タグ付けされた質問 「security」

X-Frame-Optionsヘッダーを使用してセキュリティで保護する必要があるASP.NET 4.0 IIS7.5サイトがあります。 また、自分のサイトのページを、同じドメインから、またFacebookのアプリからもiframe化できるようにする必要があります。 現在、私は自分のサイトを次の見出しのサイトで構成しています： Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite") ChromeまたはFirefoxでFacebookページを表示したときに、私のFacebookページで表示されたサイトページは正常に表示されますが、IE9ではエラーが発生します。 「このページは表示できません…」（X-Frame_Options制限のため）。 X-Frame-Options: ALLOW-FROM複数のドメインをサポートするようにを設定するにはどうすればよいですか？ X-FRAME-OPTION 単一のドメインしか定義できない場合、新機能であることは根本的に欠陥があるようです。

99 asp.net  security  iis-7  header  internet-explorer-9 

この質問にはすでにここに答えがあります： JWTをブラウザのどこに保存しますか？CSRFから保護する方法は？ （5つの答え） 2ヶ月前に閉店しました。 JWTを使用してRESTAPIを保護する目的で、いくつかの資料（このガイドやこの質問など）によると、JWTはlocalStorageまたはCookieのいずれかに保存できます。。私の理解に基づく： ローカルストレージはXSSの対象であり、通常、機密情報を格納することはお勧めしません。 クッキー我々はXSSのリスクを軽減フラグ「のHttpOnly」を適用することができます。ただし、バックエンドのCookieからJWTを読み取る場合は、CSRFの対象になります。 したがって、上記の前提に基づいて、JWTをCookieに保存するのが最善です。サーバーへのすべてのリクエストで、JWTはCookieから読み取られ、ベアラースキームを使用してAuthorizationヘッダーに追加されます。サーバーは、（Cookieから読み取るのではなく）リクエストヘッダーのJWTを確認できます。 私の理解は正しいですか？もしそうなら、上記のアプローチにはセキュリティ上の懸念がありますか？それとも、実際には、そもそもlocalStorageの使用をやめることができますか？

99 security  cookies  local-storage  jwt  restful-authentication 

Laravelのハッシュパスワードを作成しようとしています。Laravelハッシュヘルパーを使用するように言われましたが、見つからないか、間違った方向を向いています。 Laravelハッシュパスワードを作成するにはどうすればよいですか？そして、どこ？ 編集：コードが何であるかは知っていますが、どこでどのように使用するかわからないため、ハッシュ化されたパスワードが返されます。ハッシュ化されたパスワードを取得したら、手動でデータベースに挿入できます

98 php  security  laravel  hash  passwords 

私はこれら2つの用語がかなり特定されていることを確認し（特にWebベースのシナリオではこれに限定されないと思います）、違いがあるかどうか疑問に思っていました。 どちらもあなたがあなたがしていることをすることを許されていることを意味しているように私には思えます。これは単なる命名法なのでしょうか、それとも意味に基本的な違いがあるのでしょうか。

97 security 

ユーザーが制御できるすべての変数、攻撃者も制御できるため、攻撃のソースになります。これは「汚染された」変数と呼ばれ、安全ではありません。 を使用すると$_SERVER、多くの変数を制御できます。PHP_SELF、HTTP_USER_AGENT、HTTP_X_FORWARDED_FOR、HTTP_ACCEPT_LANGUAGEおよび他の多くは、クライアントによって送信されたHTTPリクエストヘッダの一部です。 誰かが「安全なリスト」または汚染されていない$_SERVER変数のリストを知っていますか？

97 php  security 

私は私のウェブサイトのフォームにいくつかのセキュリティを追加しようとしています。フォームの1つはAJAXを使用しており、もう1つは単純な「お問い合わせ」フォームです。CSRFトークンを追加しようとしています。私が抱えている問題は、トークンが時々HTMLの「値」にしか表示されないことです。残りの時間、値は空です。AJAXフォームで使用しているコードは次のとおりです。 PHP： if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) {$token = md5(uniqid(rand(), TRUE)); $_SESSION['token'] = $token; } HTML <form> //... <input type="hidden" name="token" value="<?php echo $token; ?>" /> //... </form> 助言がありますか？

