Questions tagged «privacy»

当使用基于资源的站点（例如MVC应用程序或REST服务）时，当客户端尝试GET访问他们无权访问的资源时，我们有两个主要选择： 403，表示客户未经授权 ; 要么 404，表示资源不存在（或无法找到）。 共同的智慧和惯例似乎是对事实做出回应-即403。但是我想知道这是否真的是正确的做法。 安全登录系统永远不会告诉您登录失败的原因。也就是说，就客户端而言，不存在的用户名和错误的密码之间没有可检测到的差异。目的是使用户ID（或更糟糕的是电子邮件地址）不易被发现。 从隐私的角度来看，返回404似乎更安全。我想起了一起事件，据说有人通过查看真人秀（幸存者）中的哪些资源不存在而找到了他们。网站与哪些网站做了。我担心403可能会泄露敏感信息，例如序列号或帐号。 是否有令人信服的理由不返回404？404政策会在其他地方产生负面影响吗？如果没有，那为什么不更普遍呢？

33 web-development  web-applications  security  web-services  privacy 

鉴于最近有关政府对在线服务提供商存储的数据进行广泛监视的启示，零知识服务现在非常流行。 零知识服务是其中所有数据都以未存储在服务器上的密钥加密存储的服务。加密和解密完全在客户端进行，并且服务器永远不会看到纯文本数据或密钥。结果，服务提供商无法解密，也无法将数据提供给第三方。 举个例子：SpiderOak可以被视为Dropbox的零知识版本。 作为程序员，我们高度依赖于我们最敏感的数据（我们的代码），并将它们信任特定种类的在线服务提供商：代码托管提供商（如Bitbucket，Assembla等）。我当然在这里谈论私有存储库-零知识的概念对于公共存储库没有意义。 我的问题是： 创建零知识代码托管服务是否存在任何技术障碍？例如，关于流行的版本控制系统（例如SVN，Mercurial或Git）使用的网络协议是否存在某些问题，这将使（或不可能）实现一种方案，其中使用服务器不知道的密钥？ 当今是否存在零知识代码托管服务？

28 version-control  encryption  project-hosting  privacy 

2011年5月26日，一项新的欧盟指令生效，现在应要求访问网站的用户获得许可，以允许该网站存储包含有关他们及其访问网站信息的cookie。 您如何解决这个问题？除了有人首次访问我的网站时出现的选择提示之外，还有其他方法可以解决此问题吗？

17 legal  privacy  cookies 

在较新的网站上似乎不太常见，但是我需要使用多个帐户（例如，用于支付帐单等）的网站阻止我创建带有空格的密码。这只会使事情更加难以记住，而且我知道密码对数据库的空间或编程没有限制，否则会进行加密或（禁止使用天堂符号）。那么，为什么在注册站点时通常会歧视空格键呢？

16 security  login  privacy 

如何在数据库中保存重要的（隐私方面）用户数据，例如SSN，信用卡号和地址？ 方案： 仅保存需要可用的数据。例如，保存了SSN，因为该应用使用SSN来标识特定记录。或信用卡详细信息将被保存，以使一键式交易成为可能。某些此类数据可以加密和保存，但某些数据需要以纯文本格式提供（例如，用于全文搜索）。该应用程序使用第三方托管。 问题： 在HostGator或App Engine等第三方主机上，以纯文本格式（或其他格式）的此类数据的安全性如何？ 您是否将此类数据保存在第三方主机上（推荐这种做法）？ 您将其存储为纯文本格式还是对此类数据进行加密？ 只有那些有资源拥有自己的服务器的公司才能继续构建此类应用程序吗？

12 encryption  privacy 

我最近读过《阅读一年中遇到的隐私权政策》将花费76个工作日，而这真是太糟糕了，感到非常震惊。所以我想如何可以改善它。 知识共享许可很不错，因为它们是模块化的： CC：表明它是一个创用CC许可 [-BY]：归因 [-NC]：非商业 [-ND]：无导数 [-SA]：分享相同 我认为最终可以制定出这样的模块化隐私策略。最终，采用表格政策会更好： 收到的信息 您提供给我们的信息：姓名，内容，交易信息，位置，朋友 使用服务时收集的信息：网站活动信息，访问设备和浏览器信息，Cookie信息 第三方：... 信息使用 管理服务 出售给第三方 联系你 ... 是否有尝试创建这种模块化/结构化（最终是机器可读的）隐私策略？

11 legal  privacy