Tag: 安全

密码字段出现在不安全（http：//）页面上

我在Firebug控制台中收到如下错误消息。 密码字段出现在不安全（http：//）页面上。 这是一个安全风险，允许用户login凭据被盗取。 这个错误的原因是什么？ 如果这是关于http和https ，我必须做的转换http://到https:// 这是由于任何编程错误引起的问题吗？ 我在本地机器上工作。 我认为这个问题是关于SSL的。 我是一名PHP开发人员。 有没有任何PHP代码来configurationSSL或是Server Administrator在服务器上configuration它的职责？ 程序员在这类错误中的作用是什么？ 编辑：我解决了这个问题与系统pipe理员的帮助。 他向该网站添加了SSL certificate 。 它把我的网站从http://转到https://

在DCOM调用中使用默认身份validation和单独的隐藏/模拟

我试图用DCOM实现两件事情（Out of process） 使用CoInitializeSecurity及其参数pAuthList设置进程范围的身份validation。 在特殊情况下使用隐形来改变呼叫者的身份（COM呼叫） 我的想法： AFAIK身份validation信息结构包含所有新的COM调用的默认身份validation信息（如RPC_C_AUTHN_WINNT的用户名和密码）。 所以，代替进程标记，auth结构中的信息应该被COM使用。 但是，所有COM调用/连接始终使用进程的身份而不是应用的默认进程。 通常，可以使用CoSetProxyBlanket来更改代理的身份validation信息。 这对我有用。 我的问题是，如果我自己模拟令牌并调用COM函数，它是否必须工作。 我读过各种MSDN文章，应用EOAC_DYNAMIC_CLOAKING到CoInitializeSecurity应该使其工作。 但是，我手动“模拟的COM调用总是显示服务器端的进程标识。 客户端看起来像这样（Delphi） var authList : SOLE_AUTHENTICATION_LIST; authidentity : SEC_WINNT_AUTH_IDENTITY_W; authInfo : array[0..1] of SOLE_AUTHENTICATION_INFO; pcAuthSvc : DWORD; asAuthSvc : array[0..0] of SOLE_AUTHENTICATION_SERVICE; Token : TJwSecurityToken; begin ZeroMemory( @authidentity, sizeof(authidentity) ); authidentity.User := 'Testbenutzer'; authidentity.UserLength := Length('Testbenutzer'); authidentity.Domain := ''; authidentity.DomainLength := 0; […]

我应该混淆Android应用程序存储的OAuth消费者密码吗？

我的Android应用程序包含Twitter API的OAuth使用者密码。 目前，它以纯文本格式存储在.properties文件中，因此有人在APK中查找它时不费吹灰之力。 我应该采取措施来掩盖它（如，rot13或存储在混淆Java代码）？ 或者我应该避免这样做，因为这会造成虚假的安全感？ 人们通常如何在Android应用程序中分发/存储OAuth秘密？ 这个秘密被偷窃和滥用是多么常见？

WCF – Windows身份validation – 安全设置需要匿名

我努力让WCF服务在我们的服务器上的IIS上运行。 部署后，我最终得到一个错误消息： 此服务的安全设置需要“匿名”身份validation，但不支持承载此服务的IIS应用程序。 我想使用Windows身份validation，因此我禁用了匿名访问。 还要注意，有aspNetCompatibilityEnabled（如果这有什么区别）。 这是我的web.config： <system.serviceModel> <serviceHostingEnvironment aspNetCompatibilityEnabled="true" /> <bindings> <webHttpBinding> <binding name="default"> <security mode="TransportCredentialOnly"> <transport clientCredentialType="Windows" proxyCredentialType="Windows"/> </security> </binding> </webHttpBinding> </bindings> <behaviors> <endpointBehaviors> <behavior name="AspNetAjaxBehavior"> <enableWebScript /> <webHttp /> </behavior> </endpointBehaviors> <serviceBehaviors> <behavior name="defaultServiceBehavior"> <serviceMetadata httpGetEnabled="true" httpsGetEnabled="false" /> <serviceDebug includeExceptionDetailInFaults="true" /> <serviceAuthorization principalPermissionMode="UseWindowsGroups" /> </behavior> </serviceBehaviors> </behaviors> <services> <service name="xxx.Web.Services.RequestService" behaviorConfiguration="defaultServiceBehavior"> <endpoint behaviorConfiguration="AspNetAjaxBehavior" […]