96 php  security  session  csrf 

私はPython 3.3にBloomFilterを実装し、セッションごとに異なる結果を得ました。この奇妙な動作をドリルダウンすると、内部のhash（）関数にたどり着きました。この関数は、セッションごとに同じ文字列に対して異なるハッシュ値を返します。 例： >>> hash("235") -310569535015251310 -----新しいpythonコンソールを開く----- >>> hash("235") -1900164331622581997 なぜこうなった？なぜこれが便利なのですか？

96 python  security  hash  python-3.3  hash-collision 

ユーザー名とパスワードの組み合わせを使用してサードパーティのサービスから定期的に情報を取得する小さなPythonスクリプトを書いています。100％防弾のようなものを作成する必要はありませんが（100％も存在しますか？）、十分なセキュリティ対策を講じたいので、少なくとも誰かがそれを壊すのに長い時間がかかります。 このスクリプトにはGUIがなく、によって定期的に実行されるcronため、実行するたびにパスワードを入力して復号化することは実際には機能せず、ユーザー名とパスワードを暗号化されたファイルまたは暗号化されたファイルに保存する必要がありますSQLiteデータベースでは、とにかくSQLiteを使用するので、これが望ましいでしょう。ある時点でパスワードを編集する必要があるかもしれません。さらに、現時点ではWindows専用であるため、プログラム全体をEXEでラップすることになります。 cronジョブを介して定期的に使用するユーザー名とパスワードの組み合わせを安全に保存するにはどうすればよいですか？

96 python  security  encryption 

GoogleドライブAPIを使用するには、OAuth2.0を使用した認証を試す必要があります。そして私はこれについていくつか質問をしました。 クライアントIDとクライアントシークレットを使用して、アプリを特定します。ただし、クライアントアプリケーションの場合は、ハードコーディングする必要があります。したがって、誰でも私のアプリを逆コンパイルして、ソースコードから抽出できます。良いアプリのクライアントIDとシークレットを使用することで、悪いアプリが良いアプリのふりをすることができるということですか？それで、ユーザーは実際に悪いアプリから要求されたとしても、良いアプリに許可を与えることを求める画面を表示するでしょうか？はいの場合、どうすればよいですか？それとも私はこれについて心配する必要はありませんか？ モバイルアプリケーションでは、アプリにウェブビューを埋め込むことができます。そして、許可を求めるアプリは実際には「ブラウザ」なので、webviewのパスワードフィールドを簡単に抽出できます。では、モバイルアプリケーションのOAuthには、クライアントアプリケーションがサービスプロバイダーのユーザー資格情報にアクセスできないという利点がないのでしょうか。

95 security  oauth  google-api  oauth-2.0 

Debian 6.0 32ビットサーバーでSSLを設定できません。SSLは比較的新しいので、ご容赦ください。できる限り多くの情報を掲載しています。 注：サーバーのIDと整合性を保護するために、実際のドメイン名が変更されました。 構成 サーバーはnginxを使用して実行されています。次のように構成されています。 ssl_certificate /usr/local/nginx/priv/mysite.ca.chained.crt; ssl_certificate_key /usr/local/nginx/priv/mysite.ca.key; ssl_protocols SSLv3 TLSv1 TLSv1.1 TLSv1.2; ssl_ciphers HIGH:!aNULL:!MD5; ssl_verify_depth 2; ここで説明する方法を使用して証明書をチェーンしました cat mysite.ca.crt bundle.crt > mysite.ca.chained.crt どこmysite.ca.crt署名機関によって私に与えられた証明書であり、bundle.crtまた私の署名機関によって私に送られたCA証明書です。問題は、SSL証明書をGlobalSignから直接購入したのではなく、私のホスティングプロバイダーであるSinglehopから購入したことです。 テスト中 証明書はSafariとChromeでは正しく検証されますが、Firefoxでは検証されません。最初の検索で、CAに問題がある可能性があることが判明しました。 私は同様の質問への回答を調査しましたが、各証明書がどのような目的を果たしているのか本当に理解していないため、解決策を見つけることができませんでした。 私は、接続をテストするためのopensslのs_clientを使用し、同じ問題を示しているように思わ出力受信同様の質問を。エラーは次のとおりです。 depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify error:num=20:unable to get local issuer certificate verify return:1 depth=0 /OU=Domain Control Validated/CN=*.mysite.ca verify error:num=27:certificate not …

