問題タブ [security]

ベスト プラクティスでは、Sql Server をインストールして SYSTEM として実行しないことをお勧めします。作成したユーザー アカウントに与える必要がある最低限の条件は何ですか?

今朝、 RhinoMocksをいじっていましたが、RhinoMocks.dllが「信頼できる場所」になかったため、テストを実行できませんでした。アセンブリは、c：\ document and settings \\ My Documents \ Visual Studio 2008 \ Projects（など）フォルダーにあります。どうしたんだ？

多くのクレジット カード情報を格納するデータベースは、完成したばかりのシステムに不可欠な部分です。私が望んでいるのは、カード番号の究極のセキュリティであり、暗号化と復号化のメカニズムをセットアップしますが、特定の番号を復号化することはできません.

私が求めているのは、この情報をデータベース レベルで保護して、誰もカード番号のファイルを作成できないようにする方法です。他の人はこの問題をどのように克服しましたか? これに対する「標準」アプローチとは何ですか?

データの使用に関しては、リンクはすべて非公開で安全であり、レコードが作成されて暗号化される場合を除いてカード番号の送信は行われないため、バックエンドだけでフロントエンドについて心配する必要はありません.

データベースは ORACLE なので、PL/SQL と Java で遊ぶことができます。

消しゴムなどの消しゴムプログラムでは、データを36回上書きすることをお勧めします。

私が理解しているように、すべてのデータは1または0としてハードドライブに保存されます。

ランダムな1と0の上書きがファイル全体で一度実行された場合、元のファイルのすべてのトレースを削除するのに十分ではないのはなぜですか？

次の例のように、ユーザー入力を変更せずにSQLクエリに挿入すると、アプリケーションはSQLインジェクションに対して脆弱になります。

これは、ユーザーがのようなものを入力できvalue'); DROP TABLE table;--、クエリが次のようになるためです。

これを防ぐために何ができるでしょうか？

データベースにアクセスできる従業員がアカウントにアクセスできるようにすることなく、システムでユーザーアカウント管理を処理する最良の方法は何ですか?

例:

1. ユーザー名/パスワードをデータベースに保存します。データベースにアクセスできる人なら誰でもユーザー名とパスワードを見ることができるため、これは悪い考えです。したがって、それを使用します。

2. ユーザー名/パスワードのハッシュを保存します。これはより良い方法ですが、データベース内のパスワード ハッシュを、認証情報を知っている別のアカウントのハッシュに置き換えることで、アカウントにアクセスできます。次に、アクセスが許可された後、データベースに戻します。

Windows/* nix はこれをどのように処理しますか?

これはこの質問に関連しており、答えはおそらく同じですが、とにかく尋ねます。

.NET 3.5 SP1 からネットワークからマネージ実行可能ファイルを開始できることは理解していますが、実行可能ファイル内からロードされたアセンブリはどうなりますか? 同じことが当てはまりますか？

共有 Web ホストで NHibernate ベースのプロジェクトを立ち上げて実行できた人はいますか?

NHibernate は舞台裏でリフレクションを使って多くの凝った処理を行っていますが、現在私が使用しているホストでは、アプリケーションを中程度の信頼でしか実行できず、リフレクションでできることが制限されており、あらゆる種類のセキュリティがスローされています。許可エラー。これは、マッピング ファイルでパブリック プロパティのみを使用している場合でも当てはまりますが、いくつかのクラスはプロキシとして定義されています。

NHibernate を問題なく実行できる適切な (そして手頃な価格の) Web ホスティングを提供している会社は?

更新：これらの回答から（そして私の実験-申し訳ありませんがAyendeですが、リンク先の記事を読んだ後でもWebホストで動作させることはできません）、ホスティングプロバイダーを賢く選択して買い物をすることです。 . WebHost4Life はこの点でかなり優れているようです。ただし、1and1 で Windows 共有ホスティングで NHibernate を試した人はいますか? 私はすでに Linux アカウントを持っており、その面ではかなり満足しています。NHibernate を Windows とシームレスに動作させることができれば、おそらくそのまま使い続けるでしょう。

ログオンが必要で機密情報を表示する Web サイトがあります。

ユーザーはそのページにアクセスし、ログインするよう求められ、情報を確認できます。

ユーザーはサイトからログアウトし、ログイン ページにリダイレクトされます。

次に、「戻る」をクリックして、機密情報が含まれているページにすぐに戻ることができます。ブラウザはそれをレンダリングされた HTML と見なすだけなので、問題なく表示されます。

その人がログアウトした画面から「戻る」ボタンを押したときに、その情報が表示されないようにする方法はありますか? 戻るボタン自体を無効にしようとしているわけではありません。その人がサイトにログインしていないため、機密情報が再び表示されないようにしているだけです。

議論のために、上記のサイト/シナリオはフォーム認証を使用した ASP.NET です (したがって、ユーザーが目的のページである最初のページに移動すると、ログオン ページにリダイレクトされます。違い）。

特定のユーザーによって発行されたすべてのトランザクションに nolock ヒントを強制する方法を知っている人はいますか? サポート チームが本番システムにクエリを実行するためのログインを提供したいのですが、サポート チームが行うすべてのことに対して強制的にロックを解除して保護したいと考えています。SQL Server 2005 を使用しています。