security相关内容

为什么是一个坏主意，与移动应用程序和后端API之间每发送请求的用户名和密码？

我一直在看从哪个应该是最近工作相关的任务安全的iPhone应用程序的流量，而且我注意到，该应用程序不使用任何形式的会话ID /令牌谈话的时候后端。每个请求中包含的用户名，密码和设备ID，所有流量都通过HTTPS发送。这是一个宁静的API，所以没有状态的服务器端。 我真的觉得这是一个坏主意，但我想出了太多美好的论据为什么不能。 如果您是在中间人攻击的受害者，攻击者就可以在大多数情况下，找到您的密 ..

发布时间：2016-05-22 19:19:58 api security session passwords token 其他开发

这是Rails的JSON API认证（使用设计）安全吗？

我的Rails应用程序使用设计进行验证。它有一个妹妹iOS应用，用户可以使用他们使用的Web应用程序相同的凭据登录到iOS应用。所以，我需要某种形式的API进行身份验证。 在这里类似的问题很多指向的本教程，但它似乎是外的日期，因为 token_authenticatable 模块已被从设计删除，某些行抛出错误。 （我使用的设计3.2.2），我试图根据该教程推出自己的（和这个 ），但我在这没有10 ..

发布时间：2016-05-22 19:13:59 ruby-on-rails json api security devise 其他开发

AccessController.doPrivileged

我试图找出一些旧的code在做什么。究竟是这条线做的，为什么我需要这种方式？ 字符串lineSeparator =（字符串）java.security.AccessController.doPrivileged（ 新sun.security.action.GetPropertyAction（“line.separator”））; 我发现它在记录器实现上运行的Weblogic 8 ..

发布时间：2016-05-22 19:13:08 java security api java-ee Java开发

不要CSRF攻击适用于API的？

在特别，我正在写一个Django的REST的API来支持iOS应用程序，和我一直运行到，每当我写的方法来处理POST请求Django的CSRF保护。 我的理解是，通过iOS的管理Cookie不会被应用程序共享，这意味着我的会话cookie是安全的，并没有其他的应用程序可以在他们乘坐。这是真的？如果是这样，我能标记所有我的API函数作为CSRF豁免？ 解决方案 这不是CSRF的目的。 CS ..

发布时间：2016-05-22 19:12:04 python django api security Python

保护的API：SSL和放大器; HTTP基本验证签名VS

在设计API为我们的Web应用程序，我们将使用自己的子域名作为“用户名”和生成API密钥/共享密钥。首先，它是确定使用子域名作为用户名？我没有看到产生的另一个重要的好处。 不同的API似乎做两件事情之一： 使用HTTP基本身份验证与SSL 在每个请求的用户名设置为子域名和密码的API密钥。由于我们使用的是SSL，这应该是从欺骗安全的。 值得注意的API： 谷歌Checkout的， ..

发布时间：2016-05-22 19:11:12 security api authentication rest digital-signature 其他开发

如何谷歌地图保护他们的API密钥？如何使类似的东西？

目前谷歌要求你创建一个API密钥是具体到那里的地图将提供服务的域。谷歌是如何执行的？我想要做同样的事情。 我揭露了一个API为我服务，但要允许客户端只需从服务器通过JavaScript嵌入到API调用，而不是。我可能只是一个随机令牌，但当然这可以通过任何人都希望在客户机上的code很容易被欺骗。将其固定 我始终明白这个概念是不可能的，但不知何故在谷歌执行它做得很好。 编辑 - 这听起来像谷歌 ..

发布时间：2016-05-22 18:59:40 web-services api security google-maps api-key 其他开发

智威汤逊（JSON网络令牌）到期自动延长

我想实现基于智威汤逊的身份验证我们新的REST API。但由于到期的令牌设置，是可以自动延长呢？我不希望用户需要的，如果他们积极利用这一时期申请每隔X分钟后登录。这将是一个巨大的失败UX。 但延长期满创建一个新的令牌（并直到它过期旧的仍然有效）。并且每个请求后，产生新的凭证听起来很傻给我。听起来像一个安全问题，当一个以上的标记是在同一时间有效。当然，我可以使用无效黑名单老用一个，但我需要保存标记 ..

