Tag: 安全

为什么iframe被认为是危险的，存在安全风险？: 为什么iframe被认为是危险的，存在安全风险？有人可以描述一个可以恶意使用的例子吗？

在数据库中存储密码的首选方法: 在数据库中存储密码的首选方法/数据types是什么（最好是SQL Server 2005）。在我们的几个应用程序中，我一直这样做的方式是首先使用.NETencryption库，然后将它们作为二进制（16）存储在数据库中。这是首选的方法，或者我应该使用不同的数据types或分配更多的空间比16？

如何在PHP中设置使用HttpOnly cookie: 我如何在我的PHP apps设置Cookie作为HttpOnly cookies ？

Django设置'SECRET_KEY'的目的: django中的SECRET_KEY究竟是什么意思？我做了一些谷歌search，并检出了文档（ https://docs.djangoproject.com/en/dev/ref/settings/#secret-key ），但我正在寻找一个更深入的解释，以及为什么这是必需的。例如，如果密钥泄露/其他人知道它是什么，会发生什么？谢谢。

如何在Android中安全地存储访问令牌和秘密？: 我将使用oAuth从谷歌获取邮件和联系人。我不想每次都要求用户login以获取访问令牌和秘密。根据我的理解，我需要将它们与我的应用程序一起存储在数据库或SharedPreferences 。但是我有点担心安全方面的问题。我读过，你可以encryption和解密令牌，但是攻击者很容易只是反编译你的apk和类并获得encryption密钥。在Android中安全存储这些令牌的最佳方法是什么？

如何实现密码重置？: 我正在研究ASP.NET中的应用程序，并想知道如何实现Password Resetfunction，如果我想推出自己的。具体来说，我有以下问题：生成一个难以破解的唯一ID的好方法是什么？是否应该附加一个计时器？如果是这样，应该多久？我应该loggingIP地址吗？它甚至重要吗？在“密码重置”屏幕下，我需要什么信息？只是电子邮件地址或者，也许电子邮件地址加上他们“知道”的一些信息？（最喜欢的球队，小狗的名字等）还有其他的事情需要注意吗？注：其他问题完全掩盖了技术实现。事实上接受的答案掩盖了血淋淋的细节。我希望这个问题和随后的答案能够进入细节，我希望通过狭义的措辞来解释这个问题的答案是“绒毛”和“戈尔”。编辑：也进入如何将这样的表build模和处理在SQL Server或任何ASP.NET MVC链接到答案的答案，将不胜感激。

为什么要检查错误的密码比检查正确的密码要花费更长的时间？: 这个问题一直困扰着我。在Linux上，当被要求input密码时，如果您的input是正确的，那么它立即检查，几乎没有任何延迟。但是，另一方面，如果input错误的密码，则检查时间会更长。这是为什么？我在所有曾经尝试过的Linux发行版中观察到这一点。

Google身份validation器在Python中的实现: 我正在尝试使用Google身份validation器应用程序生成的一次性密码。 Google身份validation器的function Google Authenticator基本上实现了两种types的密码： HOTP – 基于HMAC的一次性密码，这意味着每次通话都会改变密码，符合RFC4226 ， TOTP – 基于时间的一次性密码，每30秒改变一次（据我所知）。 Google身份validation器也可在此处以开放源代码的forms获得： code.google.com/p/google-authenticator 当前的代码我正在寻找现有的解决scheme来生成HOTP和TOTP密码，但没有find太多。我的代码是负责生成HOTP的以下片段： import hmac, base64, struct, hashlib, time def get_token(secret, digest_mode=hashlib.sha1, intervals_no=None): if intervals_no == None: intervals_no = int(time.time()) // 30 key = base64.b32decode(secret) msg = struct.pack(">Q", intervals_no) h = hmac.new(key, msg, digest_mode).digest() o = ord(h[19]) & 15 h = (struct.unpack(">I", […]

如何做无状态（无会话）和无cookie的身份validation？: Bob使用Web应用程序来实现某些function。和：他的浏览器正在节食，因此它不支持cookies 。 Web应用程序是一个非常stream行的应用程序，它在特定时刻处理很多用户 – 它必须很好地扩展。只要保持会话会对同时连接的数量施加限制，当然会带来不可忽视的性能损失，所以我们可能希望有一个无会话的系统:) 一些重要的说明：我们确实有运输安全（ HTTPS及其最好的朋友）; 在幕后，Web应用程序将代表当前用户的许多操作委托给外部服务（这些系统将Bob识别为其用户之一） – 这意味着我们必须将Bob的凭据转发给他们。现在，我们如何validation鲍勃（每个请求）？这将是一个合理的方式来实现这样的事情？通过HTMLforms的隐藏字段与证书打网球 … 球包含的凭据（用户名和密码）和两个球拍分别是浏览器和Web应用程序。换句话说，我们可以通过表单域而不是通过cookie来回传输数据。在每个Web请求中，浏览器都会发布凭证。尽pipe在单页应用的情况下，这可能看起来像在墙壁上打壁球，而不是打网球，因为包含凭证的网页表单可能在网页的整个生命周期（以及服务器将被configuration为不提供凭证）。存储在页面的上下文中的用户名和密码 – JavaScriptvariables等单页需要在这里，恕我直言。 encryption的基于令牌的authentication。在这种情况下，login操作将导致生成一个encryption的安全令牌（用户名+密码+其他）。这个令牌将被返回给客户端，并且即将到来的请求将伴随令牌。这有道理吗？我们已经有HTTPS … 其他… 最后的手段：不要这样做，在会话中存储凭据！会议是好的。有或没有cookies。关于前面提到的任何想法，是否会出现任何networking/安全问题？例如，超时 – 我们可能会保留一个时间戳，以及证书（时间戳=鲍勃input证书的时间）。例如，当NOW – 时间戳>阈值时，我们可能会拒绝该请求。 […]