問題タブ [security]

Ruby on Railsアプリケーション内のdatabase.ymlは、データベースのクレデンシャルを格納するプレーンテキストファイルです。

Railsアプリケーションをデプロイすると、Capistranoレシピにデプロイ後のコールバックがあり、アプリケーションの/configディレクトリ内にdatabase.ymlファイルへのシンボリックリンクが作成されます。ファイル自体は、標準のCapistrano/releasesディレクトリ構造の外側にある別のディレクトリに保存されます。ファイルをchmod400するので、ファイルを作成したユーザーだけが読み取ることができます。

• これはそれをロックするのに十分ですか？そうでない場合は、他に何をしますか？
• database.ymlファイルを暗号化している人はいますか？

C＃Webサービスでsoap通信を暗号化する簡単な方法を探しています。

WSE 3.0を調べていましたが、Microsoftがサポートを終了したようで、使用するのは簡単ではありません。
WCFはオプションだったようですが、私は.NET2.0からアップグレードしたくないと思っています。

シンプルでわかりやすい暗号化方法はありますか？

通常、大規模なネットワークでは、コンピューターは認証されたプロキシの背後で動作する必要があります。外部への接続には、ユーザーがメールやワークステーションなどにログインするために使用するパスワードであるユーザー名/パスワードが必要です。

これは、ネットワークパスワードをファイルに入れる必要があることを意味し、apt.conf通常はhttp_proxy, ftp_proxyhttps_proxy~/.profile

これで設定できることはわかってapt.confいますがchmod 600（Ubuntu / Debianではデフォルトでは設定されていません！）、私たちのシステムにはルート権限が必要な人がいます。

また、root アクセス権を持つ人からパスワードを保護することは技術的に不可能であることも認識していますが、偶発的な発見を防ぐためにパスワードを隠す方法があるかどうか疑問に思っていました. Windows はユーザーを管理者として操作しますが、何らかの方法でネットワーク パスワードを保存します (おそらく何らかの方法でレジストリの奥深くに保存されます)。

先日、システム間で構成ファイルを比較しているときに、この方法で他の誰かのパスワードをまったく偶然発見したので、私は尋ねるだけです。

@monjardin - 残念ながら、このネットワークでは公開鍵認証は代替手段ではありません。さらに、ほとんどのコマンドライン ツールでサポートされているとは思えません。

@Neall-他のユーザーがWebにアクセスしてもかまいません。彼らは私の資格情報を使用してWebにアクセスできます。プレーンテキストでパスワードに遭遇したくないだけです。

どのコンピュータからでも自分のサイトにアクセスすると、次の警告が表示されます。

「この Web サイトは次のアドオンを実行しようとしています: 'Microsoft Data Access - Remote Data Services Dat...' from 'Microsoft Corporation'.Web サイトとアドオンを信頼し、実行を許可する場合、 ここをクリック..."

これはウイルスか何かだと思います。これを自分のサイトから削除する方法を知りたいです。

ドメインがそれを指しているIPアドレスに新しいサーバーを配置しました。リモート管理できるようにする必要があります。リモート デスクトップと HTTP トラフィック用にファイアウォールを開きました。これで十分安全になるでしょうか？おそらく管理者ユーザーの名前を変更する必要があると思います...

私はいくつかのファンキーな認証作業を行っています（そして、はい、私は知っています、open-idは素晴らしいですが、それでも私のopen-idは現時点では正しく機能しません！）。

Windows CardSpaceに出くわしたのですが、実際の製品システムでこれを使用した人はいないかと思いました。あなたがそれを使用したことがあるなら、あなたにとっての賛否両論は何でしたか？また、open-idでどのように使用できますか？

2 台のマシンでサーバーとクライアントを使用して DCOM アプリケーションで作業しています。どちらも Service Pack 2 で WinXP を実行しています。両方のマシンで、同じユーザー名とパスワードでログインしています。

一方のマシンのクライアントが CoCreateInstanceEx を呼び出して、もう一方のマシンにサーバー アプリケーションを起動するように要求すると、E_ACCESSDENIED が返されます。

dcomcnfg でサーバー アプリのコンポーネント プロパティにアクセスして、全員にすべての権限を付与しようとしましたが、効果がありませんでした。

この呼び出しを成功させるにはどうすればよいですか?

更新:サーバー アプリが Windows 2000 ボックスで実行されている場合、このエラーは発生しません。CoCreateInstanceEx は S_OK を返します。

ユーザーが ASP ページを使用して写真をアップロードするために使用する Web サーバーにフォルダーがあります。

IUSR にフォルダーへの書き込みアクセス許可を与えるのは安全ですか? 何か他のものを確保する必要がありますか? ハッカーが ASP ページを迂回してコンテンツをフォルダに直接アップロードするのではないかと心配しています。

Windows 2003 Server で ASP クラシックと IIS6 を使用しています。アップロードは FTP ではなく HTTP 経由です。

編集：明確にするために質問を変更し、回答をコメントとして変更します。

具体的には、これは、クライアント セッション Cookie を使用してサーバー上のセッションを識別する場合に関するものです。

Web サイト全体に SSL/HTTPS 暗号化を使用するのが最善の答えであり、中間者攻撃が既存のクライアント セッション Cookie を盗聴できないという最善の保証がありますか?

そして、セッション Cookie に保存されているセッション値自体にある種の暗号化を使用するのがおそらく 2 番目に良いでしょうか?

悪意のあるユーザーがマシンに物理的にアクセスした場合でも、ファイルシステムを調べて有効なセッション Cookie を取得し、それを使用してセッションをハイジャックできますか?

Web プログラミングに関して言えば、私はまだかなり環境に優しく、ほとんどの時間をクライアント アプリケーションに費やしてきました。だから私は自分のサイトで恐れる/テストする必要がある一般的なエクスプロイトに興味があります.