发布时间：2016-05-22 18:57:29 api security rest authentication jwt 其他开发

什么是preferred方式，以避免SQL注入的火花SQL（上蜂巢）

假设一个SchemaRDD RDD ，注册表格客户。您想要根据用户输入来过滤掉的记录。你可能有如何做到这一点的一个想法是： rdd.sqlContext.sql（S“SELECT * FROM客户WHERE name ='$ userInput'”） 然而，由于PHP的旧时代，我们知道，这可能会导致讨厌的东西。 有preparedStatement的等效？我能找到的，看起来远程相关的唯一事 ..

发布时间：2016-05-22 16:05:41 scala security hive apache-spark apache-spark-sql 其他开发

如何禁止从一个iframe网站访问？

我注意到一些网站否认从iFrame中他们的注册和登录页面出于安全原因的访问。这是在我看来，一个好主意。 我想知道什么设置他们为了做到这一点需要，因为我想这样做在我的网站。有问题的网站是建立在Java中，并运行在Apache Tomcat。 如果有人知道如何做到这一点这将是巨大的，如果你可以分享。 解决方案 好，你应该使用 X框选项 看了这篇文章，希望它可以帮助： ..

发布时间：2016-05-22 11:22:21 java security iframe apache2 tomcat Java开发

是否有可能把二进制图像数据转换成HTML标记，然后在任何浏览器中得到照常显示图像？

这是一个重要的安全问题，我敢肯定这应该是可能的。 一个简单的例子： 您运行一个社区门户。用户注册并上传他们的图片。 你的应用提供了照片时允许显示安全规则。例如用户必须在每个侧面的朋友通过该系统，以便您可以查看其他人的上传照片。 下面问题来了​​：很可能有人抓取您的服务器的图像目录。但是，你要保护用户免受此类攻击。 如果有可能把图像的二进制数据直接插入HTML标记，你可以限制你的图像显示目 ..

发布时间：2016-05-22 11:09:53 html security image apache2 passenger 前端开发

如何阿帕奇来电/调用相应的处理程序/间preTER？

的首先，对不起，如果这个问题不清楚，由于我的知识贫乏。的 我想知道的 Apache如何调用相应的发动机/调用服务的请求即可。假设，用户请求 http://somesite.com/someurl.php - 阿帕奇现在该怎么确定它需要启动PHP间preTER？阿帕奇是否决定了这样的基础上在文件扩展名/ MIME类型或别的什么吗？ 我所知道的是：我可以配置Apache调用基于文件的扩展名某些间p ..

发布时间：2016-05-21 15:09:34 apache security 服务器开发

在PHP限制文件下载

这样想我的服务器位于 http://www.example.com 我然后把一个文件的file.exe在根服务器上的文件目录，因此通常可以通过输入这个在浏览器下载该文件。 http://www.example.com/files/file.exe 和假设我有一个PHP脚本，首先对用户进行认证，然后将它们重定向到的file.exe下载页面 如。使用此方法： 头（'位置：http://www ..

发布时间：2016-05-21 15:08:03 php apache security zend-framework PHP

Apache2中充斥着GET请求

我在运行多个服务，如技术管理平台，连续或Tomcat。最近他们都已经缓慢的极端。在最坏的情况下，我不得不等待长达5分钟只是为了看看我的Tomcat服务器的头版。 我决定去看一看到从Apache2的access.log文件，并注意到，我的服务器已经充斥着GET请求。这里有一个剪断的日志文件。 66.249.67.238 - - [24 /三月/ 2014：14：10：15 +0100] ..

发布时间：2016-05-21 14:50:26 apache security proxy ddos abuse 服务器开发

为什么会＆QUOT; / ID＆QUOT;作为一个HTTP GET参数将是一个安全漏洞？

在试图调试我与谷歌，里面存放返回Apache的406错误的OpenID实现，我最终发现，我的托管公司不允许通过包含“/ ID”作为一个GET参数（像“例如一个字符串的.php？anyattribute =％2Fid“一旦URL连接codeD）。 这是相当恼人的，因为谷歌OpenID端点包括该字的死亡“/ ID”（ https：//开头谷歌。 COM /帐号/ O8 / ID ），所以我的应用程序 ..

