如果安全性为false,能否在HTTPS中创建cookie并在HTTP中使用它? - | 如果cookie的安全参数设置为false,是否可以在ѭ0中制作cookie并在ѭ1中使用?我有一个网站,我只要求在page0ѭ中有一个页面,例如登录名或特殊功能页面。
我假设cookie是安全的(因为它通过SSL传输),尽管在非SSL页面上以非哈...
OAuth-防止共享使用者密钥/秘密和访问令牌列表的安全性 - || 我一直在努力建立服务提供商,并且看到,要代表用户发出请求,似乎所需的全部是使用者密钥/秘密和令牌密钥/秘密。
是什么阻止了消费者向我的服务提供商注册,使一些用户授权访问其某些数据,然后将访问令牌和消费者信息交给第三者呢?
这是否归结为一个信任问...
相对于sql注入的安全性是否合理? - | 我正准备启动一个网站-我从头开始编写的第一个网站。这将是低流量和低调的(可能不会被搜索引擎抓取。)我正在使用PEAR的数据库库及其query()方法的占位符进行存储用户数据,如下:
<?php
require_once(\'db.inc\')...
如何在Java中实现行级安全性? - | 我目前正在评估身份验证/授权框架。
Apache Shiro看起来非常不错,但是我缺少行级安全功能。
例如。数据库中可能有特殊的行,只有具有特殊特权的用户才能看到和访问这些行。
为了避免不必要的往返,我们当前修改了SQL查询以与我们的授权数据结合...
如何限制接口调用者对接口的调用频率?问题:对某个对外暴露的接口加一个限制:调用者一分钟之内调用次数不能超过100次,如果超过100次就直接返回给调用者失败的信息。给调用者一个SECRET,每次调用者需要调用接口的时候
我不确定我是否被黑了. 我试图通过SSH登录,它不接受我的密码.根登录被禁用,所以我去救援并打开root登录,并能够以root用户身份登录.作为root用户,我尝试使用与之前尝试登录的密码相同的密码更改受影响帐户的密码,passwd回复“密码未更改”.然后我将密码更改为其他内容并且能够登录,然后将密码更改回原始密码,我再次能够登录. 我检查了auth.log以获取密码更改,但没有找到任何有用的内容
我最近在 http://archives.neohapsis.com/archives/openbsd/2005-03/2878.html发现了一个反对在Linux中禁用root用户登录的论点 我假设,如果每个人都使用公钥认证,那么丢失root密码就没有风险了. 通过ssh禁用root登录总是更好吗? 简短的回答是你的攻击档案越小越好.总是.如果您不需要它或可以使用sudo或su等替代方法,则不要
我一直在做关于保护 linux web服务器的“广泛”研究.除了被认为是“基础”(删除未使用的服务,强化ssh,iptables等)之外,包括反rootkit(Tripwire)和反病毒(ClamAV)是明智的吗?这些对于Web服务器来说是否有点过分?我知道这是一个非常模糊的问题,但我对其他人的意见很好奇. 我未来的环境: – ubuntu 10.04 – fail2ban – nginx 0.8
我想在服务器和客户端之间启用文件共享,这两者都是 linux.我不想像NFSv4那样依赖机器信任,因为客户端用户将拥有root权限.除了SMB(SAMBA),我有哪些选择? OpenAFS是否支持用户级身份验证&访问?使用挂载的WebDAV / ftp / sshfs对于LAN来说似乎很愚蠢. 我不确定我完全理解: “I don’t want to rely on machine trust li
我正在玩bind,并开始想知道为什么这个软件,例如,在chroot中运行的CentOS.不要误解我,我知道什么是绑定和什么chroot(监狱)是为了.但我的主要问题是绑定运行没有chroot所以非常不安全? 没有监狱(比任何其他服务或软件更多)设置它真的是有害的.在系统中有很多过程没有chroot运行,我认为妥协它们是非常危险的,但是什么使得命名比其他没有chroot运行的软件更危险? 正如@So
