タグ付けされた質問 「security」

私がWebサイトを開発している会社は、company.parentcompany.comのような現在のドメインを維持したいと考えています。別のCMSを使用したかったため、親会社はそれをサポートすることもホストすることも拒否し、サードパーティのホスティングの支払いを求めました。 これで、新しいサーバーを指すサブドメインのAレコードが作成されなくなり、セキュリティリスクであることが示されます。私はDNSの専門家ではありませんが、これはトータルBSのように思えます。これについて何度か議論したことがありますが、セキュリティの問題を提起する人はいません。 これと戦うことができますか、それとも本当に正しいですか？

12 security  dns  subdomain 

（法人）のお客様がオンラインショップで商品を購入した後、購入した商品の概要をメールで送信します。 受け取った支払い、パケット追跡などについてお客様にお知らせしたいと思います。私は、各注文にランダムなIDを割り当て、各メールにリンクを追加することでこれを解決します。リンクは次のようになります。 http://shop.foo.bar/order/rwklvc46g9wt7kvy09f1 データを保護するために追加の対策を講じますか？または完全に異なるソリューションを選択しますか？ 利点： メールごとのステータスの更新はありません（特に頻繁に更新が発生する場合） 単一の情報源（決して古くない） 共有可能（上司や同僚など） 短所： 公的にアクセス可能なウェブサイトで公開される個人データ（例：電話番号、支払いの詳細）

11 security  privacy 

私が構築しているこのサイト（私が作成した最初の重要なサイト）に対して「セキュリティを正しく行う」ことを学ぶことにかなり偏執的で、気になることがあることに気づきました：SSL。 ここ、StackOverflow、およびnを使用した後にセッションIDを再生成すること、およびパスワードをソルト、ハッシュしてプレーンテキストに保存しない方法について詳しく説明しているセキュリティスレッドをたくさん読みました。IPアドレスやユーザーエージェントを追跡したり、追跡Cookieを使用したりして、セッションが乗っ取られたことを検出する方法については、たくさん読んだことがあります。 私が理解していないのは、ウェブサイトが通常のHTTP POSTを介してログインし、プレーンテキストでネットワーク経由でパスワードを送信するときに問題になることです。 私がリストアップした他のすべての方法があなたの全体的な露出を減らすために必要であることを理解しています、そしてとにかくそれほど多くのセキュリティを必要としないいくつかのサイトがあるかもしれませんが、私が求めているものは次のとおりです： SSLに煩わされなくても大丈夫なのはいつですか？ Gmail、あなたの銀行、LinkedInのようなサイト、SSLを使用する理由があるのはわかりますが、Facebookやredditなどのサイトが煩わしくなくても問題ありません（地獄、PlentyOfFishはパスワードをプレーンテキストで保存し、メールで送信することさえします）リマインダーとして毎週あなたに！？！）？ SSLが設定されていることをどの程度気にする必要がありますか（特に、共有ホストから始めて、かなり安く始められるため）。私のサイトは、それが役立つ場合、特に個人情報を保持しません。サイトが成功した場合、私は真剣に追加のセキュリティのために余分に支払うことを検討します。

11 https  security  authentication 

たとえば、サーバーの応答ヘッダーをダンプすると、次のようになります。 Server: Apache/2.2.11 (Ubuntu) PHP/5.2.6-3ubuntu4.5 with Suhosin-Patch mod_ssl/2.2.11 OpenSSL/0.9.8g これは何かに使用されますか？サーバー構成をブロードキャストするセキュリティリスク（小さいですが）ですか？

11 security  http-headers 

多くの共有ホスティングサーバーのセキュリティを担当しています。それらのほとんどはワードプレスのウェブサイトを持っています。各サーバーには、少なくとも500のWordPress Webサイトがあります。 私の経験では、WordPressの問題は弱いパスワードから始まります。Webサイトの管理者パスワードのほとんどは非常に脆弱であり、脆弱なパスワードのWebサイトを使用することは、さまざまな悪意のあるアクティビティに悪用され、使用されます。 今の私の計画は、WordPress Webサイトの脆弱なパスワードを見つけて、管理者パスワードを他の強力なパスワードに強制的に変更することです。そのため、WordPressを保護することができ、私のサーバーは問題になりません。 保存されているWordPressパスワードの強度を知る方法は何ですか？

