问题标签 [security]

在应用程序中，我使用 Secret Keys 来计算 API 调用的哈希值。在 .NET 应用程序中，使用 Reflector 之类的程序从程序集中提取信息以包含这些键是相当容易的。

混淆程序集是保护这些密钥的好方法吗？

在阅读了 Jeff 关于保护您的 Cookie：HttpOnly的博文后。我想在我的 Web 应用程序中实现 HttpOnly cookie。

你如何告诉 tomcat 只使用 http cookie 进行会话？

我有一个确实应该安装的应用程序，但在使用 JNLP 部署时确实可以正常工作。

但是，使用默认安全选项时，某些 Java 功能（例如）似乎Runtime.exec无法正常工作。

因此，我想禁用依赖这些功能的 UI 功能。

所以我的问题是，如何在运行时检测某些功能是否可用？

当然，这里的案例研究是Runtime.exec。

我目前正在开发的系统需要一些基于角色的安全性，这在 Java EE 堆栈中得到了很好的满足。该系统旨在成为业务领域专家在其上编写代码的框架。

但是，对数据也有要求security。也就是说，最终用户可以看到哪些信息。

这实际上意味着减少对数据库中行（甚至可能是列）的可见性。

我们使用 Hibernate 来实现持久性。但是，我们使用自己的注释，以免将我们的持久性选择暴露给业务领域专家。

对于基于行的安全性，这意味着我们可以添加一个注释，例如@Secured在实体级别，这会导致在基础表中添加一个额外的列来限制我们的选择？

对于基于列的安全性，我们可能不得不@Secured协助查询生成，或者可能使用方面来过滤返回的信息？

我很想知道这也会如何影响hibernate的缓存机制？

我相信很多其他人都会遇到同样的问题，我想知道你是如何解决这个问题的？

非常感激...

如何在我的PHP appsas中设置 cookie HttpOnly cookies？

我正在使用 jquery ajax 将更新发布回我的服务器。我担心确保我已经采取了适当的措施，以便只有我的 AJAX 调用可以发布数据。

我的堆栈是针对 MySQL 后端的 Apache 上的 PHP。

建议非常感谢！

我在运行本地 Windows 帐户的 Windows 服务中托管了一个 wcf 应用程序。我需要为此帐户设置 SPN 吗？如果是这样，SPN 需要设置的协议是什么？我知道如何通过 HTTP 为服务执行此操作，但从未为 net.tcp 执行此操作。

我正在使用 basic-auth twitter API（不再可用）将 twitter 与我博客的评论系统集成。这个和许多其他 Web API 的问题是它们需要用户的用户名和密码才能做任何有用的事情。我不想处理安装 SSL 证书的麻烦和成本，但我也不希望密码以明文形式通过网络传递。

我想我的一般问题是：如何通过不安全的渠道发送敏感数据？

这是我目前的解决方案，我想知道其中是否有任何漏洞：

1. 在服务器上生成一个随机密钥（我使用的是 php）。
2. 将密钥保存在会话中，并将密钥输出到 javascript 变量中。
3. 在表单提交时，在 javascript 中使用 Triple DES和密钥来加密密码。
4. 在服务器上，使用会话中的密钥解密密码，然后销毁会话。

最终结果是只有加密的密码通过线路发送，并且密钥只使用一次，并且从不与密码一起发送。问题解决了？

使用两个密钥（可能是基于密码的）完成数据加密的基本原理是什么，但只需要两个密钥中的一个（任何一个）来解密数据？

例如，数据用用户的密码和他的公司密码加密，然后他或他的公司可以解密数据。他们都不知道另一个密码。仅存储一份加密数据的副本。

我不是指公钥/私钥。可能是通过对称密钥密码术，也许它涉及将密钥异或在一起以使用它们进行加密。

更新：我还想找到一个根本不涉及存储密钥的解决方案。

我的网站最近遭到了攻击，在我看来，这是一个无辜的代码：

那里没有 SQL 调用，所以我不害怕 SQL 注入。但是，显然，SQL 并不是唯一的注入方式。

这个网站有一个解释和一些避免代码注入的例子：http ://www.theserverpages.com/articles/webmasters/php/security/Code_Injection_Vulnerabilities_Explained.html

您将如何保护此代码免受代码注入？