Questions tagged «authentication»

对于正在为我正在建立的这个站点（我创建的第一个非平凡的站点）学习“正确地做安全性”，我一直很偏执，而且我注意到有些困扰我的事情：SSL。 在这里，StackOverflow以及其他地方，我已经读了很多安全线程，详细讨论了n次使用后重新生成会话ID的问题，以及如何对密码进行加盐处理，散列处理以及从不以纯文本形式存储密码。我已经阅读了很多有关如何通过跟踪IP地址，用户代理以及使用跟踪cookie来检测会话何时被劫持的信息。 我不明白，当网站通过普通的HTTP POST登录您并以纯文本形式通过网络发送密码时，这有什么重要意义？ 我了解我需要使用列出的所有其他方法来降低整体风险，也许有些站点无论如何都不需要那么多的安全性，但是我想我要问的是： 什么时候可以不用打扰SSL？ 我可以看到Gmail，Gmail，LinkedIn，LinkedIn等网站都有使用SSL的理由，但是Facebook和reddit这样的网站不必理会（地狱，PlentyOfFish甚至将密码存储为纯文本，甚至通过电子邮件发送）提醒您！！！）？ 我应该如何确保已设置SSL（特别是因为我要从共享主机启动，并且启动起来非常便宜），该如何处理？如果有帮助，我的网站将不会保存任何特别的个人信息。如果该站点成功，那么我会认真考虑支付额外的费用以增加安全性。

11 https  security  authentication 

我注意到供应商的Web应用程序在“创建密码”表单上触发了Safari的“建议密码”功能，但是在提交表单时并没有真正保存此密码。也就是说，提交表单并再次注销后，Safari的iCloud钥匙串将不会在自动填充建议中包括新创建的凭据。（由于提供了来自相同域但不同子域的其他凭据，因此Safari显然会将字段识别为登录名。） 同样，手动创建密码（或使用密码登录）不会触发Safari记住密码。 在我看来，表单提交中涉及的JavaScript正在以某种方式混淆操作和/或数据。Safari提供保存密码时会寻找什么动作？

8 javascript  authentication  forms  browser-support  safari 

在社交网站上，通常允许重复使用已删除帐户中的旧用户名是一个好主意，还是最好永远禁止重复使用它们？ 大个子怎么做（Facebook，Google等）？ 通常，就数据库而言，这两种方法都没什么大不了的，因为大多数表是由某种用户ID而不是用户名关联的。 我当然可以理解为什么您不想允许重复使用BANNED用户名，但是从原始所有者简单删除的帐户中获得的用户名呢？您释放这些用户名还是禁止其重复使用？ 允许重复使用的优点： 释放可用的用户名空间。 当前帐户所有者可以通过简单地删除帐户并快速使用完全相同的用户名重新注册来“重置”帐户。 允许重用的缺点： 会造成混乱。想象一个老用户在一个论坛上有成千上万的帖子。他们删除了他们的帐户，他们的帖子保留在旧的用户名下，然后有人来使用相同的用户名注册。新用户似乎创建了所有这些旧帖子。当然，您可以在删除旧用户的帐户之前更改其用户名，以避免这种混淆，但是无论引用何处，您仍将拥有其原始用户名，这仍然会造成混乱。 可以被“游戏”。想象一下，一个非常受欢迎的用户删除了其帐户，然后有人迅速重新注册了该用户名，以便从与该用户名相关联的“信任”中受益，并可能恶意地将其用于不怀疑的用户。 我是否还在考虑其他优点/缺点？我真的很想知道大个子男孩是怎么做的以及为什么。

8 users  authentication 

我在Win7中安装了phpmyadmin，如果http://localhost/phpmyadmin/index.php在浏览器中键入内容，则默认情况下它将以root用户身份登录phpmyadmin。 我创建了一个新用户，但是仍然没有登录窗口……默认情况下，每次它以root用户身份登录时。.如何更改用户？ 非常感谢！

8 authentication  localhost  phpmyadmin  windows-7 

我正在尝试决定是使用OpenID还是使用完善的自定义登录系统。我认为OpenID的吸引力显而易见，因为用户不必创建另一个帐户即可登录到您的网站。但是，您能帮我回答以下问题吗：如果我使用OpenID而不是我构建的自定义登录系统，将会丢失什么？

8 openid  authentication  web-development 

因此，最近我遇到了更多的两步登录过程，要求我在一页上输入用户名，然后在第二页上输入密码。我真的不喜欢这种模式，因为它需要额外的页面加载才能登录。 但是有几个人告诉我它更安全。如何更安全？还有其他原因会给用户带来不便吗？

8 security  authentication 

我有一个系统（基于Web的应用程序），可通过SOAP从第3方系统中提取文件附件。这些反过来又在我们的系统上创建为目录中的文件。 当系统用户（通过ldap进行身份验证）向我的应用程序发出请求以检索以下附件之一时： 1. I request it via soap 2. Process the response to build the file on our system 3. Redirect user to the location so they can download the file. 首先，这是一个好方法吗？ 有没有更好的方法来处理附件下载后不会驻留在服务器上太多的文件（cron作业会经常清理目录）？ 其次，有没有一种方法可以通过apache提供文件而不将其存储在Web根目录中？ 第三，如何对这些文件强制执行权限，以使不仅任何用户都不能下载任何附件？ 我们的设置： linux apache php - soap libraries for communication seperate LDAP for authentication 3rd party …

8 apache  authentication  file-manager 

各自的优缺点是什么？支持这两者有意义吗？用户/实施哪个更容易？

8 facebook  openid  authentication