10 web-hosting  wordpress  security  cms  password 

私のフォーラムは、中国のIPを持つスパマーに攻撃されています。 ディスカッショントピックに対する返信が作成され、常に短い応答が返されます。応答とともに、フォーラムコードを使用して画像が挿入され、フォーラムによってHTML画像タグ（アンカータグなし）に変更されます。 とても美しい画像[img] http://www.coupon-domain-goes-here.com/avatar2.jpg [/ img] 返信はボットではなく人間が作成したもので、ディスカッションとの関連性はわずかです。 画像は表示されないため、通常のフォーラムメンバーはこれがスパムであることを認識していません。それらが表示されない理由は、画像が302応答コードを返し、このようなURlにリダイレクトするためです。 http：// www.coupon-domain-goes-here .com / avatar.php？u = 2 次に、302を使用して、avatar.gifとも呼ばれる同じドメイン上の別の画像にリダイレクトします。 http：// www.coupon-domain-goes-here .com / images / avatar.gif 私の質問は、なぜ彼らはこれをしているのかということです。SEOのメリットはありますか？リンクは作成されていません。これは単なる画像であるため、PHPファイルである中央のURlは、検索エンジンからリンクジュースを取得するべきではありません。それとも私は間違っていますか？ どう思いますか？

10 security  forum  spam-prevention 

chmod 777 fileは、ファイルfileのアクセス権を読み取り、書き込み、実行をすべてに変更します。 さて、サーバー上のスクリプトを使用して、ファイルを任意の方法で操作できます。しかし、なぜこれは安全ではないのですか？ すでにそこにスクリプトがある場合は、それをアップロードした人がとにかくサーバーにアクセスできます...では、ここで何が問題なのでしょうか。

10 apache  security  server 

ログインなどの重要なページを保護するためのhttpsについて知っています。しかし、なぜ誰かもwwwsのような別のサブドメインを作成するのでしょうか？例えば https://wwws.site.com/login

10 web-development  security 

学校のフォルダのディレクトリにいくつかのプライベートファイルがありました。myschool.edu/myusername/myfolderに移動するとファイルが存在することがわかりますが、myschool.edu / myusername / myfolder / myfile.htmlを介してファイル自体にアクセスしようとすると、403エラーが返されます。 それでも、Googleはなんとかしてこれらのプライベートファイルのコンテンツを取得し、キャッシュに保存することができました。これはどのようにして可能ですか？[私はそれらのファイルを削除したので、Googleがこれをどうやって管理したのか興味があるだけです。]

10 web-crawlers  security  googlebot 

ここでクレジットカードの詳細の保存に関する非常に強力な推奨事項を読んだ後、疑問に思うことがあります。PCIに準拠していない会社がクレジットカードの詳細の保存を開始した場合はどうなりますか（そこに会社があることは100％確信しています）これを行う）。 たとえば、私がここで質問をしていなかったとして、私は前に偽って、顧客のクレジットカードの詳細を保存し、いくつかの基本的なAES暗号化を使用することに決めたとしましょう。それで？私たちがハッキングされないのであれば、誰かが尋ねるのですか？Visa、または私たちの商人は、これまでに私たちのサーバーを検査したいと思いますか？ PCI準拠のインフラストラクチャを使用しないとどうなりますか？ 免責事項：私はヒントを得る-これは悪い考えであり、私たちはそれをしませんが、私は好奇心旺盛です