我有一个盒子从CentOS 5升级到CentOS 6.在原始服务器上,所有用户都有MD5密码.升级后的服务器现在使用SHA-512密码. 自升级以来已更改密码并在/ etc / shadow中具有SHA-512密码的用户可以成功使用crontab,但未更改密码且仍具有旧MD5密码的用户无法使用crontab.他们收到的错误消息是: Authentication service cannot ret
我已经阅读了几篇如何使用Rsync和公钥认证自动备份文件的文章.所有这些都非常相似.我刚刚完成了所有设置并且一切正常但是……我刚发现一篇文章说它不安全.我做了以下事情: >在备份服务器上,我生成了公钥和私钥. >我将公钥复制到远程(原始)服务器目录:/var/sites/.ssh(文件authorized_keys).该目录由“user12”拥有 >我将以下内容添加到authorized_keys
我想使用rsync移动一些文件,但在删除源文件之前,目标文件在目的地完好无损是至关重要的.问题是,我找不到任何信息告诉我rsync如何确定文件已正确传输:我需要它进行正确的校验和. 任何人都知道rsync是如何做到的? 您需要通过–checksum以确保具有相同大小和文件的文件.不会跳过源和目标上的时间.然后,根据 Wikipedia: The recipient splits its copy
在最近更新到CentOS 6.4之后,两台机器具有setuid()限制,其功能类似于功能或se linux,但两者都被禁用.例如.以下失败: [root@host statd]# perl -e 'use POSIX; POSIX::setuid(99);system("id")'
[root@host statd]# echo $?
0 当它应该返回类似的东西: host:~# perl -e
是否有关于以root身份运行的logrotate的安全性的问题?有人要求恶意用户不能破坏配置来覆盖任何东西吗?可以从另一个用户的cron中运行logrotate吗? 只要用户可以使用您的日志文件在目录中编写和创建文件,您就可以使用其他用户.但是,如果你的logrotate配置只能由root编辑,那么我没有看到太大的风险.如果有人可以颠覆他们可以获得root并且可能造成的危害远远超过仅仅弄乱日志文件
在我目前的配置下, iptables将阻止每个入站连接,即使来自localhost也是如此.在某些情况下,我需要localhost连接到自己.如果我创建一个允许来自localhost的所有入站连接的规则,这是否会损害我服务器的安全性?例如,攻击者是否可以以任何方式滥用此防火墙规则? 请记住,localhost(127.0.0.1)是系统上的环回接口.如果有人可以窥探该界面上的流量,那么他们已经在您
我们的服务器托管了超过一千个站点,其中一些似乎被恶意脚本劫持.这些脚本运行通常由合法用户执行的操作,在我们的服务器上造成严重的压力,并且通常需要我们重新启动以清除负载.我们没有办法找出它们是什么.最近这些袭击已经开始影响我们的日常运营.我们的错误日志文件大小为70mb,消息类似于以下内容: [timstamp] [error] [client xx.xxx.xx.xxx] File does no
我是 Windows 2008服务器的管理员.当我尝试更改目录的文件权限时,出现错误: Error Applying Security Access is denied. 我是机器的管理员,我确保没有锁定文件(使用Process Explorer).我甚至启动了另一个登录远程桌面会话的用户. 它抱怨的一些文件位于.hg文件夹中,因为我正在处理的目录中有一个Mercurial存储库. 我注意到目录中
我的公司大量使用Access MySQL应用程序,如果我发布了源代码,它可能会在Daily WTF上看到一些重要的流量.用户及其权限的管理失控,我似乎花了越来越多的时间来调整这些或试图弄清楚为什么有人看不到他们应该看到的东西. 它最初设置为由三个用户在一个仓库中使用.它现在被四个州的二十多个用户使用,很快就会添加更多用户,并且这些功能已经与用户以大约10比1的比例添加……实际的核心应用程序也不错,
