問題タブ [password-protection]

最初に、この質問で問題を報告しました。

さて、私が気付いたのは、パスワードを受け入れるブラウザーと受け入れないブラウザーがあることです。違い？何らかの理由で、アドミニストレーション モジュールにログインすると Cookie が生成されますが、ページにアクセスするためのパスワードを書き留めたときではなく、単純にリロードする必要があります。

ログイン用に作成された Cookie は確認できますが、パスワードで保護されたページには何も表示されません。

これらは、バージョン 7 と 8 の両方の Internet Explorer で発生します。ただし、一部のマシンでのみですが、ほとんどのマシンはこれに失敗します。私はすでに URL をホワイトリストに登録しようとしましたが、すべての Cookie を受け入れるようにしましたが、役に立ちませんでした。

原因は何ですか？おそらく上記の質問と関係がある場合は、私を助けてください!

前もって感謝します。

PS: 簡単な認証を行うための、Cookie を使用しない別の方法を知っている場合は、リンクを張ってください。ありがとう。ところで、これは静的なクラス C IP を持つイントラネット内にあります。

多くの外部システム API と対話するシステムに取り組んでいます。それらのほとんどは、何らかの認証を必要とします。使いやすさのために、構成情報と外部システムの資格情報を格納する「アプリケーション全体で到達可能な」AppConfig があります。

私の質問は、ユーザー名とパスワードを (平文で) 外部システムのアプリケーション構成ファイルに保存するのは悪い考えかということです。もしそうなら、どうやってそれを避けますか？

構成ファイルにアクセスするには、サーバーのファイル システムを侵害するか、別のサーバー (またはもちろん開発者のシステム) の git リポジトリを侵害する必要があります。暗号化キーもどこかに保存する必要があるため、構成ファイルでパスワードを暗号化してもセキュリティレベルは向上しないと考えています。私はこれについて間違っていますか？

この問題をどのように解決したかを説明する回答をいただければ幸いです。

解決

わかりましたので、これが私の最終的な解決策です。OpenSSL を使用して機密データを暗号化および復号化する単純なライブラリを作成しました。キーは、構成が読み込まれるときにユーザーから取得されます。ただし、キーがファイルに格納されている運用サーバーは除きます。それはまだ最適な解決策ではありませんが、私が以前に持っていた「解決策」よりもはるかに優れています.

回答ありがとうございます。それが最も有益だったので、ウェインの答えを受け入れます。

ご挨拶！

作業中のアプリケーションでコンパクトなデータベースを展開する必要があります。データベースは、アプリが既に認識したデータのキャッシュとして機能し、そのデータは決して変更されないため、キャッシュされた値が古くなることはありません。私は SQLite を選び、C# で書いています。

データベース ファイルを保護して、ユーザーが簡単にアクセスしたり編集したりできないようにしたいと考えています。アプリケーションへのアクセスのみを維持します。ここで、1 つのオプションはパスワード保護を使用することです。ただし、Reflector のようなツールを使用すると、ソースの元のバージョンに近いものを簡単に表示し、パスワードやファイルごとのパスワードの生成方法を確認して、これを複製することができます。

この結果またはそれに近いものを達成する方法について何か提案はありますか? 人々は過去にこのようなことをしたことがありますか？

ありがとう！

FlashCS4とAS3.0を使用しています

フラッシュムービーを実行するためのログインを追加しようとしています。ユーザーがログインボタンをクリックすると、パスワードフィールドのテキストが認証されます。これにより、が許可されますgotoAndPlay(2)。

しかし、問題は私.swfと私のプロジェクターの両方にあり、 +.exeを押すことでログインフレームを簡単にジャンプできます。CtrlEnter

現在、一般公開を目指しているゲームコミュニティサイトを作成中です。現在、私はパスワードとログインに取り組んでいます。以前はMD5しか使用していませんでしたが、パスワードの安全性について読んだことがあり、現在はソルティングが道のりだと聞いています。

これが私の計画です。すべてのユーザーは、usersテーブルに格納された12個のランダムな文字（＃/¤＆など）の独自のソルトを持っています。ソルトは、登録時にパスワードとともに（SHA-256を使用して）ハッシュされ、ログイン時に再ハッシュされます。

