Questions tagged «security»

防止系统未经授权的访问,修改,破坏或破坏。

10
存储信用卡详细信息
我需要存储信用卡号,以便通过我们的第三方商家进行定期结算。 在存储详细信息方面,我需要遵循哪些标准?我们已经接受信用卡已有多年了,但是一旦使用完毕,我们通常会丢弃其详细信息。我们的客户已要求我们存储其详细信息,因此他们不必每月手动支付其订阅费用。 转移到PayPal以利用其订阅不是一种选择。我们必须存储它们,我需要确保存储安全! 我们将MSSQL 2005用于我们的数据,并且所有内容都已使用SSL。

5
哪些事件导致大量迁移到HTTPS?
几年来,我看到Google,Facebook等开始通过HTTPS提供(甚至重定向到)内容。 即使在1999年,使用不安全的HTTP提示输入密码的网站的服务也是错误的,但即使在2010年,它仍然可以接受。 但是如今,甚至公共页面(例如来自Bing / Google的查询)也通过HTTPS提供服务。 哪些事件导致大量迁移到HTTPS?Wikileaks丑闻,美国/欧盟执法机构,降低了SSL / TSL握手的成本,同时服务器时间成本普遍下降,从而提高了管理中的IT文化水平? 不久前,甚至像https://letsencrypt.org/这样的公共努力也开始了... @briantist因为我还维护爱好站点,并对廉价/轻松的SSL / TLS解决方案感兴趣。对于VPS(起价为每月5美元),我最近评估了我们certbot在webroot操作模式下使用(使用其他可用的自动程序)进行加密的情况。这为我提供了有效期为3个月的SAN证书(并且该证书正在cron工作中-续约在到期日期前一个月执行): certbot certonly -n --expand --webroot \ -w /srv/www/base/ -d example.com \ -w /srv/www/blog/ -d blog.example.com
40 https  security 


2
重新启动Web服务器时是否可以跳过PEM密码短语问题?
购买了多域SSL证书后,我已开始使用Nginx Web服务器对其进行测试(遵循其SSL Wiki页面中的文档)。 一切正常,一切正常,URL栏中显示一个绿色的挂锁符号,但是...每次重新启动Nginx时,都会被问到以下问题(每台服务器一次,例如5次): 开始nginx:输入PEM密码: 这是正常现象,还有其他许多人在做什么?还是可以配置它以便记住密码? 尤其是在重新启动计算机时,这是一个问题,因为在输入PEM密码之前,Web服务器将无法启动(这意味着网站会停机,直到有人进行交互)。
28 security  apache  https  nginx 

5
立即强制在站点上使用SSL?
由于爱德华·斯诺登(Edward Snowden)对正在发生的NSA监视的启示,我开始看到大多数网站现在开始将SSL作为安全地浏览该网站的标准做法。 我们是否应该将所有网站都使用SSL进行安全性,查看,付款和任何地方作为Web标准? 我拥有一个简单的个人博客,有人说我需要使用它是因为我表达了自己对NSA主题的意见,担忧和想法,而且他们说如果没有HTTPS,他们的安全感就会开始降低...
22 security  https 