95 security  ssl  https  openssl  ssl-certificate 

私が取り組んでいるプロジェクトの死のJPEGと呼ばれる、Windows XPおよびWindows Server 2003の GDI +に対する古いエクスプロイトについて読んでいます。 エクスプロイトについては、次のリンクで詳しく説明されています。http： //www.infosecwriters.com/text_resources/pdf/JPEG.pdf 基本的に、JPEGファイルには、COMと呼ばれる（空の可能性がある）コメントフィールドを含むセクションと、COMのサイズを含む2バイトの値が含まれています。コメントがない場合、サイズは2です。リーダー（GDI +）はサイズを読み取り、2を引いて、適切なサイズのバッファーを割り当てて、ヒープにコメントをコピーします。攻撃で0は、フィールドに値を配置します。GDI +はを減算し2、その値はによって-2 (0xFFFe)符号なし整数に変換さ0XFFFFFFFEれmemcpyます。 サンプルコード： unsigned int size; size = len - 2; char *comment = (char *)malloc(size + 1); memcpy(comment, src, size); ことを観察するmalloc(0)3行目のヒープ上に割り当てられていないメモリへのポインタを返すべきです。どのようにして0XFFFFFFFEバイト（4GB!!!!）を書き込むとプログラムがクラッシュしないのでしょうか？これは、ヒープ領域を超えて、他のプログラムやOSの領域に書き込みますか？次に何が起こりますか？ 私が理解しているようにmemcpy、それは単にn宛先からソースに文字をコピーします。この場合、ソースはスタックにあり、宛先はヒープにありnます4GB。

94 c++  security  memcpy  malware 

パスワードを忘れた場合の識別子を生成したい。私はmt_rand（）でタイムスタンプを使用してそれを行うことができると読みましたが、一部の人々はタイムスタンプが毎回一意ではないかもしれないと言っています。だから私はここで少し混乱しています。これでタイムスタンプを使ってできますか？ 質問 カスタムの長さのランダム/一意のトークンを生成するためのベストプラクティスは何ですか？ この辺りで多くの質問が寄せられることは承知していますが、さまざまな人々のさまざまな意見を読んだ後、さらに混乱します。

94 php  security  random  timestamp  token 

時々、実行が「間違っている」または「悪い」であると強調するコメントまたは応答に遭遇しますが、それがはるかに単純であるか、またはそのように実行します。pipsudo pip下での実行に関連するリスクは何sudoですか？ これは、タイトルとは異なり、リスクに関する情報を提供しないこれと同じ質問ではないことに注意してください。これは、の使用を回避する方法についての問題ではありませんsudoが、具体的にはなぜ使用したいのかについての問題です。

94 python  security  pip  sudo 

どのように私は私にクッキーを設定することができますPHP appsようにHttpOnly cookies？

93 php  security  cookies  xss  httponly 

ユーザーにAPIキーとシークレットの両方を提供する多くのAPIに出くわしました。しかし、私の質問は、両方の違いは何ですか？ 私の目には、1つのキーで十分です。私が鍵を持っていて、私とサーバーだけがそれを知っているとしましょう。このキーを使用してHMACハッシュを作成し、API呼び出しを行います。サーバー上で、HMACハッシュを再度作成し、送信されたハッシュと比較します。同じ場合、通話は認証されます。 では、なぜ2つのキーを使用するのでしょうか。 編集：またはそのAPIキーはAPIシークレットを検索するために使用されますか？

93 api  security  authentication  api-key  secret-key