問題タブ [password-protection]

MVC アプリケーションを保護するための一般的に知られているプラ​​クティスを次に示します。

• 出力をエンコードする
• SQL をパラメータ化する
• 検索を前後にテストします
• 一方向ハッシュ パスワード
• アカウントをロックアウトするか、ログイン試行を制限する
• ファイル システムへのアクセス時にコード ベースの偽装を使用する
• ロックダウンされたユーザー名で SQL にアクセスする
• ボットに対抗するためのフォーム送信にハニーポットまたはキャプチャを使用する

私が見逃したものや誤って述べたものがある場合は、お気軽に貢献してください。

独自のソフトウェアのペン テストを行うときに、他にどのような手法やベスト プラクティスを使用または検討しますか。アプリケーションを公開する前に「タイヤを蹴る」ために何をしますか。

使用している場合、どの侵入テスト サービスまたはソフトウェアを使用していますか?

Lighttpdの特定のパターンに一致するURLをパスワードで保護する便利な方法はありますか？

正規表現を一致させることを考えましたが、他のクリエイティブなソリューションがあればいいでしょう。

注：保護したいURLが特定のディレクトリ構造に限定されていないため、ディレクトリをパスワードで保護する方法を探していません。

アダム

ログインシステムにsaltを実装したいのですが、これがどのように機能するかについて少し混乱しています。その背後にある論理が理解できません。md5は一方向のアルゴリズムであり、私が遭遇したすべての関数はすべてを一緒にハッシュしているように見えることを理解しています。この場合、比較のためにパスワードを元に戻すにはどうすればよいですか？私の最大の質問は、単にパスワードをハッシュするよりも、ユーザーのパスワードをソルトする方が安全なのかということです。データベースが危険にさらされた場合、ソルトとともにハッシュがデータベースにあります。ハッカーが必要とするのはこれだけではありませんか？

私はまた、別の開発者が言ったSOに関する別の投稿を見つけました：

「ソルトとアルゴリズムがデータベースとは別に保存されていることを確認してください」

ソルトをデータベースに保存したいのですが。私がそうするなら、これは本当に問題ですか？

これがどのように機能するか、またベストプラクティスが何であるかを理解するための助けを探しています。どんな助けでも大歓迎です。

編集：私は皆の反応とアイデアに感謝したいと思います。今はもっと混乱しているかもしれませんが、それは確かに私にとって学習体験でした。みんなありがとう。

私のrubyスクリプトでは、ユーザー名と

• ログインするためのフォームのプレーンテキストとしてのパスワード。現在、ユーザー名とパスワードの両方がスクリプトに保存されています。

• スクリプトからログインするサーバーを制御できません。スクリプトはローカルで正常に機能しており、将来的には自分のスクリプトに移動したいと思います

• ウェブホスティングプロバイダーとそこから実行します（私はsshアクセスがあります）

• cronを使用します。方法/方法はありますか

• 万が一誰かがこのスクリプトにアクセスした場合に備えて、パスワードを保護しますか？

権限ベースのサイトを構築しています。ユーザーは、ファイルだけでなくページのパブリックへの読み取り権限を追加または削除できます。

phpを使用して保護されたファイルを提供するための最良の方法は何ですか？www.mysite.com/download?file=filename.jpgなどを見たことがありますが、クリーンなパスを好みます。

また、ファイルがパスワードで保護されていない場合は、phpをバイパスして、Apacheに直接提供させる必要がありますか？

ここで両方に最適な方法を探しています。

.htaccess および .htpasswd ファイルを使用してパスワードで保護されたサイトがあります。ユーザーが特定のドメインから来た場合にのみ、ログイン プロンプトをバイパスできるようにしたいと考えています。リンクのパラメーターとして .htaccess 資格情報を何らかの形で埋め込むことで、これを行うことができますか?

ホワイトリストに登録したいドメインを管理していますが、.htaccess ファイルが処理するリンクに GET パラメータを渡すにはどうすればよいですか?

これがweb.configです。

Visual Studio 2008開発サーバーでこれを実行すると、正常に実行され、正常に動作します。IISに公開すると、サイトの任意のページにアクセスしようとすると、常にHttp403Forbiddenエラーが発生します。

私のサイト内に「管理」と呼ばれるログイン保護されるべきフォルダが1つあります

誰かが私が間違っているところを指摘できますか？私は非常にイライラしています：0）

ありがとう！

忘れたパスワード/パスワードのリセットを処理するための最も安全な方法は何ですか？パスワードをユーザーに電子メールで送信する必要がありますか？もしそうなら、あなたは彼らにそれをリセットするように強制しますか？または、（電子メールを送信せずに）すぐにリセットし、それが彼らであることを確認するために他の情報を必要としますか？それとももっと良い方法がありますか？

I have a potential client that set up their website and membership system in ASP.NET 3.5. When their developer set up the system, it seems he turned off the security/hashing aspect of password storage and everything is stored in the clear.

Is there a process to reinstall/change the secure password storage of ASP.NET membership without changing all of the passwords in the database? The client is worried that they'll lose their customers if they all have to go through a massive password change.

I've always installed with security on by default, thus I don't know the effect of a switchover. Is there a way to convert the entire system to a secure password system without major effects on the users?

PDFドキュメントの作成にhtml2fpdfを使用しています。これを作成したら、PDF ファイルがパスワードで保護されていることを確認したいと思います。これはPHPでどのように行うことができますか?