2
如何找到具有良好DNSSEC支持的域名注册商和DNS托管?
简化问题 我想购买一个域名并建立一个使用DNSSEC完全安全的网站。 我想确保浏览器只能验证一个正确的SSL证书,而所有流氓SSL证书或不合格名称的证书都将被拒绝。 在哪里可以购买域名?我应该买证书的鲸鱼吗?(或者我应该使用带有DNSSEC的自签名证书而不是 CA?)我可以在哪里托管DNS?哪些提供商使整个过程最便捷,最实惠,最完整,最专业,最可靠,最安全? 背景 多年来,我一直在听说DNS的不安全性。我看过Dan Kaminsky和其他人的所有演讲,从DNS漏洞 到DNS安全小组的未来。我知道在没有安全性的情况下使用DNS真是一场灾难。我关注DNSSEC标准的制定。我庆祝了签字仪式。 同时,我读到有关颁发给不合格名称的成千上万个SSL证书和针对CIA,MI6,Mossad发行的流氓SSL证书以及许多其他故事,这些故事显示了DNSSEC可以解决的当前使用SSL保护的网站的实现问题(请参阅:A互联网的主要里程碑:DNSSEC和SSL以及用于修复SSL混乱的SSLSEC和SSL证书验证和DNSSEC)。一切都在正确的轨道上,终于有了一个安全的DNS系统。 现在超过2年后,我只想做每个人都应该做的事情:将DNSSEC用于新域。因此,我需要一个域名注册商和一个支持DNSSEC的DNS托管服务。令人惊讶的是,要找出谁支持DNSSEC以及支持的程度还不是那么容易。实际上,两年前每个人都将要支持DNSSEC 时,在DNSSEC上查找信息要容易得多,但是现在已经过去了几年,我几乎看不到任何进展。我只是希望我只是在错误的地方看,这里有人会请所有的疑问解释。 我希望其他想要拥有安全网站的人也会发现此问题有用。 需要什么 具有.com域的完整DNSSEC支持的注册商和DNS服务器 将DNSSEC与SSL证书集成 不需要什么 IPv6支持 虚拟主机 更多的东西 我到目前为止发现的 转到爸爸提供高级DNS服务每年,让您“安全达5个域与DNSSEC”另外$ 36 easyDNS在所有服务级别的Beta中都提供了DNSSEC(您需要在配置中启用“ beta”标志),但是它似乎尚未准备就绪,从缺乏更新的角度来看,它并不是最高优先级的功能(easyDNS博客的最新更新是2011年3月)。 Name.com-根据The Register(美国域名注册商执行IPv6,DNSSEC)的消息,该域名自2010年以来一直支持DNSSEC,但现在(2012年10月),我在其网站上找不到与DNSSEC相关的任何内容。 经常推荐的Dynadot 不支持DNSSEC 还经常建议使用Namecheap不支持DNSSEC。2011年的支持答复表明已添加该支持,但在2012年仍未向客户提供ETA。 DynDNS应该支持DNSSEC,我找到了一个解释DNSSEC支持的链接,但它提供了404 Not Found页面,并提供了一个搜索框-在搜索DNSSEC时,我得到“未找到查询结果”。 推荐在线使用GKG以获得DNSSEC支持,但是很难找到有关DNSSEC支持级别的任何信息- 在FAQ中对什么是DNSSEC以及如何对“委托签名人”记录进行简要说明,但没有关于实际支持水平的信息被发现。 询问Slashdot:哪些注册服务商支持DNSSEC?从2011年7月开始-答复列表将Daddy,DynDNS,GKG,Name.com作为支持DNSSEC的注册商,但:请参见上文。 注册商的支持最终用户DNSSEC管理,包括DS记录条目由ICANN(感谢罗布的提醒我一下吧) -问题与此列表是支持水平是未知的,事实上,你是否有支付DNSSEC附加没有提及费用,更不用说购买,配置和托管完全由DNSSEC和SSL保护的域的便利了。 已通过公共利益注册机构发布的DNSSEC OT&E通过.ORG注册商的列表 -很多注册商,但它们均获得了.orgTLD支持,并且如他们所说:“这并不表示注册商是否已为注册人启用DNSSEC服务。请直接与注册商联系以获取DNSSEC服务。” 如何使用DNSSEC保护和签名您的域,互联网协会(感谢Nick指出)目前在“支持DNSSEC进行注册和托管的注册机构” 列表中仅列出了两个支持.comTLD的机构。Go Daddy(每年36美元的额外费用)和Dyn(每年330美元的额外费用)。有关详细信息,请参见如何使用Dyn,Inc . 使用DNSSEC签名域和如何使用GoDaddy.com使用DNSSEC签名域。 相关问题 如何找到符合我要求的虚拟主机? 将DNSSEC添加到我的站点需要什么? DNS托管由域名提供商或托管提供商更好地管理? …

