Questions tagged «security»

我正在开发JSON / REST Web API，为此，我特别希望第三方网站能够通过AJAX调用我的服务。因此，我的服务正在发送著名的CORS标头： Access-Control-Allow-Origin: * 允许第三方站点通过AJAX调用我的服务。到目前为止一切都很好。 但是，我的Web api的一个子部分是非公开的，需要身份验证（带有OAuth和access_token cookie的相当标准的东西）。在我网站的此部分也启用CORS是否安全？ 一方面，如果第三方网站可以具有也与我的服务的这一部分进行交互的ajax客户端，那将很酷。但是，首先要有一个相同的原产地政策的原因是这样做可能有风险。您不希望以后访问的任何网站都能够访问您的私人内容。 我担心的情况是，用户在网站或他信任的网站上登录我的Web api，却忘记了注销。这会允许他随后访问的所有其他网站使用现有会话访问其私人内容吗？ 所以我的问题是： 在非公开内容上启用CORS是否安全？ 如果启用了CORS的服务器通过cookie设置了session_token，该cookie是否保存在CORS服务器或主网页服务器的域下？

77 ajax  web-services  security  cross-domain  cors 

我有一个小问题。我知道％x格式说明符可用于在格式字符串攻击中从堆栈中读取值。 我发现以下代码： %08x%08x%08x%08x 08是什么意思？它到底在做什么？谢谢 ：）

77 c  string  security  format 

阅读Jeff关于保护您的Cookie的博客文章：HttpOnly。我想在我的Web应用程序中实现HttpOnly cookie。 您如何告诉tomcat在会话中仅使用http cookie？

77 java  security  cookies  xss  httponly 

这个问题已经在这里有了答案： 如何在oracle中显示用户的所有特权？ （7个答案） 上个月关闭。 我正在使用Linux，Oracle10g。我创建了一个名为test的用户。并授予create session并为该用户选择任何词典权限。 我还将sysdba和sysoper角色授予了相同的用户。 现在，我想显示授予用户的所有特权和角色。我发现以下查询，但它仅显示创建会话和选择字典特权。 select privilege from dba_sys_privs where grantee='SAMPLE' order by 1; 请帮助解决问题。 谢谢

77 oracle  security  oracle10g  user-accounts 

如何在Mac上从Chrome v37导出安全证书？ 以前，我可以单击URL旁边的小锁图标，选择“连接”，然后选择证书，然后将出现“导出”按钮。 不再是了！

77 security  google-chrome  certificate  export  pinning 

在数据库中（最好是SQL Server 2005）存储密码的首选方法/数据类型是什么。我在几个应用程序中所做的工作方式是，首先使用.NET加密库，然后将它们作为二进制文件（16）存储在数据库中。这是首选方法，还是我应该使用其他数据类型或分配比16多的空间？

76 sql-server  database  security  encryption  passwords 

对于Web应用程序，当HTTPS不能用作安全措施时，是否仍可以使登录更安全？例如： 标记登录名，使重复攻击变得困难？ 以某种方式从HTML密码字段加密发送的密码？ 特别是，我使用CakePHP和AJAX POST调用来触发身份验证（包括提供的用户名和密码）。 问题更新： HTTPS不可用。期。如果您不喜欢这种情况，请将其视为理论问题。 没有明确的要求，您拥有现实生活中提供的任何HTTP，PHP和浏览器（cookie，JavaScript等）（没有魔术RSA二进制文件，PGP插件）。 问题是，什么是最好的，您可以解决这种情况，这比发送密码明文更好。知道每种这样的解决方案的缺点是一个加号。 任何比普通密码更好的改进都是值得欢迎的。我们的目标不是100％l33tG0Dhx0r-proff解决方案。破解起来比破解复杂要好，这要比泄露密码的琐碎嗅探要好。

76 php  ajax  security  encryption  cryptography 

这个问题是关于尝试了解在Android等移动平台上实施oauth所涉及的安全风险。这里的假设是我们有一个Android应用程序，该用户程序在代码中嵌入了使用者密钥/秘密。 假设一个消费者的秘密已经被泄露，而黑客已经掌握了这个秘密，那么这将带来什么后果呢？ 损害的消费者秘密假设 我是正确的，是说损害的消费者秘密本身不会影响用户的安全，也不会影响与用户进行交互的存储在启用OAuth的提供程序上的任何数据。数据本身不会受到破坏，黑客也无法检索。 黑客将需要持有有效的用户访问令牌，而这要难得多。 黑客如何处理受侵害的消费者秘密？ 我也正确指出以下内容： 黑客可以设置/发布模仿我的应用程序的应用程序。 黑客可以吸引将要经过OAuth流程的用户，通过黑客的OAuth舞蹈（使用受害的用户密钥/秘密）检索访问令牌。 用户可能会认为他正在处理我的应用程序，因为他会在授权过程中看到一个熟悉的名称（用户密钥）。 当消费者通过黑客发出请求时，黑客可以轻松地拦截访问令牌，并且与消费者秘密结合在一起现在可以代表我对请求进行签名，以访问我的资源。 最终用户的影响 。在假设 黑客使用我的消费者秘密设置了应用程序/站点 我的一位用户被骗去授权访问该应用程序/站点 可能发生以下情况： 最终用户可能会注意到发生了一些可疑的情况，并将恶意应用告知服务提供商（例如Google） 然后，服务提供商可以撤消使用者密钥/秘密 OAuth使用者（我的应用程序）的影响： 我的应用程序（包含使用者的机密）将需要更新，否则所有我的客户将无法再授权我的应用程序代表他们的请求（因为我的使用者机密将不再有效）。 委派所有OAuth流量 尽管可以通过中间Web服务器委派许多OAuth交互（进行OAuth舞蹈并将访问令牌发送给用户），但也必须代理所有服务交互，作为使用者密钥/ secret是签署每个请求所必需的。这是将使用者密钥/秘密保存在移动应用程序外部并存储在中间Web服务器上更安全的位置的唯一方法吗？ 替代 方案此代理有替代方案吗？是否可以将消费者秘密存储在中间Web服务器上，并且具有某种机制，使得Android应用程序（已在市场上发布并经过适当签名）可以对中间Web服务器发出安全请求，以获取消费者秘密并将其存储在应用内部？是否可以实施一种机制，使中间Web服务器“知道”这是一个要求获取用户机密的官方android应用程序，并且中间Web服务器将仅将用户机密分发给该特定android应用程序？