如何使Authorize属性返回自定义403错误页面而不是redirect到login页面

[Authorize]属性是很好用的MS发明，我希望它能解决我现在的问题 更具体： 当前客户端未通过身份validation – [Authorize]从安全操作redirect到login页面，login成功后 – 将用户退回，这很好。 但是，当前的客户端已经通过身份validation，但没有授权运行特定的操作 – 我需要的只是显示我的通用403页面。 没有在控制器的内部移动授权逻辑是否可能？ 更新 ：我需要的行为应该在语义上等于这个草图： public ActionResult DoWork() { if (!NotAuthorized()) { // this should be not redirect, but forwarding return RedirectToAction("403"); } return View(); } 所以 – 不应该有任何redirect和url应该保持不变，但页面的内容应该被replace为403页 更新2 ：我以这种方式实现了草图： [HandleError] public class HomeController : Controller { public ActionResult Index() { ViewData["Message"] = "Welcome to ASP.NET […]

为什么java.security.NoSuchProviderException没有这样的提供者：BC？

jar（bcprov-jdk16-145.jar）已被添加到项目中， Security.addProvider(new org.bouncycastle.jce.provider.BouncyCastleProvider())已被添加到类中， BouncyCastleProvider.PROVIDER_NAME确实返回“BC “但AesFileIo.writeFile（）仍然抛出java.security.NoSuchProviderException No such provider: BC 。 有任何想法吗？ import java.io.FileOutputStream; import java.io.InputStreamReader; import java.io.ObjectOutputStream; import javax.crypto.Cipher; import javax.crypto.spec.IvParameterSpec; import javax.crypto.spec.SecretKeySpec; import org.bouncycastle.jce.provider.BouncyCastleProvider; public class AesFileIo { private static final String AES_ALGORITHM = "AES/CTR/NoPadding"; private static final String PROVIDER = BouncyCastleProvider.PROVIDER_NAME; private static final byte[] AES_KEY_128 = { // Hard coded for now […]

Glassfish的DeploymentException：链接安全策略错误

我一直在尝试从Glassfish AdminConsole部署我的Web应用程序（战争），但我不断收到以下错误消息 – Exception while loading the app : Error in linking security policy for MyApp-war — Inconsistent Module State. 但是当我从Netbeans那里部署的时候，它没有任何问题。 （我不知道在部署应用程序之前，Netbeans是否正在做一些我不知道的事情。） 而且我也尝试过最新版本的Glassfish（即V3.1.1（build 12）），我可以从AdminConsole中没有任何问题地部署相同的应用程序。 我正在使用Glassfish 3.1（版本43）和Netbeans 7.0。 在使用此版本的Glassfish部署我的应用程序之前，是否有任何安全策略设置？

将phpinfo（）暴露给最终用户会出现什么样的安全问题？

如果向最终用户显示phpinfo()转储，那么恶意用户可以利用这些信息来处理最糟糕的情况？ 什么领域是最不安全的？ 也就是说，如果你的phpinfo()是公开展示的，那么你应该在哪里观看/关注恶意漏洞？

应该允许在用户名中使用Unicode吗？

为什么大多数（所有？）网站只支持ASCII的用户名？ 如果pipe理员决定开始接受Unicode用户名，是否有任何安全考虑？

Windows相当于OS X钥匙串？

是否有相当于OS X钥匙串，用于存储用户密码，在Windows中？ 我将使用它来保存我的（桌面）软件使用的Web服务的用户密码。 从这个相关问题的答案（ 保护桌面应用程序（Rev 2）中的用户密码 ）和众多的第三方密码存储工具可用，我假设这样的事情不存在 – 我坚持要么要求每次访问Web服务的密码，或只是存储混淆？