7
除了HTTPS之外,还有其他选项可用于保护网站安全,从而避免Chrome中出现文本输入警告吗?
一个星期前,Google给我发送了一封电子邮件,要求我使用HTTPS。如果我不将HTTP传输到HTTPS,则它将向所有试图在我的站点中输入文本的站点访问者显示我的连接不安全。 如果不使用SSL,还有其他方法可以确保我的连接安全吗?由于在Web URL中使用SSL与昂贵的过程有关,因此我正在寻找其他任何选项。


7
像McAfee Secure这样的“信任标记”是否值得?
有许多服务可以扫描网站,vulnerabilities并trustmark在网站通过测试后显示图像。据称,这增加了潜在客户对网站的信任程度,因此使他们更有可能完成购买。 迈克菲(McAfee)声称已进行的研究显示销售量显着增加。我应该相信他们吗?如果有的话,我真的应该期待什么样的增长?这些类型的服务是否物有所值?


5
由于图像,HTTPS连接“不安全”
我目前正在网站上工作,并且已经成功安装了SSL证书。 GeoTrust SSL / TLS检查器确认证书链(包括CA)已正确安装。在Chrome上一切正常,但我的挂锁不是绿色的,而在Firefox上,它实际上指出该网站是不安全的,因为该网站上存在未加密的元素。 我使用了在线服务来检查原因,结果发现我的图像确实不被视为安全URL。如何处理这种情况,又如何将图片安全地嵌入到我的网站中?
14 https  images  security 

1
有人可以劫持我的Google Analytics(分析)网站吗?
我在Google Analytics(分析)中跟踪了许多网站。最近,我无意中将网站A的跟踪代码添加到网站B,几周后我注意到了。到那时,相对于另一个网站,一个网站有两个星期没有访客,而另一个网站则拥有大量流量。 它完全弄乱了我对该站点的分析数据,并添加了其他站点的数据。 这让我想到,由于很容易查看网站的源代码及其Google Analytics(分析)代码,有人可以将这些代码添加到自己的网站中,并完全弄乱我网站的分析数据吗? 许多非常知名的网站都在使用Google Analytics(分析),我想知道为什么没有想到或缓解这种情况。对于Google来说,检查源域是否与要跟踪的站点相匹配并不难。 我该如何缓解呢? 更新:很遗憾,这已成为垃圾邮件网站(http://www.analyticsedge.com/2014/12/removing-referral-spam-google-analytics/)的一种新方法,以下答案比以往任何时候都更有意义。仍然不知道为什么没有默认过滤器来过滤来自机器人的假冒分析数据。

4
防止可能的垃圾邮件发送者链接到我的网站
我们拥有一个网站,该网站通过google搜索结果确定是否已被另一个完全随机的来源链接至不正确的网站或出于垃圾邮件的目的。 他们最近注册了一个域,并将该域指向我们的网站(尽管URL保持原样,但看起来像是303重定向)。结果,他们的域名现在作为我们的网站显示在google搜索结果中。 我们如何防止这种情况发生?
13 security  seo  spam 

3
Cloudflare的“灵活SSL”是否有任何不利之处?
Cloudflare使您可以通过SSL为站点提供服务,而无需购买和安装安全证书,该产品被称为“ Flexible SSL”。(它们充当代理并通过其服务器上的SSL通过SSL服务您的网站,而从服务器到其服务器的连接仍未加密。) 他们目前免费提供弹性SSL 。 随着Google宣布HTTPS现在已成为排名信号,我正在考虑将多个站点切换到Cloudflare,购买一个Pro帐户,并启用其“ Flexible SSL”选项,因为这似乎是通过HTTPS无需使用HTTPS即可服务多个站点的最简单方法必须购买和管理多个证书。 Cloudflare的弹性SSL有不利之处吗? 我很乐意将Cloudflare用作代理–我对两个因素更感兴趣: 最终用户的体验。(例如,访客会看到安全警告吗?) 提供的安全级别。(对于一个简单的博客来说足够了,但对于一个在线商店来说却足够了,因为他们会将信用卡数据未经加密地从他们的服务器传递给您的服务器?)

By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.