问题标签 [security]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
2 回答
590 浏览

windows - 在哪里可以找到完整的 DCOM 文档?

我在一个应用程序上工作,它使用 DCOM 在本质上是几个对等点之间进行通信;在正常使用过程中,不同机器上的实例为彼此提供各种对象。从历史上看,为此我们使用了一些魔法咒语,其中主要是在每台机器上,用户必须登录到同名的帐户(请注意,这些是本地帐户;没有可用的域)。显然,这是我们可以改进的用户体验的一个方面。

我想更好地了解 DCOM 身份验证的工作原理,但是我很难从 MSDN 文档中为CoInitializeSecurity()CoSetProxyBlanket()等组装整个故事。对于 DCOM 操作是如何被接受或拒绝的,是否有任何详尽的解释?书籍、期刊、网络,任何格式都可以。

0 投票
1 回答
552 浏览

security - 有哪些好的 SharePoint 安全资源?

我有一个 SharePoint 应用程序,我很遗憾地说,在我的 SharePoint 引起的兴奋中,我忽略了很多我应该更加关注的安全问题。虽然我们以前没有,但现在我们实际上需要细粒度的安全性,所以我需要接受教育。我最感兴趣的是如何最好地创建组并将用户添加到这些组。我们有一个主站点集合和该集合下的几十个子站点。我怎样才能最好地创建一个细粒度的安全世界,在其中我可以独立地为每个子站点分配权限?

0 投票
9 回答
8239 浏览

security - 对称密钥存储

我的公司将为我们的客户存储敏感数据,并将使用托管的 .NET 加密算法类之一对数据进行加密。大部分工作已经完成,但我们还没有弄清楚如何/在哪里存储密钥。我做了一些简单的搜索和阅读,看起来硬件解决方案可能是最安全的。有人对密钥存储解决方案或方法有任何建议吗?


谢谢大家的回复。

spoulson,问题实际上是您提到的两个“范围”。我想我应该更清楚。

数据本身以及对其进行加密和解密的逻辑都被抽象到 ASP.NET 配置文件提供程序中。此配置文件提供程序允许加密的配置文件属性以及纯文本属性。加密属性值的存储方式与纯文本值完全相同 - 明显的例外是它们已被加密。

也就是说,出于以下三个原因之一,需要能够召唤钥匙:

  1. 在授权服务器上运行的授权 Web 应用程序需要对数据进行加密。
  2. 与#1 相同,但用于解密数据。
  3. 我们业务团队的授权成员需要查看加密数据。

我想象的方式是没有人真正知道密钥 - 会有一个软件控制数据的实际加密和解密。也就是说,密钥仍然需要来自某个地方

完全披露——如果你还不能说,我以前从来没有做过这样的事情,所以如果我完全不知道这应该如何工作,请告诉我。

0 投票
5 回答
1983 浏览

c# - 加密 WCF 连接的其他方法

我目前正在开发一个需要在 WCF 主机之间传递加密数据的项目。据我了解,只有两种方法可以确保通过 WCF 传递的数据是安全的。

  1. 使用证书
  2. 使用域(或在网络上的每台机器上使用相同的用户名和密码)

使用证书可能很昂贵且管理起来很复杂,因为我们不能保证在每次部署时都有一台服务器类机器,所以域也是不可能的。如果需要更改密码,让每台机器使用相同的用户名和密码也是有问题的。

目前我们使用 OpenSSH 在主机之间建立隧道连接。框架中是否还有另一个我不知道的选项?

0 投票
21 回答
697 浏览

security - 使 OpenID 成为主流需要什么?

OpenID 原则上是一个好主意,但是 UI 和关于它为什么好的解释目前还不是为一般用途量身定制的——您认为 OpenID 需要怎样才能为公众服务?这可以通过技术解决,还是问题本质上如此困难,以至于我们陷入了难以解释/多步骤注册程序、众多帐户或安全性差的困境?

0 投票
9 回答
25711 浏览

security - 支付处理器 - 如果我想在我的网站上接受信用卡,我需要知道什么?

这个问题讨论了不同的支付处理器以及它们的成本,但我正在寻找如果我想接受信用卡支付我需要做什么的答案?

假设我需要为客户存储信用卡号,因此依赖信用卡处理器完成繁重工作的明显解决方案不可用。

PCI 数据安全,这显然是存储信用卡信息的标准,有很多通用要求,但是如何实现它们呢?

那么像Visa这样拥有自己最佳实践的供应商呢?

我需要有钥匙扣访问机器吗?如何在物理上保护它免受建筑物中的黑客攻击?或者,如果有人拿到了带有 sql server 数据文件的备份文件怎么办?

备份呢?周围是否有该数据的其他物理副本?

提示:如果您有一个商家帐户,您应该协商他们向您收取“交换加价”而不是分层定价。 通过分层定价,他们将根据使用的 Visa/MC 类型向您收取不同的费率——即。他们向您收取更多附加有丰厚奖励的卡。交换加计费意味着您只需向处理器支付 Visa/MC 向他们收取的费用,外加固定费用。(Amex 和 Discover 直接向商家收取自己的费率,因此这不适用于这些卡。您会发现 Amex 费率在 3% 范围内,而 Discover 可能低至 1%。Visa/MC 在2% 的范围)。 该服务应该为您进行谈判(我没有使用它,这不是广告,我不隶属于该网站,

这篇博客文章提供了处理信用卡的完整纲要(特别是针对英国)。


也许我用错了这个问题,但我正在寻找这样的提示:

  1. 使用SecurIDeToken将额外的密码层添加到物理框。
  2. 确保盒子在带有物理锁或钥匙密码组合的房间内。
0 投票
4 回答
1363 浏览

.net - 如何检查给定用户是否是内置管理员组的成员?

我需要以编程方式(在 .NET 中)检查给定用户(域帐户)是否是当前计算机(执行应用程序的计算机)上内置管理员组的成员。

是否可以?

0 投票
10 回答
57475 浏览

security - HTML Encoding 会阻止各种 XSS 攻击吗?

我不关心其他类型的攻击。只想知道 HTML Encode 是否可以防止各种 XSS 攻击。

即使使用 HTML 编码,是否有某种方法可以进行 XSS 攻击?

0 投票
2 回答
13448 浏览

asp.net - 通过 HTTPS 在 ASP.NET 中保护会话 cookie

读完这个/后有点好奇。关于劫持 HTTPS cookie 的文章。我稍微追踪了一下,我偶然发现的一个很好的资源列出了一些在这里保护 cookie 的方法。我必须使用 adsutil,还是在 web.config 的 httpCookies 部分中设置 requireSSL 会覆盖所有其他会话 cookie(在此处介绍)?还有什么我应该考虑进一步加强会议的吗?

0 投票
4 回答
35833 浏览

.net - 在 web.config 中加密 appSettings

我正在开发一个网络应用程序,它需要将用户名和密码存储在 web.Config 中,它还引用了一些将由网络应用程序本身而不是客户端请求的 URL。

我知道 .Net 框架不允许提供 web.config 文件,但我仍然认为将此类信息以纯文本形式保留是不好的做法。

到目前为止,我所阅读的所有内容都要求我使用命令行开关或将值存储在服务器的注册表中。由于主机在线并且我只有 FTP 和控制面板 (helm) 访问权限,因此我无法访问这些。

任何人都可以推荐我可以使用的任何好的、免费的加密 DLL 或方法吗?我宁愿不开发自己的!

感谢到目前为止的反馈,但我无法发出命令,也无法编辑注册表。它必须是一个加密工具/助手,但只是想知道哪个!