Tag: 安全性

SSL错误：无法获取本地颁发者证书: 我在Debian 6.0 32位服务器上configurationSSL时遇到问题。我对SSL比较新，所以请耐心等待。我尽可能地包括尽可能多的信息。注意：真正的域名已被更改，以保护服务器的身份和完整性。组态服务器正在使用nginx运行。它configuration如下： ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt; ssl_certificate_key /usr/local/nginx/priv/mysite.ca.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_verify_depth 2; 我用这里描述的方法链接我的证书 cat mysite.ca.crt bundle.crt > mysite.ca.chained.crt 其中mysite.ca.crt是签名机构给我的证书， bundle.crt是我的签名机构发给我的CA证书。问题是我没有直接从GlobalSign购买SSL证书，而是通过我的托pipe提供商Singlehop购买。 testing 证书在Safari和Chrome上正确validation，但不在Firefox上validation。初步search显示，这可能是CA的问题。我探索了一个类似问题的答案，但无法find解决scheme，因为我不太明白每个证书的用途。我用openssl的s_client来testing连接，并收到似乎表明与同样的问题相同的问题的输出。错误如下： depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify […]

Bash中的Shellshock漏洞背后的行为是否logging在案或完全有意？: 披露了最近的一个漏洞， CVE-2014-6271 ， Bash如何解释环境variables。该漏洞利用Bashparsing一些环境variables声明作为函数定义，但是继续执行下面定义的代码： $ x='() { echo i do nothing; }; echo vulnerable' bash -c ':' vulnerable 但我不明白。在Bash手册中，我没有find关于将环境variables解释为函数的东西（除了inheritance函数，这是不同的）。事实上，一个正确的命名函数定义只是被视为一个值： $ x='y() { :; }' bash -c 'echo $x' y() { :; } 但是一个腐败的人什么也不打印： $ x='() { :; }' bash -c 'echo $x' $ # Nothing but newline 腐败的function是未命名的，所以我不能只是调用它。这个漏洞是一个纯粹的实现错误，还是在这里有一个预期的function，我只是看不到？更新 Per […]

如何将variables的值传递给命令的stdin？: 我正在编写一个shell脚本，应该有点安全，即不通过命令的parameter passing安全的数据，最好不使用临时文件。我如何将一个variables传递给命令的stdin？或者，如果不可能，如何正确使用临时文件来完成这样的任务？

这个Rails JSON身份validationAPI（使用Devise）是否安全？: 我的Rails应用程序使用Devise进行身份validation。它有一个姊妹iOS应用程序，用户可以使用它们用于Web应用程序的相同凭据login到iOS应用程序。所以我需要一些API来进行身份validation。这里有很多类似的问题指向本教程，但似乎已经过时了，因为token_authenticatable模块已经从Devise中移除，并且一些行会抛出错误。（我正在使用Devise 3.2.2）。我试图根据那个教程（和这个教程）推出自己的教程，但是我不是100％自信的 – 我觉得我可能会有一些东西误解或错过。首先，遵循这个要点的build议，我添加了一个authentication_token文本属性到我的users表中，以及以下到user.rb ： before_save :ensure_authentication_token def ensure_authentication_token if authentication_token.blank? self.authentication_token = generate_authentication_token end end private def generate_authentication_token loop do token = Devise.friendly_token break token unless User.find_by(authentication_token: token) end end 然后我有以下控制器： api_controller.rb class ApiController < ApplicationController respond_to :json skip_before_filter :authenticate_user! protected def user_params params[:user].permit(:email, :password, :password_confirmation) end end […]

用于Asp.Net Web Api的JWTauthentication: 我试图在我的web api应用程序中支持JWT不记名令牌（Json Web令牌），我迷路了。我看到.net core和OWIN应用程序的支持。我目前通过IIS托pipe我的应用程序。我如何在我的应用程序中实现这个authentication模块？有什么办法可以使用<authentication>configuration类似于我使用窗体\ windows身份validation的方式吗？

Keygen标签在HTML5中: 所以我遇到了HTML5中的这个新标签， <keygen> 。我无法弄清楚它是什么，它是如何应用的，以及它如何影响浏览器的行为。我知道这个标签是用于表单encryption的，但是<keygen>和你的域名有一个SSL证书有什么不同。另外， challenge属性是什么？我没有打算使用它，因为它远远不是在可接受的浏览器范围内实现的，但我很好奇这个标签究竟干什么。所有我能find的是模糊的cookies文件，没有使用的真实例子。编辑：我在这里find了非常丰富的文档。这贯穿了keygen标签的客户端和服务器端的实现。我仍然好奇这对于域SSL证书的好处是什么。