Новый сертификат «Symantec Class 3 EV SSL CA – G3». Клиент имеет CentOS. Контроль над сервером отсутствует, он сторонний. Когда адрес https WDSL загружается в Firefox и Chrome, оба браузера показывают «Безопасное соединение», без проблем. Адрес WSDL: https://palena.sii.cl/DTEWS/CrSeed.jws?WSDL Тестовый код: $success = false; $attempts = 0; while (($success === false) && ($attempts < 10)) { […]
Я пытаюсь защитить пароль пользователя, но я заметил, что информация о заголовке, отправляемая при отправке формы, видна всем. Безопасен ли он или есть способ защитить его? Я знаю, как добавить md5 в пароль в JS, но MD5 больше не защищен, и я не могу добавить соль с JS, потому что каждый может узнать, что такое […]
У нашего приложения для Android есть только вход в facebook . Вот что происходит на сервере: Пользователь создается, когда запрос POST отправляется с использованием токена доступа пользователя facebook в теле. Всякий раз, когда пользователь создается по запросу POST, токен api генерируется и отправляется в виде ответа следующим образом: {"message":"User Successfully Created","api_token":"ACITyBKf0jKrfqOFumTMcaEEJ8jU151crRdESMPmBj8zbeENslULHfNXlKeo"} Я сделал это, потому […]
Перед загрузкой на сервер мне нужно проверить содержимое zip / rar-файла. Позвольте мне объяснить сценарий. В моем веб-проекте есть 2 типа пользователей: 1: Обычный Зарегистрированный пользователь 2: Администратор проекта Любой зарегистрированный пользователь может создавать страницы в нашем проекте, а также создавать Themes для страниц. Здесь один из нас предложил функцию, которая загружает Theme как пакет […]
Мне было интересно, я создал php-плагин для wordpress, который спрашивает как хранилище изображений. Если вы входите в систему, вы увидите файлы, которые были назначены. Затем вы нажимаете кнопку «Загрузить», и она загружает их. Проблема в том, что если вы знаете URL-адрес, вы можете загрузить изображение независимо. Как я могу легко запретить пользователям загружать изображение, если […]
Я пытаюсь обновить / поддерживать старый веб-сайт, который был первоначально написан в классическом ASP / VBScript, а позже добавлены PHP-страницы. Я бы хотел настроить его так, чтобы PHP обрабатывал логин, но тогда это состояние входа в систему может быть разделено между PHP и ASP / VBScript. Обратите внимание, что страницы и языки довольно смешаны – […]
Что было бы более целесообразным с точки зрения безопасности? В случае file_get_contents (), если возникнет какая-либо ошибка, он отображает URL-адрес, вызываемый в ошибке msg, который может быть уязвимым.
phpass – широко используемая хэш-система. Оценивая phpass ' HashPassword я наткнулся на этот фрагмент нечетного метода. function HashPassword($password) { // <snip> trying to generate a hash… # Returning '*' on error is safe here, but would _not_ be safe # in a crypt(3)-like function used _both_ for generating new # hashes and for validating passwords […]
Я хотел бы знать, потребует ли следующая часть кода какой-либо дополнительной безопасности в отношении инъекций SQL или нет? $ this-> db-> insert ('users', $ insert_data_array); Обозреватель Code Igniter говорит, что «Примечание. Все значения автоматически экранируются, создавая более безопасные запросы». Пожалуйста, удалите мои сомнения.
Я использую классическую защиту хэширования для пользовательских паролей. Представленный пароль при входе в систему солен, хэширован, а затем сравнивается с уже сохраненным хэшем в базе данных. Но вместо того, чтобы использовать вызов функции PHP, чтобы сравнить теперь хешированный пользовательский ввод и сохраненный хеш, сравнение выполняется в базе данных – точнее, используя предложение WHERE (ПРИМЕЧАНИЕ: соль […]