发布时间：2016-05-21 14:36:45 apache hosting web-hosting security 服务器开发

IP阻塞在Apache的网址

我需要阻止通过IP地址访问我的整个网站除了网址/ API，它应该是开放给所有。 我目前使用... ＆LT; LocationMatch /管理＆gt; 为了拒绝，允许 所有拒绝 从允许[MY IP] ＆LT; / LocationMatch＆GT; 这将阻止访问开始/管理的URL。但我想阻止所有的URL除了启动/ API的人。 克里斯 解决方案 RewriteE ..

发布时间：2016-05-21 14:36:42 php security apache cakephp PHP

如何禁用所有文件上传到服务器？

有没有一种方法，通过的php.ini 或的.htaccess 来禁用所有文件上传到服务器？ ，唯一的缺点是，我想有一个文件夹（例如管理员文件夹）仍然有权上传。 我一起当禁用评估的线条思维和 EXEC 。 此问题的原因是，我见过被恶意软件感染，这是位于通过服务器全部随机斑点部位茎 - 最近的一个例子是我见过类似的东西： 的eval（gzinflate（base64_de code（“HZ3f ..

发布时间：2016-05-21 14:23:11 php apache security PHP

在Rails中，这可能会导致用户有其他用户的会话？

我有一个认证系统使用Rails应用程序中宁静的认证不作任何修改。 用户报告发现自己身份登录错误的用户。在至少一个情况下，它是在他们的第一个页面视图，从未登录之前。 是否有可能他们的会话ID被混淆了？将切换到的CookieStore使它不可能为了做到这一点，因为没有会话数据存储在服务器上的这种方式？ 我怀疑这个问题是关系到乘客，但我不知道从哪里开始调试这个。它仅在几个月被活所以它几乎不可能再现 ..

发布时间：2016-05-21 14:02:22 ruby-on-rails security apache session passenger 服务器开发

为什么需要了SSLCertificateKeyFile为Apache？

什么是技术原因了SSLCertificateKeyFile需要（私钥）？哪里是一个使用和为了什么？ 解决方案 SSL证书文件包含X.509证书（其中，反过来，包含用于加密的公钥）。 SSL证书的键的文件包含与证书中的公钥的私钥。为了使Web服务器加密的和的解密通信，则必须同时公钥（证书）和相应的私钥。 Apache的，不像很多其他的服务器产品，存储在不同的文件密钥和证书。基于Java的产品 ..

发布时间：2016-05-21 13:29:44 security apache pki 服务器开发

Apache和PHP的安全性，限制子域

我如果有禁用像的东西了shell_exec（）使用.htaccess文件什么的，而不是全局的方式只是好奇，但仅限于特定的子域或目录（可能禁用 fopen（）函数的子目录上述文件）。它发生，我认为在那里我有一个朋友，他可以使用PHP来获得看看外面他自己的共享目录子空间我的共享主机之一。 也许我可以使用mod_rewrite和发送任何通过将请求转发给它要去的地方前禁用某些事情PHP脚本的任何地方打？ ..

发布时间：2016-05-21 13:28:30 php security apache PHP

禁用可执行code上的Apache服务器的一个子域（CGI / SSI ​​/ PHP /等）。

我最近一直在负责打开一个小规模的网站，允许受信任的用户从他们的本地磁盘客场上传和存储文件进行备份的一个子域。一般情况下，这个新的子域将被用于存储静态为主Office的文档类型（例如，Microsoft / OpenOffice的文档，PDF，纯文本文件等）。 我要确保有一个没有机会（或现实的，因为很少有机会在物理上可能的）一个天真的用户无意中上传潜在致命的文件，例如一些讨厌的PHP脚本。理想情况 ..

发布时间：2016-05-21 13:18:51 php apache security cgi PHP