76 android  security  oauth 

如何在Elasticsearch中定义安全性访问？我有elasticsearch-head插件，但您的访问不需要任何安全性。

76 security  authentication  elasticsearch 

已关闭。这个问题需要更加集中。它当前不接受答案。 想改善这个问题吗？更新问题，使其仅通过编辑此帖子来关注一个问题。 1年前关闭。 改善这个问题 ISO C委员会（ISO / IEC JTC1 / SC21 / WG14）已发布TR 24731-1并正在研究TR 24731-2： TR 24731-1：对C库的扩展第一部分：边界检查接口 WG14正在研究更安全的C库函数的TR。该TR旨在修改现有程序，通常是通过添加带有缓冲区长度的额外参数来实现的。最新草案在文档N1225中。基本原理在文档N1173中。这将成为技术报告类型2。 TR 24731-2：C库的扩展-第二部分：动态分配功能 WG14正在研究更安全的C库函数的TR。该TR面向使用动态分配而不是缓冲区长度的额外参数的新程序。最新草案位于N1337文件中。这将成为技术报告类型2。 问题 您是否使用支持TR24731-1功能的库或编译器？ 如果是这样，哪个编译器或库以及在哪个平台上？ 修复代码以使用这些功能后，您是否发现任何错误？ 哪些功能提供最大的价值？ 有没有价值或负值的东西吗？ 您打算将来使用该库吗？ 您是否正在跟踪TR24731-2的工作？

76 c  security  coding-style  tr24731 

我在Google各处看到有关如何查看RSA密钥指纹而不是ECDSA指纹的信息。

76 linux  security  ssh  rsa  openssh 

当前，Google要求您创建一个API密钥，该API密钥特定于将要从中提供地图的域。Google如何执行？我想做同样的事情。 我公开了用于我的服务的API，但希望允许客户端通过javascript而不是仅从服务器嵌入对API的调用。我可以用一个随机令牌来保护它，但是任何在客户端计算机上查看代码的人都可以轻易地欺骗它。 我一直都认为这个概念是不可能的，但是Google会以某种方式很好地执行它。 编辑-听起来Google确实还没有做任何令人惊奇的事情。他们的API很可能仅用于跟踪，而不能真正保证拥有钥匙的人使用他们的API。

76 web-services  api  security  google-maps  api-key 

究竟是什么在后台发生，使得SQLParameter阻止.NET参数化查询中的SQL Inection攻击？它只是剥离任何可疑角色还是还有其他功能？ 有没有人检查过当您传递恶意输入时SQL Server的真正含义？ 相关：您可以在SQL FROM语句中使用SQLParameter吗？

76 .net  sql-server  security 

该jar（bcprov-jdk16-145.jar）已添加到项目中，Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider())已添加到类中，并且BouncyCastleProvider.PROVIDER_NAME确实返回“ BC”，但AesFileIo.writeFile（）仍然抛出java.security.NoSuchProviderException No such provider: BC。有任何想法吗？ import java.io.FileOutputStream; import java.io.InputStreamReader; import java.io.ObjectOutputStream; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import org.bouncycastle.jce.provider.BouncyCastleProvider; public class AesFileIo { private static final String AES_ALGORITHM = "AES/CTR/NoPadding"; private static final String PROVIDER = BouncyCastleProvider.PROVIDER_NAME; private static final byte[] AES_KEY_128 = { // Hard coded for …

76 java  security  cryptography  jce 

因此，我在HTML5中遇到了这个新标记<keygen>。我不太清楚它的用途，如何应用以及它如何影响浏览器的行为。 我知道该标签用于表单加密，但是<keygen>您的域与拥有SSL证书之间有什么区别？另外，challenge属性是什么？ 我不打算使用它，因为它远未在可接受的浏览器范围内实现，但我对该标记的确切用途感到好奇。我所能找到的只是模糊的cookie切割器文档，没有真正的用法示例。 编辑： 我在这里找到了非常有用的文件。这贯穿了keygen标签的客户端和服务器端实现。 我仍然对此域SSL证书有什么好处感到好奇。

75 security  html  ssl