10 security  pci-compliance 

今日、Google Search Consoleでウェブサイトにアラートが表示されます [マルウェアが検出されましたか？]リンクをクリックします。詳細が記載されたページを開きます。 ただし、「サンプルURL」のリストは空で、「すべてのサンプルをダウンロード」も空のドキュメントをダウンロードします。 何が起きましたか？誤検知のようです。ドキュメントから： 場合はGoogleのセーフブラウジングは、特定のバイナリ前に見ていない、Chromeはそれが稀にダウンロードされていることを警告することがあり、危険である可能性があります。このような場合、Googleセーフブラウジングが無害であることが確認されると、警告は自動的に解除されます。 サイトで一般的でないダウンロード警告が表示されている場合は、Search Consoleでレビューをリクエストすることもでき ます。 私のウェブサイトでユーザーがいくつかのソフトウェア（私が作成したもの）をダウンロードできます。前日、私は新しいリリースを展開しました。私はすべてのアンチウイルス（最も人気のあるもの）を確認しましたが、安全です。私のソフトウェアはすべて、優れた認証機関によって署名されています。 問題は、この問題をどのように修正できるかです。 更新 確認後、問題は消えるか修正されます。

9 seo  google  google-search-console  security 

個人サイトをChrome HSTSプリロードリストに登録したい。 そこのサイトは言う： HSTSプリロードリストに含まれるためには、サイトは次の条件を満たしている必要があります。 有効な証明書を持っている。 すべてのHTTPトラフィックをHTTPSにリダイレクトします-つまりHTTPSのみです。 HTTPS経由ですべてのサブドメインを提供します。 基本ドメインでHSTSヘッダーを提供します。 有効期限は少なくとも18週間（10886400秒）でなければなりません。includeSubdomainsトークンを指定する必要があります。プリロードトークンを指定する必要があります。リダイレクトを提供する場合、そのリダイレクトには、リダイレクト先のページではなく、HSTSヘッダーが必要です。 これは、私の証明書がすべてのサブドメインで有効でなければならないということですか、それともHTTPS経由で利用可能/提供されるということだけですか？（私はの証明書を持っていますsub.example.comが、ルートは持っていません。） 次のようなサブドメインを含むHSTSプリロードリストに適用できますsub.example.comか？

9 security  google-chrome  hsts 

誰もがこの謎を解くことができますか？ 招待されたユーザーのみが使用できるWebアプリケーションがあります。管理者がユーザーのアカウントを作成し、アプリケーションがそのユーザーにアクティベーションメールを送信します。メールには、アカウントをアクティブにしてパスワードを設定するためにクリックするリンクが含まれています。リンクには一意の参照が含まれており、一度リンクにアクセスすると、リンクは使用できなくなります。 メールを受け取ったとの報告が1人ありましたが、リンクをクリックすると、404エラーが発生しました。これは、リンクに既にアクセス済みであることを意味します。サーバーログを検索したところ、リンクをクリックしたと言う何時間も前に、固有のリンクに一致するリクエストが見つかりました。実際、リクエストはこのユーザーのアクティベーションメールが送信された直後に発生しましたが、ユーザーの受信トレイに到達する前に発生しました。リクエストのIPアドレス（70.39.157.192）のWHOISレコードは、それがPacket Exchangeに属する米国のサーバーであり、ユーザーが英国にあると述べています。 これがどのように起こるかについて誰かが何か考えを持っていますか？ある種の電子メールフィルタープログラムが、Web経由でルーティングされている間に電子メールメッセージのリンクにアクセスする可能性はありますか？それとももっと不吉なことでしょうか？ これはこの1人のユーザーでのみ発生し、他の多くのユーザーは問題なくアカウントをアクティブ化しています。 メールがMailGun経由で送信されます。

8 email  security 

スパムボットにハニーポットトラップを使用して、フォーラムでコメントスパムを防止する方法に本当に興味があります。 ブラウザでCSSとJavaScriptがオフになっている場合はどうなりますか？ ハニーポットトラップの他の欠点はありますか？ すべてのハニーポットトラップに何があると思いますか？ ユーザーエクスペリエンスを妨げない、他のスパム対策の代替案を知っていますか。

8 security  spam  spam-prevention  honeypots 

そのため、最近、2つのステップのログインプロセスに遭遇しました。1つのページでユーザー名を入力し、2番目のページでパスワードを入力する必要があります。ログインするためだけに追加のページをロードする必要があるため、私はこのパターンが本当に好きではありません。 しかし、私はそれがより安全であると数人の人々から言われました。それはどのように安全ですか？これでユーザーを不便にする他の理由はありますか？

8 security  authentication