnfg 中进入服务器应用程序的组件属性,并为所有人提供所有权限,但这并没有帮助。
我需要做什么才能让这个调用成功?
更新:当服务器应用程序在 Windows 2000 机器上运行时,我没有收到此错误;CoCreateInstanceEx 返回 S_OK。
security - 如何保护用于让用户上传文件的文件夹?
我的网络服务器中有一个文件夹,用于用户使用 ASP 页面上传照片。
授予IUSR对该文件夹的写权限是否足够安全?我必须确保别的东西吗?我怕黑客绕过 ASP 页面,直接将内容上传到文件夹中。
我在 Windows 2003 Server 上使用 ASP 经典和 IIS6。上传是通过HTTP,而不是FTP。
编辑:为了清楚起见更改问题并将我的答案更改为评论。
security - 防止会话劫持的最佳方法是什么?
具体来说,这与使用客户端会话 cookie 来识别服务器上的会话有关。
对整个网站使用 SSL/HTTPS 加密是否是最佳答案,并且您有最好的保证,中间攻击中的任何人都无法嗅探现有的客户端会话 cookie?
或许次佳对存储在会话 cookie 中的会话值本身使用某种加密?
如果恶意用户可以物理访问机器,他们仍然可以查看文件系统以检索有效的会话 cookie 并使用它来劫持会话?
security - 我应该了解哪些常见的网络漏洞?
在 Web 编程方面,我仍然很年轻,我大部分时间都花在客户端应用程序上。所以我很好奇我应该在我的网站中害怕/测试的常见漏洞。