Tag: 安全

我如何创build一个Java沙盒?

我想让我的应用程序运行其他人的代码,即插件。 但是,我有什么select来使这个安全,所以他们不写恶意代码。 我如何控制他们能做什么或不能做什么? 我偶然发现JVM有一个“内build的沙盒”function – 这是什么,这是唯一的方法? 是否有第三方Java库制作沙箱? 我有什么select? 指南和例子的链接表示赞赏!

在哪里指定PEM文件格式?

我需要parsing.PEM文件。 我知道“隐私增强型电子邮件”的标准是在RFC 1421-24中定义的。 但是他们似乎没有提到我在OpenSSL.pem文件(例如“Key Attributes”,“BEGIN CERTIFICATE”等等)中find的一些文本。这是一个OpenSSL特定的格式吗?

为什么WordPress仍然使用addslashes(),register_globals()和magic_quotes?

为了获得更多的Wordpress经验,我深入研究了它的代码库来研究它的内部工作和工作stream程,当我看到这些时,我感到非常惊讶: 他们实现了register_globals(摘自wp-includes / class-wp.php): // The query_vars property will be extracted to the GLOBALS. So care should // be taken when naming global variables that might interfere with the // WordPress environment. function register_globals() { global $wp_query; // Extract updated query vars back into global namespace. foreach ( (array) $wp_query->query_vars as $key => $value) { […]

哪里是保存用户上传图片的最佳地点

我有一个网站,显示画廊。 用户可以从networking上传自己的内容(通过inputurl),或从电脑上传图片。 我在第一个用例的数据库中存储的URL,但我需要找出如果用户从他们的计算机上传,存储实际图像的位置。 这里有什么build议或最佳做法,我应该在哪里存储这些? 我应该将它们保存在appdata或内容文件夹中吗? 他们是不是应该和网站一起存储,因为这是用户内容?

stream行的PHP CMS的历史安全缺陷?

我正在创build一个PHP CMS,我希望将会被公众使用。 安全是一个主要的问题,我想学习一些stream行的PHP CMS,如Wordpress,Joomla,Drupal等。他们在过去有什么样的安全漏洞或漏洞,我可以避免在我的应用程序我可以用什么策略来避免呢? 还有什么其他的问题需要我们关注,他们可能没有把这个漏洞当作漏洞,因为他们从一开始就正确地处理了这个漏洞。 什么额外的安全特性或措施,你会包括从细微的细节到系统级别的安全方法? 请尽可能具体。 我通常意识到大多数通常的攻击媒介,但是我想确保所有的基础都被覆盖,所以不要害怕提及明显的。 假设PHP 5.2+。 编辑 :我正在改变这个社区维基。 尽pipeArkh的优秀答案被接受了,但是如果你有他们的话,我仍然对更多的例子感兴趣。

github托pipe对于私人存储库有多安全?

我已阅读此线程,但我想知道这种解决scheme有多安全? 我知道github提供了ssh / ssl的支持,并且很熟悉,但是有人能给我一个他们用来确保我的提交的conf /凭证文件不被黑客攻击的内部安全性的细目。 编辑 :我读过http://help.github.com/security/,但我想从谁已经与多个存储库主机的工作,并有与此真实世界的经验的人的答案。

HMAC vs简单的MD5哈希

任何人都可以指出使用HMАC的优点是什么? 例如,如果我有文本T和密钥K ,则可以使用HMAC-MD5algorithm或Md5(T + K)来获得签名。

禁用Safari自动填充用户名和密码

您可能已经知道,无论您是否设置了autocomplete="off" ,Safari都有一个令人讨厌的自动填充错误,它填充了电子邮件,用户名和密码字段。 这是一个基本的forms: <form action="/" method="post"> <p> <label>E-mail</label> <input type="text" name="email" value="" /> </p> <p> <label>Password</label> <input type="password" name="password" value="" /> </p> </form> … Safari自动填充页面加载这些领域应该像,应做得很好! 如果您将autocomplete="off"到字段和/或表单元素,则Safari仍会自动填充这些字段: <form action="/" method="post" autocomplete="off"> <p> <label>E-mail</label> <input type="text" name="email" value="" autocomplete="off" /> </p> <p> <label>Password</label> <input type="password" name="password" value="" autocomplete="off" /> </p> </form> 即使这不起作用: <form action="/" method="post" autocomplete="off"> <p> […]

为什么在使用Google地图API时不能获得“相同来源策略”警告?

我正在JavaScript页面中进行REST风格的Web服务调用,并得到以下警告: “这个页面正在访问不受其控制的信息,这会带来安全风险,你想继续吗?” 现在我已经读到了这一点,并意识到跨域,相同的来源政策 。 但是,当我使用Google的Maps API等其他API时,我不会收到这样的警告。 显然,域名与我的本地域名不一样。 有什么不同? 我最初的猜测是,当我的REST消费使用XMLHttpRequest时,Google使用<script>标签“导​​入”页面。 如果是这样的话,这两种方法有什么区别,值得警惕,另一方面呢?

从PHP运行可执行文件而不会产生shell

我需要从强制的PHP脚本上下文中调用一个可执行文件。 性能和安全性方面,最好不要在Web服务器进程和可执行文件之间调用一个shell。 当然,我在网上search,没有成功(在这样的PHP环境下)。 许多其他语言允许并清楚地logging。 唉,反引号, exec() , shell_exec() , passthru() , system() , proc_open() , popen()调用一个shell。 而pcntl_fork()似乎不可用。 如何testing一个函数是否调用一个shell。 这是在Debian 6 64bit上用PHP 5.3.3-7 + squeeze15testing的。 testing代码在http://pastebin.com/y4C7MeJz 为了得到一个有意义的testing,我使用了一个技巧,就是要求执行一个不能作为可执行文件使用的shell命令。 一个很好的例子是umask 。 任何返回类似0022的函数都被称为shell。 exec() , shell_exec() , passthru() , system() , proc_open()都做了。 请参阅http://pastebin.com/RBcBz02F上的详细结果。 pcntl_fork失败 现在,回到目标:如何执行任意程序而不启动shell? PHP的exec执行预期的数组string参数,而不是一个唯一的string。 但pcntl_fork只是停止请求,甚至没有日志。 编辑:pcntl_fork失败是因为服务器使用Apache的mod_php,请参阅http://www.php.net/manual/en/function.pcntl-fork.php#49949 。 编辑:添加popen()到@hakrebuild议之后的testing。 任何暗示赞赏。