Azure Blob 在 Microsoft 中存储时是否加密?
..
security相关内容
Azure API 管理 - 如何保护订阅密钥
..
cert 和 mozroots 的 Mono 问题
我在我的单声道虚拟机上使用这个命令 sudo mozroots --import --sync 似乎是从 获取证书这个网站. 然后我尝试连接到我的 ssl 站点,但出现证书无效的异常.我使用 Firefox,看到证书是在 2010 年发布的.我查看了那个文件,最后一次更新是 2009-05-21 12:50 在同一台机器上使用 firefox 时,我可以导航到我尝试连接的相同 ur
..
如何修复调用 CryptDeriveKey 的 Mono 异常不支持的 CspParameters
我尝试从 在哪里可以找到 C# 示例代码以在 ASP .NET MVC2 中实现密码恢复 对 Mono 的回答.我它包含以下程序.CryptDeriveKey 调用导致 Mono 中的异常 Mono 不支持 CspParameters 如何在 ASP .NET MVC2 应用程序中实现 Mono 中的密码恢复? //////获取一条短信并使用密码作为密钥对其进行加密.///
..
您如何将盐添加到现有的密码哈希中?
我有一个散列密码数据库,在散列之前没有添加盐.我想在新密码中加盐.显然我不能重新散列现有的. 您将如何迁移到新的哈希系统? 解决方案 当然可以.只需向现有哈希添加盐并再次对其进行哈希处理.当然,这将要求任何未来的登录都经过相同的过程,这意味着需要调用两个散列函数,但许多合法模式无论如何都会这样做,所以它不会像你想象的那么糟糕. 加盐密码是为了防御彩虹表.在这种情况下,盐不需要是
..
如何将密码迁移到不同的哈希方法
在更改应用程序的密码哈希算法时,系统应如何迁移已保存在数据库中的值?我很清楚我无法以散列形式迁移它们,但我需要输入数据才能计算新的散列. 有两种情况我可以访问输入数据: 登录时 当用户在个人资料设置中更改密码时 显然,只有在其中一个过程中,我才能将新哈希保存到数据库中以迁移密码. 虽然我所有的同事都在投票支持方法一,但我的直觉告诉我不要那样做.有推荐的方法吗? 解决
..
保护 UDP - OpenSSL 或 GnuTls 或 ...?
我需要保护我的 UDP 流量.据我了解,DTLS 协议是最好的方法.还有一个 - IPsec - 但它看起来不适合我,因为它不容易使用并且可能存在硬件问题. 我发现有些库实现了 DTLS.所以现在我正在尝试选择 - OpenSSL 还是 GnuTls?你能告诉我什么更好用吗?有什么缺点或优点?或者可能有另一个实现了 DTLS 支持的库? 谢谢. 解决方案 我发现了以下关于库和
..
如何使用 Postman Rest Client 获取和重用 CSRF 令牌
我正在使用 Postman Rest 客户端来访问其他服务.当我尝试从 Postman 客户端执行 rest 服务时出现以下错误. HTTP 状态 403 - 跨站请求伪造验证失败.请求中止. 看来,其余服务通过 CSRF 令牌的实现得到保护.有人知道如何获取 CSRF 令牌并将其重用于未来的请求吗? 解决方案 有几种方法可以防止应用程序中的 CSRF.根据您的服务所具有的保护类型,您
..
Javascript/PHP 我可以获取 GPS 位置并将其发送给我吗?
好的,这就是我想要的: 我需要 Javascript 或 PHP 脚本之类的东西来从访问者那里获取 gps 位置,然后偷偷发送给我(我不会用这个坏的,它是用于防止我的 iPhone 被盗的网站) 我希望如果小偷打开网站(我将在网页剪辑、命名 Safari 并给出 safari 图标)我自动获取他的位置并将他重定向到谷歌或其他东西 所以基本上是这样的: navigator.geo
..
iOS 检测模拟位置
目前我正在开发一个应用程序,其中地理定位功能是其最重要的功能.实际上,我们非常担心模拟 GPS 值.我已经阅读了很多关于在 iOS 和 Android 上模拟位置的评论,其中大多数倾向于解释未越狱的 iOS 设备无法模拟位置,但事实是我已经创建了另一个项目,其中包含一个 GPX 文件来模拟在那个项目上的位置,当执行时,整个系统都认为我在另一个城市.我所有的 locationManager 回调都告
..
Symfony2:如何根据权限在 Twig 中隐藏链接
..
如何在 PHP 中保护硬编码的登录名/密码?
