问题标签 [security]

如果我想发布一个 .net 程序集，但希望在清单中保持其内部细节为私有（来自ildasm.exe等实用程序），我应该怎么做？

在使用基于 WCF 构建的 API 时，确保您只需要进行一次身份验证的最佳方法是什么？

下面列出了我当前的绑定和行为

接下来是我在客户端应用程序中用来进行身份验证的内容（目前我每次想调用 WCF 时都必须这样做）

我想做的是使用这些凭据对 API 进行身份验证，然后在我的客户端应用程序使用 Web 服务项目的时间段内获取某种类型的令牌。我认为establishsecuritycontext=true 是为我做的吗？

我知道这可能很简单，但请继续阅读。

我也知道，让浏览器运行并与本地应用程序交互，即使在 Intranet 上下文中，这通常被认为不是一个好主意，也许是最坏的主意。

我们将 Citrix 用于家庭办公，人们非常喜欢它。现在，他们想要同样的工作环境，一个漂亮的页面，其中每个重要的应用程序/文档/文件夹都以有序的方式排列和分类。这些人并不是特别精通技术。我什至不认为他们可以理解远程交付的应用程序和本地应用程序之间的区别。

所以，有人问我是否可能。当然，它是 IE 的优秀的 ActiveX 控件。我什至制作了一个工作原型（这就是它的痛处）。

但现在，我怀疑。允许这种“危险”的 ActiveX 控件，即使在“本地 Intranet ”区域中，这不是很疯狂吗？人们会使用相同的浏览器上网，我可以完全信任 IE 吗？微软不会在未来的更新/版本中禁用这些控件吗？如果一个网站或任何类型的恶意软件只是将另一个网站放在信任列表中怎么办？有了这种程度的控制，你也可以卸载所有的保护，然后胡闹，直到你被 IT 部门绞死。

我将要面对我的上级，即使他们认为这是可行的，这也是一件非常糟糕的事情。所以我迫切需要好的和强有力的论据，因为“让我们不要”不会这样做。

当然，如果没有什么好害怕的，那也很好。但我强烈怀疑这一点。

在我看来，混淆是一种属于“默默无闻的安全”或“虚假的保护意识”阵营的想法。保护知识产权，有版权；为了防止发现安全问题，我们正在修复这些问题。简而言之，我将其视为解决社会问题的技术解决方案。那些几乎从不工作。

然而，我似乎是我们开发团队中唯一有这种感觉的人，所以我要么错了，要么只需要令人信服的论据。我们的产品使用 .NET，一位开发人员建议使用 .NET Reactor（顺便提一下，在这个 SO 线程中也提出了建议）。

.NET Reactor 通过将任何纯 .NET 程序集（用 C#、VB.NET、Delphi.NET、J#、MSIL...编写）与本机机器代码混合，完全停止任何反编译。

所以，基本上，你一次就把字节码的所有优点都扔掉了吗？

混淆是否有良好的工程优势？

这是该问题的一个完美示例：分类器 gem 破坏 Rails。

**原始问题：**

作为一名安全专家，我关心的一件事是 Ruby 没有与 Java 的包隐私类似的东西。也就是说，这不是有效的 Ruby：

能够防止 Foo::BarImpl 的猴子补丁真是太好了。这样一来，依赖图书馆的人就知道没有人弄乱它。想象一下，如果有人在你身上更改了 MD5 或 SHA1 的实现！我可以调用freeze这些类，但我必须逐个类地进行，如果我对加载顺序不太小心，其他脚本可能会在我完成保护我的应用程序之前修改它们。

Java 为防御性编程提供了许多其他工具，其中许多在 Ruby 中是不可能的。（请参阅 Josh Bloch 的书以获得一个很好的列表。）这真的是一个问题吗？我是否应该停止抱怨并将 Ruby 用于轻量级的事情，而不是希望“企业就绪”的解决方案？

（不，核心类在 Ruby 中默认不被冻结。见下文：）

为政府医疗保健机构工作的乐趣之一是必须处理有关处理 PHI（受保护的健康信息）的所有偏执。不要误会我的意思，我完全赞成尽一切可能保护人们的个人信息（健康、财务、上网习惯等），但有时人们会有点过于紧张。

恰当的例子：我们的一位州客户最近发现浏览器提供了方便的功能来保存您的密码。我们都知道它已经存在了一段时间并且是完全可选的，由最终用户决定是否使用它是一个明智的决定。但是，目前有一些骚动，我们被要求找到一种方法来禁用我们网站的该功能。

问题：网站有没有办法告诉浏览器不要记住密码？我从事 Web 开发已经有很长时间了，但不知道我以前遇到过这种情况。

任何帮助表示赞赏。

我的任务是维护一个最近成为 SQL 注入攻击受害者的非营利性网站。有人利用网站上的表单向数据库中每个可用的类似文本的字段（varchar、nvarchar 等）添加文本，当呈现为 HTML 时，该字段包含并执行 JavaScript 文件。

谷歌搜索该 URL 表明它来自罗马尼亚或中国的垃圾邮件发送者，但这不是现在重要的。

我检查并手动从网站上最可见和最受欢迎的页面上呈现的文本字段中删除了信息，但我很好奇从网站上的其他文本字段中删除文本的最佳编程方式是什么.

显然还有更多工作需要做（强化网站以防止 SQL 注入，使用诸如降价之类的东西而不是存储 HTML 等），我正在研究这些，但目前我真正需要的是一个很好的进入方式并以编程方式删除注入的文本。我知道确切的文本是什么，每次都是一样的，而且它总是附加到任何文本字段的末尾。我现在无法删除数据库中的所有 HTML，而且我不知道这到底是什么时候发生的，所以我不能只是回滚到备份。此外，该站点位于共享主机上，我无法使用 SQL Server 工具直接连接到数据库。不过，我可以对它执行查询，所以如果有任何方法可以构建 SQL 更新语句以达到“

显然，关闭无线网络是出于安全原因，如果有人在窃取您的带宽，这并不好玩。那会是个严重的问题吗？

解决第一个问题：同一无线网络上的设备是否具有互联网上其他设备所拥有的任何特权或访问权限？
假设：无线网络连接到互联网

第二个似乎是社区问题。如果您的邻居正在窃取带宽，您的行为就好像他在“借”水或电一样。

首先，和他谈谈这个问题，如果这不起作用，去当局或把东西锁起来。我错过了什么吗？

离开你的无线网络开放问题让我想起了这一点。

我通常在我的网络上共享我的机器上的根驱动器，并将登录授权绑定到机器 NT ID，因此至少有某种形式的保护。

我的问题是，获得这些驱动器的访问权限有多容易？授权是否足够，还是我应该锁定更多？

我的老板来找我，问如何确保通过网页上传的文件是安全的。他希望人们能够上传 pdf 和 tiff 图像（等等），他真正关心的是有人将病毒嵌入到 pdf 中，然后查看/更改（并执行病毒）。我刚刚阅读了一些关于可用于通过更改最小重要位来破坏图像中嵌入的速记信息的程序的内容。是否可以使用类似的过程来确保没有植入病毒？有谁知道任何可以清理文件的程序？

更新：因此团队对此进行了一些争论，一位开发人员发现了一篇关于让文件下载到文件系统并让保护网络的防病毒软件检查那里的文件的帖子。发帖人本质上说，对几个产品使用 API 或命令行太难了。这对我来说似乎有点笨拙，因为我们计划将文件存储在数据库中，但我以前不必扫描文件中的病毒。有没有人对此有任何想法或经验？

http://www.softwarebyrob.com/2008/05/15/virus-scanning-from-code/