Tag: 安全

embeddedYouTubevideo“由于X-Frame-Options禁止显示而拒绝显示文档”

一旦用户提供了video链接,我正试图将YouTubevideoembedded到我的网页上。 <iframe width=\'560\' height=\'315\' src='http://www.youtube.com/watch?v=<video id>&amp;output=embed' frameborder=\'0\' allowfullscreen></iframe> 但是,当我尝试添加这个我得到这个错误。 在Chrome中检查页面后,我在控制台选项卡中看到此错误 “由于X-Frame-Options禁止显示,拒绝显示文档” 我甚至无法在IE和Firefox中看到video 我什至尝试添加 header('X-Frame-Options:Allow-From http://www.youtube.com'); header('X-Frame-Options:GOFORIT); &amp;output=embed to the url 在阅读其他职位的某些解决scheme后。 但我仍然得到同样的错误。 我也看到,YouTube有对象embedded的方法来显示video,但YouTube已经把它作为embeddedvideo的老方法。所以我想用新的embeddedvideo的iframe方法在我的页面上。 问题出现在Firefox 11 Chrome 18.0 IE 8中 有人遇到这个问题? 谢谢

XORencryption有什么问题?

我写了一个简短的C ++程序来对一个文件进行异或encryption,我可能会用它来处理一些个人文件(如果被破解,那没什么大不了的 – 我只是为了防止偶然的观众)。 基本上,我采取一个ASCII密码,并重复XOR密码与文件中的数据。 现在我很好奇,如果有人想破解这个,他们会怎么做呢? 需要很长时间吗? 它取决于密码的长度(即,什么是大O)?

为什么使用API​​密钥和秘密?

我遇到了很多API,为用户提供了一个API 密钥和一个秘密 。 但是我的问题是:两者有什么区别? 在我看来,一个关键就足够了。 说我有一把钥匙,只有我和服务器知道。 我用这个键创build一个HMAC哈希,并做一个API调用。 在服务器上,我们再次创buildHMAC散列并将其与发送的散列进行比较。 如果相同,则通话被authentication。 那么为什么要使用两个键? 编辑:或者是用于查找API密钥的API密钥?

如何使用IAM用户帐户loginAWS Console?

我已经创build了一个IAM用户帐户。 现在我想将此用户连接到AWS控制台。 AWS表示: For Users who need access to the AWS Management Console, create a password in the Users panel after completing this wizard. 。 我为IAM用户创build了一个密码。 尝试使用新的用户名和密码login到AWS Console不起作用。 我需要做什么?

为什么Chrome浏览器在没有其他浏览器的情况下报告安全/不安全警告?

当我通过HTTPS模式访问我们的网站时,Chome报告了一个错误,说明该页面包含安全和不安全的项目。 但是,我使用Firebug,Fiddler和HttpDebuggerPro,所有这些都告诉我,一切都是通过HTTPS。 这是Chrome中的错误吗? 对不起,但我无法给出实际的url。

为什么要限制密码的长度?

我刚刚注册了一个网站来购买一些商品,当我试图input我的(合理安全的)密码时,我被告知它太长了,我应该input5到10个字符之间的密码! 这是什么意思? 谁做这样的决定? 理想的密码当然是一个非常漫长而复杂的密码? 为什么人们坚持试图限制你可以使用的密码types? 你有没有实现login到网站? 是用于安全目的的login(例如购买商品)。 你对用户的密码有什么限制(如果有的话)? 你做这个决定的原因是什么?

“testing表格仅适用于来自本地机器的请求。”

我在.Net中创build了一个Web服务,因此服务文件的地址有一个漂亮的自动生成的解释,说明它是如何工作的。 当我从机器上运行页面时,甚至有一个表单可以用来向服务提交testing值。 但是,在远程机器上,它隐藏了表单并给出了上面的消息。 这有什么意义吗? 我已经看到其他网站称之为“更安全”,但任何人都可以轻易地创build自己的表格,如果你问我的话,这只是一个麻烦。

validation从移动(iPhone)应用程序到ASP.Net Web API的请求(请在我的devise中提供反馈)

我正在devise一个网站,将有一个手机伴侣(初始只iPhone)。 该网站将是一个ASP.Net MVC 3应用程序。 我也将有一个ASP.Net Web API网站(MVC 4)公开服务的iPhone应用程序。 iPhone应用程序将具有自己的表单来捕获用户的用户名和密码,并将其发送到JSON头中的Web API。 我想从一开始就考虑安全问题,而不是一个想法。 我不是一个安全专家。 我已经做了大量的研究,看看其他人如何从Web服务处理移动应用程序客户端的身份validation。 我想我已经提出了一个体面的解决scheme,不涉及到第三方oAuths挂钩。 我将非常感谢您提供的任何意见,build议,批评和一般的WTFs。 🙂 我最大的担忧是: 确保对Web API的调用获得授权 最大限度地减less重播攻击的风险(因此下面调用中的时间戳) iPhone应用程序将如此开发: 两个string被硬编码到iPhone应用程序(每个用户的值相同): 应用程序ID 这是一个string,用于识别访问Web API(iPhone,Android,Windows Phone等)的客户端types。 应用程序的散列盐 这是一个string,用于对用户不可知的请求进行哈希散列。 两个string存储在iPhone应用程序的本地数据库中(每个用户独特的值): API用户访问令牌 这是通过Web API在成功validation后提供给客户端的string(令牌),并允许客户端访问Web API,而无需在每个请求中发送用户名和密码。 用户的哈希盐 这是一个用于对已build立的用户帐户进行请求的哈希值的string。 iPhone将通过以下方式调用Web API: API方法:创build帐户 客户端发送: 新帐户资料(使用者名称,密码,名字,姓氏等) 应用程序ID UTC时间戳 UTC时间戳记哈希应用程序的哈希盐 API返回: 新用户的哈希盐 这里的想法是,当创build一个帐户时,我可以使用应用程序的硬编码盐,因为如果盐(通过反编译或其他方式)出来,这不是一个巨大的安全风险。 但对于访问和修改用户数据的方法,我将使用仅由该用户拥有的盐,以便攻击者不能使用它来模拟其他用户。 API方法:获取帐户 (用于在网站上创build但尚未在iPhone上同步的帐户获取用户哈希值。当用户尝试loginiPhone时,iPhone会检测到没有该用户名的logging。) 客户端发送: 用户名 密码(使用应用程序的散列盐进行散列) 应用程序ID UTC时间戳 UTC时间戳记哈希应用程序的哈希盐 […]

gcc -D_FORTIFY_SOURCE = 1和-D_FORTIFY_SOURCE = 2之间的差异

有人能指出gcc -D_FORTIFY_SOURCE = 1和-D_FORTIFY_SOURCE = 2之间的区别吗? 我猜= 2更安全? 我一直没能find一个逐点列出差异的清单。 我也读过-D_FORTIFY_SOURCE = 2应该和-O2一起使用,否则不是所有的function都可用。 在这里,我还没有find一个列表,详细说明回归。 我特别希望用-Os进行编译,因为目标是一个没有太多闪存的设备。 任何提示,这是logging在案的欢迎!

在.NET中存储encryption密钥的最佳方法C#

在我们的应用程序中,我们有很多敏感的configuration设置,我们将其存储在一个xml文件中,这个文件又被encryption了。 这个安全的文件必须在运行时被解密并读取configuration值。 但是会出现一个问题,即密钥和初始化vector在代码中是硬编码的,因此任何人都可以使用Reflector读取它。 什么是在.NET中存储encryption密钥的最佳方式,所以没有人可以使用reflection器读取它们?