我正在编写一个简单的 PHP 脚本来访问 Foursquare API.PHP 将始终访问同一个 Foursquare 帐户.目前,我在脚本中硬编码了这个登录信息.保护这些信息的最佳方式是什么? 如果我遵循这个帖子的建议,我应该将登录信息放在网站根目录之外的配置文件中:如何在 PHP 中保护数据库密码? 这是最好的建议吗?还是有更好的方法来保护登录信息? 解决方案 当然,最好的
..
为什么 OWASP 不建议在客户端和服务器上都对密码进行 bcrypt?
由于最近 GitHub 和 Twitter 出现问题: GitHub不小心在其内部日志中记录了一些明文密码 Twitter 承认在内部日志中记录明文密码,就像 GitHub 一样 我想知道,为什么最好不要在客户端和服务器上同时加密密码?由于我不会更改任何已经是服务器端最佳实践的东西(盐、强哈希、HTTPS),它只会更安全.服务器会将已经散列的密码视为密码,并在存储之前再次对其进行散列
..
如何在 VB 脚本中为安全字符串分配密码
我有一个脚本,其中包含生成 powershell 脚本的批处理文件.我自己承担了通过 VB 脚本完成相同的任务.到目前为止,我已经将我需要的大部分信息分配给了字符串.但是我希望提示输入密码,该密码存储为安全字符串,并且可以输出到文本文件中以供以后在进一步的脚本中使用.到目前为止,我发现的唯一代码不起作用,我想可能是因为它是为 VB 而不是 VBS 设计的.非常感谢任何帮助. 之前使用的pow
..
加密第 3 方凭据
我有一个应用程序,我需要将第三方凭证存储到 Amazon S3、FTP、SFTP 等服务. 我知道可以在没有密码的情况下访问其中一些系统,但这有其自身的问题.如果我们的客户允许我们通过 ACL 访问他们的 S3 存储桶,我们仍然需要验证哪个存储桶属于哪个用户,SFTP 和 ssh 密钥身份验证也是如此. 我们将尽最大努力在可能的情况下允许使用非密码替代方案,但有时 (FTP) 是不可能
..
如何存储和验证从 PIN/密码中随机选择的数字
如果我有一个用户的 6 位 PIN(或 n 字符字符串),并且我希望验证从 PIN(或 x 字符)中随机选择的 3 位数字作为“登录"过程的一部分,我将如何存储数据库中的 PIN 或某些加密/散列版本的 PIN,以便我可以验证用户身份? 想法: 将 PIN 码存储在可翻转的(对称或非对称)加密方式,解密用于数字校验. 存储 PIN 的一系列散列排列,以针对某些ID,链接到“随机选择数
..
输入框中写入的密码不会通过堆栈跟踪易受攻击吗?
我根本不是堆栈跟踪专家.我什至不知道如何得到它们.无论如何,我想知道在输入框中输入密码是否安全.不能通过获取堆栈跟踪来检索它吗? 这样输入的密码会在很多地方找到: TEdit 的 Caption 属性 创建输入框的函数结果 可能是存储输入框命令结果的变量 等等…… 如果答案是“是的,这是一个漏洞",那么我的世界就崩溃了:p.可以做些什么来避免这个安全漏洞? 注意:In
..
App Engine:传输密码并将其安全存储在 Google App Engine 中的最佳做法是什么?
我想知道从网络表单传输密码并将其存储在数据存储中的最新技术是什么. 最近很多帖子都指向 bcrypt,但是,没有纯 Python 实现,这是 App Engine 的要求. 有什么建议吗? 解决方案 最佳实践?将用户 API 与 Google 帐户或 OpenID 一起使用,因此您一开始就不会存储或传输密码. 如果您必须自己做,请通过 SSL 传输登录数据,并存储经过哈希
..
通过在垃圾收集之前使用反射清理内容来安全地使用字符串作为密码
使用反射擦洗 String 是否使使用 String 与使用 char[] 密码一样安全? 从安全方面来看,通常认为最好的做法是使用 char[] 来存储/传递密码,因为可以在代码中尽快将其内容归零,这可能是在垃圾收集清理它并重用内存(擦除所有跟踪)之前显着降低内存攻击的时间窗口. 但是,char[] 不如 String 方便,所以如果可以“擦洗"一个 String需要,从而使 Str
..
存储和检索 SHA-256 散列和加盐密码的正确方法
这是我第一次尝试安全地存储密码,我想确保一切都正确完成.有人建议我将 SHA-256 散列与 salt 一起使用. 假设用户提交了完整的密码表单,我们通过 获取密码 $password = $_POST["password"]; 什么是加盐 $password 并对其使用 SHA-256 散列的正确方法,因此它可以存储在数据库中的密码字段“密码 CHAR(64)"中? 完成并存储
..