问题标签 [security]

有谁知道 IE7 如何确定站点使用哪个安全区域？我在这里看到了 IE6 的基础知识，但我找不到 IE7 的等价物。

可以使用CasPol.exe从脚本更改 .NET 安全策略。假设我将向本地网络上的多个用户分发应用程序。这些用户中的大多数将是无特权的标准帐户，因此他们将没有相关命令的必要权限。

我想我将研究域登录脚本。有没有替代方案？没有域的网络的任何解决方案？

编辑：我一定会使用 Framework 2.0 版

我的一位客户使用 McAfee ScanAlert（即 HackerSafe）。它基本上每天会收到大约 1500 个错误请求，以寻找安全漏洞。由于它表现出恶意行为，因此很容易在几个错误请求后阻止它，但也许我应该让它运行 UI。如果我不让它完成，这是一个真正的测试吗？

当我尝试boo.exe从网络共享（映射到驱动器）运行 .NET 程序集 ( ) 时，它失败了，因为它只是部分受信任：

根据博客文章中的说明，我向 .NET 配置添加了一个策略，该策略完全信任所有程序集file:///H:/*作为其 URL。我通过在 .NET 配置中将 URL 输入file:///H:/boo-svn/bin/boo.exe到Evaluate Assembly工具中验证了这一点，并注意到 boo.exe 具有Unrestricted权限（在策略之前它没有）。

即使有许可，boo.exe也不会运行。我仍然收到相同的错误消息。

我能做些什么来调试这个问题？是否有另一种方法可以从网络共享运行“部分受信任”的程序集，而不必为我要运行的每个程序集更改某些内容？

我需要在两台基于 Windows 的非域机器上保持文件和文件夹在公共网络上同步。

我在考虑通过 SSH 进行 rsync - 但我想知道是否有更简单的解决方案？是否有可能通过 SFTP/SCP/SSH 使用同步框架？

或者我愿意接受更好的想法？

我正在寻找一个“安全”的评估函数，以实现类似电子表格的计算（使用 numpy/scipy）。

由于明显无法修复的安全问题，自 2.3 以来，执行此操作的功能（rexec 模块）已从 Python 中删除。有几个第三方黑客声称可以做到这一点——我发现的最深思熟虑的解决方案是 这个 Python Cookbok 食谱，“safe_eval”。

如果我使用它（或类似的东西）来防止恶意代码，我是否相当安全，或者我是否坚持编写自己的解析器？有谁知道任何更好的选择？

编辑：我刚刚发现了RestrictedPython，它是 Zope 的一部分。欢迎对此提出任何意见。

看着 SO 上线对我来说是一种教育。我想列出针对网站的各种漏洞和漏洞利用清单，以及可以使用哪些编程技术来防御它们。

• 哪些类别的漏洞？
  • 崩溃现场
  • 闯入服务器
  • 闯入其他人的登录
  • 垃圾邮件
  • 袜子木偶，肉木偶
  • ETC...
• 什么样的防御性编程技术？
• ETC...

好的，所以我正在我的专用网络上运行一个小型测试网络服务器。我有一台运行 Windows 2000 Pro 的机器，我正在尝试通过 IIS 运行 ASP.NET 应用程序。

我编写它是为了让网页使用注册表来存储某些设置（连接字符串、其他 Web 服务的潜在易失位置、存储某些信息的本地文件系统中的路径等......）当然，它在测试时工作正常使用 VStudio.NET 2005，因为运行该应用程序的用户具有提升的权限。但是，在 IIS 上运行它时，我得到一个“拒绝访问注册表项 'HKEY_LOCAL_MACHINE\Software'。”，这表明 IIS 用户没有对注册表的该部分的读取权限（我只通过网站进行读取）本身，从不写）。

我就像“好吧，很简单，我将通过 regedit 授予该用户对注册表该部分的权限。” 问题是，我在 regedit 中的任何地方都看不到更改安全设置的选项......根本。这让我开始思考......我认为我以前实际上不必更改注册表配置单元/密钥的安全设置，而且我认为我不知道该怎么做。

半小时后在网上搜索，我没有找到任何关于这个主题的有用信息。我想知道的是...您如何更改注册表部分的安全权限？我被难住了，似乎我在谷歌上找到答案的能力完全让我失望了……因为我刚在这里注册，我想我会看看这里是否有人知道。=)

我有一个需要从网络共享读取（并且可能写入）文件的 Web 应用程序。我想知道最好的方法是什么？

我无法让网络服务或 aspnet 帐户访问网络共享。我可能会使用模仿。

网络共享和 Web 应用程序都托管在同一个域上，我可以专门为此目的在域上创建一个新用户，但是我不太确定如何在创建文件流和指定要使用的凭据之间加入点在网络应用程序中。

不幸的是，该驱动器没有映射为机器上的网络驱动器，它只能作为网络共享提供给我，所以很遗憾我无法进行透明调用。

我可以想到一个关于模拟的问题......我认为每个应用程序域只能模拟一个用户，但我很高兴得到纠正。我可能需要将此文件写入多个不同的共享，这意味着我可能必须模拟多个用户。

我喜欢创建令牌的想法......如果我能做到，我将能够预先询问他们的凭据，然后动态应用安全性并在访问被拒绝时给他们有意义的错误消息......我我要去玩，但我会回来更新。

I have a project to build a voting desktop application for a class in Java. While security isn't the focus of the project, I would like to be as realistic as I can. What are some of the primary tools to integrate security into a Java application.

Edit: I'm not primarily worried about physical security, we are simply building an application not a whole system. I want to ensure votes are recorded correctly and not able to be changed or read by someone else.