これはあなたにとってどのように聞こえますか？改善できることはありますか？SHA-512ともっと長い塩を使うべきですか、それともこれで十分ですか？

パスワードで保護したいCakePHPアプリケーションがあります。注意が必要なのは、特定のアドレス (CakePHP コントローラーの機能) を除いて、すべてのファイル/場所にパスワードを使用してのみアクセスできるようにすることです。

アドレスは次のようになります。

http://example.com/MyApp/MyController/MyFunction?MyParam=MyValue

他のすべての場所は、パスワードでのみアクセスできる必要があります

http://example.com/MyApp/MyController/MyOtherFunction
http://example.com/MyApp/MyController/MyOtherFunction
http://example.com/MyApp/MyOtherController/MyOtherFunction

最初に root .htaccess-File で試してみましたが、CakePHP の全体的な書き直しが非常に難しく、.htaccess-Files では<LocationMatch>ディレクティブが許可されていません。だから私はそれを試してみました<FilesMatch>が、実際のファイルは常に同じです: index.php. mod_rewrite はすべてのアドレスを

http://example.com/MyApp/app/webroot/index.php?url= $1

次のステップでは、apache-configuration で試し、このセクションを配置しました。

正規表現は一致しましたが、方法が間違っていました。MyFunction を保護しますが、残りは保護しません。

JavaScript を使用してホームページを認証する方法はありますか? 私はいくつかの方法を知っていますが、ユーザー名とパスワードがスクリプト自体に配列として保存されているため、「ハッキング」するのは非常に簡単です。

1つか2つのサブページだけを認証する良い方法を知っていますか?

私は Google Chrome のドキュメントを読み始め、HTML と Javascript を使用して拡張機能を作成するアプローチが気に入りました。ローカル ストレージに関するこのチュートリアルを読んで、さまざまな用途について考えるようになりました。

企業システムに役立つ拡張機能を開発したいと考えています。これは非常に具体的で、社内でのみ使用されます。

この拡張機能は、JavaScript DOM を使用して、Google の Chrome ツールバーを 1 回クリックするだけで、この企業システムに対していくつかのアクティビティを実行します。ワンクリックで作業するには、拡張機能が Chrome にパスワードを保存する必要があります。そのため、システムを再起動してもパスワードを再度入力する必要はありません。

それ、どうやったら出来るの？別のシステムにログインするために、Google Chrome 拡張機能でパスワードを保持しますか? 「プレーンテキスト」で保存したくありません。少なくとも何らかの暗号化を使用したいと思います（おそらく、このリソースを使用したGoogle Chrome API）。

出来ますか？このデータを Google Chrome の拡張構造で保持するにはどうすればよいですか (最善の方法)?

パスワード取得トークンを作成する際のソルトとして使用されるサイト全体のハッシュを作成したいと思います。私はこれを行うための最良の方法の感覚を得ようとしてstackoverflowの周りを跳ね回っています。

リセットプロセスは次のとおりです。

ユーザーがパスワードのリセットメールをリクエストすると、コードは取得トークンを生成します。

* $ reset_hashは、phpass HashPassword（）関数を使用して作成されたハッシュであり、ユーザーテーブルに保存されます。

次に、URLでトークンをユーザーの電子メールアドレスに送信します。トークンが1時間でタイムアウトする前にクリックします。私は彼らの提出物を、サーバー側で生成されたチャレンジトークンと照合します。一致する場合は、新しいパスワードを選択してからログインする必要があります。

$site_keyを生成する最良の方法を知りたいです。乱数がシードされた別のHMACハッシュを使用することを考えています。

これにより、次のようなものが生成されます。

これは、この目的に使用するのに適したランダムですか？私はこれを複雑にしすぎていますか、それとも間違った方法でアプローチしていますか？

私はこの答えによってHMACを使用するように促されました

編集：私は同僚の何人かによって促された「秘密の質問」のステップを避けようとしているので、パスワードをリセットするための単一のステップを提供するリセットリンクが欲しいです。したがって、私の懸念は、このプロセスが機密情報を含むシステムを保護するのに十分安全であるということです。

解決済み、今のところ：TheRookがリセットトークンとして説明しているように、ナンスを使用します。コメントとフィードバックをありがとうございました。

誰かがこれを行う方法について何かアイデアがありますか？プラグインを1つ見つけましたが、機能しません。私は基本的にWordpressをCMSとして使用していますが、1つの「ページ」をプライベートとパスワードで保護したいだけです。つまり、ページを表示するにはパスワードが必要で、メニューに表示されません。