Questions tagged «security»

警告： 自从提出此问题以来，.Net和.Net core的较新版本已删除和/或更改了“代码访问安全性”（CAS）。 原始问题： 我正在研究70-536 .NET Framework-应用程序开发基础考试，因为我对.net进行编程已有多年，所以这并不难！ 但是，我必须学习“代码访问安全性”（CAS），因为我从未需要使用或配置它，所以我想知道是否有人找到了它的真实用法？ 请提供有关您何时使用CAS的示例，它已成为解决方案的一部分，而不是问题的一部分。 （到目前为止，其他所有内容都与我多年的.NET编程中必须完成的任务有关） 相关问题： 为什么要使用CAS（代码访问安全性）？-除了Microsoft如何使用外，这里几乎没有现实的例子。 有人真的在使用代码访问安全性来保护其程序集和/或方法吗？ 什么是.NET中的代码访问安全性-很好地定义了CAS，但没有给出实际示例。 。NET代码访问安全性：有用还是过于复杂？ 到目前为止的结果。 当您托管第三方代码时，CAS很有用。例如，网络托管公司可以使用它来阻止其客户的Asp.net代码对服务器造成损害。（当.NET代替VBA时，Office也会使用它） 到目前为止，在Microsoft应用程序之外使用的唯一详细示例是： 我最近做的一个项目有一个类似的东西：允许用户上传一个库，并对其性能进行测试（“谁创造了最好的算法”）。不用说，我们在那里非常需要CAS。 CAS似乎对获得JITDC认证很有用，就像美国国防部一样，但是我不知道CAS是否具有真正的价值，还是只是在框上打勾。 （如果您需要绕过使用CAS的主机并且对它们具有管理权限，则可以将程序集放入GAC。） 展望未来，.net 4中的CAS不太复杂。 至少看起来，新的Microsoft考试不会包含CAS的“基础”考试。我不知道它是否会进入新的Winforms / WPF考试。

68 .net  security  code-access-security 

我有一个包含AdminController类的ASP.NET MVC项目，并给我类似以下内容的URls： http://example.com/admin/AddCustomer http://examle.com/Admin/ListCustomers 我想配置服务器/应用程序，以便包含 仅从192.168.0.0/24网络（即我们的LAN）访问/ Admin的 我想限制此控制器只能从某些IP地址访问。 在WebForms下，/ admin /是我可以在IIS中限制的物理文件夹...但是对于MVC，当然没有物理文件夹。使用web.config或属性可以实现此目的，还是需要拦截HTTP请求才能实现此目的？

67 c#  asp.net-mvc  security  web-config  authorization 

更新资料 这是在2013年12月16日通过https://www.facebook.com/whitehat/report/向Facebook报告的，而Facebook在12月17日回应说该错误早已得到修复。 我已经使用我的Facebook帐户重新测试了这一点（我仍然没有验证电子邮件地址），并且在使用Grap API Explorer工具时，无法使用Graph API或FQL查询获取该帐户的电子邮件地址。 结论：使用Graph API或FQL查询从Facebook获得的电子邮件地址是经过验证的电子邮件。如果帐户尚未验证，则为电子邮件，但无法获取。 原始帖子 我正在使用SSO制作一个网络应用程序，该应用程序为用户提供了使用Google或Facebook登录的功能。我希望同时使用这两种帐户的用户在我的系统中显示为同一用户，而不管他们使用哪个身份登录。为此，我正在考虑使用电子邮件地址作为标识符，以了解是否应该创建一个新帐户或用户是否已经存在。 为了不引入任何安全问题，我必须知道该电子邮件地址已经过验证，并且实际上属于该用户。对于Google，userinfo API可以告诉我电子邮件是否已验证，因此这里没有问题。但是我在Facebook Graph API中找不到类似的东西。 是否可以知道是否在Facebook上确认了电子邮件地址？ 我知道有一个verified字段，但这仅告诉您该帐户是否已验证，而不是电子邮件地址。 首先，您似乎只能将Graph API用于已确认电子邮件地址的帐户。如果未确认地址，我会收到一个错误消息，告诉我必须先确认电子邮件地址，然后才能登录任何第三方站点。 但是，似乎并非所有帐户都是如此。在某些情况下，即使您没有确认的电子邮件地址，也可以访问Facebook的所有部分。例如，当您使用@ myopera.com邮件地址进行注册时。 当您使用@ myopera.com电子邮件地址注册Facebook时，您会收到一条消息，提示您在提交注册表单后帐户已被临时锁定。要继续，您需要提供电话号码以验证您的帐户并“保持Facebook安全和免受垃圾邮件侵扰”（对于截图中的瑞典语，很抱歉，这是在我进入Facebook并将语言更改为英语之前）： 提供电话号码后，您就可以登录，而Facebook不会再让您担心必须验证电子邮件地址。 您可以在设置页面上看到唯一尚未验证您的电子邮件地址的地方： 在确认电子邮件地址可用并列出注册期间输入的电话号码之前，通常无法访问“移动设置”： 除此之外，还可以使用未经确认的电子邮件地址登录第三方站点： 当我与此用户连接到图api时，我可以获得未确认的电子邮件地址，并且该verified字段按预期返回true，因为我已经通过添加电话号码验证了该帐户。因此，显然我无法相信我从Facebook获得的电子邮件地址确实属于拥有Facebook帐户的用户。 还有其他方法可以知道电子邮件地址是否已通过验证，或者如果我想使用它来识别用户，是否必须自己进行验证？

67 facebook  security  facebook-graph-api  single-sign-on  facebook-authentication 

我无法在iOS上使用CRL。我创建了两个测试用例。我有由CA颁发的有效证书。我有由CA颁发的另一个有效证书，但是CA已将该证书添加到其CRL中。 然后，我设置了一个启用CRL检查并要求成功的吊销策略。 func crlValidationTest(trustedCert: SecCertificate, certToVerify: SecCertificate) -> Bool { let basicPolicy = SecPolicyCreateBasicX509() let crlPolicy = SecPolicyCreateRevocation(kSecRevocationOCSPMethod | kSecRevocationCRLMethod | kSecRevocationRequirePositiveResponse)! var trust: SecTrust? SecTrustCreateWithCertificates(NSArray(object: certToVerify), NSArray(objects: basicPolicy, crlPolicy), &trust) SecTrustSetAnchorCertificates(trust!, NSArray(object: trustedCert)) SecTrustSetNetworkFetchAllowed(trust!, true) var trustResult = SecTrustResultType.invalid guard SecTrustEvaluate(trust!, &trustResult) == errSecSuccess else { return false } …

9 ios  swift  security  certificate  certificate-revocation