問題タブ [password-protection]

VBAコードをロックしてパスワードで保護する標準的な方法には簡単な回避策があることがわかったので、コードを保護するより効果的な方法に移りたいと思います。私はExcelベースのツールをクライアントに提供する予定ですが、最も怠惰なハッカーを阻止するだけの単純な迷惑タイプの保護以上のものが必要です。

Excel-VBAにオプションはありますか、それとも別のアプリケーションをコンパイルしてExcelベースのインターフェイスを忘れる必要がありますか？

GmailのCookieを見ると、「rememberme」Cookieに何が保存されているかを簡単に確認できます。ユーザー名/1回限りのアクセストークン。ユーザー名がシークレットの場合も、別の方法で実装できます。しかし、何であれ...セキュリティはそれほど高くありません。Cookieを盗むと、準備が整います。

ただし、私の質問は機能面です。アクセストークンはいつワイプしますか？ユーザーが別のマシンで[覚えている]をクリックせずにログインした場合、すべてのマシンでアクセストークンを無効にする必要がありますか？これが伝統的にどのように実装されているのか、またどのように実装されるべきかについて質問しています。

これは私の誤解かもしれませんが、簡単な答えを見つけたいと思います。

私は自分用に Web サーバーを実行しています。多くの理由の中で、自宅のネットワークを参照するためのドメイン名を持っているからです。

MS 慈善ライセンスを取得したおかげで、Sever 2008 Enterprise を展開しました。以前にセットアップした XP 上の IIS 5 よりもはるかに優れています。

私はまだ AD グループとユーザーをいじっていますが、今はこのボックスの Web 側にあるいくつかのフォルダーをパスワードで保護したいだけです。

domain.com にアクセスするとしますが、問題ありません。私はそこにパブリックアクセスが欲しいのですが、それはうまくいきます。しかし、domain.com/private にアクセスすると、ユーザー/パス ボックスが表示されます。以前は、.htaccess/.htpasswd ファイルを使用する IISPassword という安価なプログラムを使用して、これを実現していました。

IIS7 の機能について調べているうちに、ダイジェスト認証に興味を持つようになりました。基本認証ではパスワードがクリア テキストで送信されることを知っていたので、これがはるかに優れたオプションであると判断しました。

/private フォルダーにアクセス許可を設定して、他のすべての方法 ( anon、basic ) を無効にし、IIS MMC でダイジェストのみを有効にしました。NTFS レベルでフォルダーのアクセス許可を変更していません (ドメイン グループのみで、IUSR にはエントリがありません)。ページを表示したときに得られる応答は、エラー 500 だけです。

私はまだこのレベルの管理に慣れていないことを認めます。このレベルの保護を有効にするために得られる助けをいただければ幸いです。AD 認証を使用しても問題ありませんが、「資格情報のプロンプトではなく 500 が表示されるのはなぜですか?」

ありがとう！ジョン

開発中のサイトに安全なログインを作成しようとしています。

PHPでMySQLデータベースを使用しています。

ユーザーとその情報をデータベースに追加するフォームを作成できますが、ログインで機能させることができないようです。

HTML で使用される暗号化の種類は何<input type="password">ですか?

ユーザーがサイトにアクセスしている間、ログイン状態を維持するにはどうすればよいですか?

ユーザー名と一致する正しいパスワードかどうかを安全に確認するにはどうすればよいですか?

私はおそらく1年ほどPHPをやっていますが、この部分をまだ学んでいないので、知っておくといいでしょう.

Word や Excel などの MS Office アプリケーションで使用する COM アドインがあります。その COM アドインは、使用する API をほとんど公開していません。これをカスタマイズに使用します。

問題は - すべてのユーザーが API にアクセスでき、それがセキュリティ上の問題を引き起こしていることです。VBA エディターへのアクセス権を少数の人々にのみ付与したいと考えています。

他のマクロとアドインを使用したいので、VBA を無効にせずに VBA エディタを無効にする方法はありますか。

前もって感謝します！

PS - ツールバーから「開発者」タブを非表示にしようとしましたが、ショートカット (ALT-F11) を知っている人なら誰でも使用できます。

状況1-サーバーをデータベースに接続する：
パスワードはプレーンテキストで保存するべきではないと常に言われていますが、mysqlデータベースに接続するにはパスワードが必要です、プレーンテキストではそうです...私はこれは、暗号化された形式で保存し、必要に応じてアプリで復号化してから、メモリから消去することです（WindowsのSecureZeroMemoryは、コンパイラが最適化できないと思います）。

状況2-ユーザーがリモートコンピューターからサーバーにログインする：
ユーザーのパスワードに関しては、私の計画では、元のパスワードを実際に保存することはまったくありません。代わりに、ランダムに生成された「ソルト」を保存します。ユーザーごとに、パスワードのプレフィックスを付けてからハッシュします。これは比較的一般的な方法のようです。ただし、現時点ではSSL接続を利用できないため、プレーンテキストのパスワードが傍受される可能性があると思います。これに対する適切な解決策は何ですか。

これを行うための優れたアルゴリズム（C / C ++実装へのリンクがあれば便利です）は何ですか？ネットで見ると何百ものアルゴリズムがありますか？

編集：
SSLを取得した場合、以下は安全ですか（強力なハッシュアルゴリズムが使用されていると仮定）、または別の方法を使用する必要がありますか？

1. クライアントがユーザー名のソルトを要求する
2. クライアントはパスワードの前にsaltを付け、ハッシュをサーバーに送信する前にハッシュします
3. サーバーは、受信したハッシュをそのユーザー名についてサーバー上のハッシュと比較します

私は私たちのウェブサイトのウォークアップ作成アカウントページを作成しています。2つのパスワードが一致し、有効であっても、ユーザーがフォームを送信した後、パラノイアから入力されたtype="password"のデフォルト値=""を常にクリアしました。私たちのデザイナーが私にそれをすることに本当の意味があるかどうか尋ねた後、私はこれについて考え始めました。パスワードが問題のある検証の失敗でない場合は、送信後にvalue = ""フィールドにパスワードを確実にエコーできますが、このアプローチに関連する脆弱性はありますか？この特定のページでは、デフォルトでhttpsになっています。マスクされていない入力にエコーするように入力タイプを変更するためにhtmlの書き換えを行うことができることは知っていますが、それはローカルでのみユーザーに影響を与える可能性があるようです。

フォームの例：

送信時に、ユーザー名が適切な電子メールのように見え、パスワードが一致し、パスワードが最小要件を満たしているかどうかを確認します。メールに問題があるのにパスワードに問題がない場合は、追加できますか...

...そして心配しないでください？いいえ、レジスタグローバルは使用していません。それらを$_POSTから手動で引き出し、最初にサニタイズを行います。

ジョシュ

標準入力からパスワードを読み取る必要がありstd::cin、ユーザーが入力した文字をエコーし​​たくない...

std :: cinからのエコーを無効にするにはどうすればよいですか？

これが私が現在使用しているコードです：

私はこれを行うためのOSにとらわれない方法を探しています。 ここでは、Windowsと*nixの両方でこれを行う方法があります。

Web サイト全体をパスワードで保護しています.htaccessが、サブディレクトリの 1 つを公開して、パスワードなしで表示できるようにしたいと考えています。

サブディレクトリの htaccess パスワード保護を無効にするにはどうすればよいですか? 具体的には、.htaccess構文は何ですか。

.htaccessこれが私のftpのルートに置かれた私のファイルです。