問題タブ [security]

私は、DCOM を使用して本質的に複数のピア間で通信するアプリケーションに取り組んでいます。通常の使用では、別々のマシン上のインスタンスがさまざまなオブジェクトを相互に提供します。歴史的に、これが機能するために、いくつかの魔法の呪文を使用してきました。その主なものは、ユーザーがすべてのマシンで同じ名前のアカウントにログインする必要があることです (これらはローカル アカウントであり、利用可能なドメインがないことに注意してください)。明らかに、これは改善できるユーザー エクスペリエンスの側面です。

DCOM認証がどのように機能するかをよりよく理解したいのですが、CoInitializeSecurity()、CoSetProxyBlanket()などのMSDNドキュメントから全体を組み立てるのは困難です。DCOM 操作がどのように受け入れられるか、または拒否されるかについての完全な説明はありますか? 書籍、雑誌、WEB、どんなフォーマットでも構いません。

私は SharePoint アプリケーションを持っていますが、悲しいことに、SharePoint に惹きつけられた興奮のあまり、もっと注意を払うべきだった多くのセキュリティ上の懸念を無視してしまいました。以前はそうではありませんでしたが、今ではきめ細かいセキュリティが実際に必要なので、教育を受ける必要があります。グループを作成し、それらのグループにユーザーを追加する方法に最も興味があります。1 つのメイン サイト コレクションと、そのコレクションの下に数十のサブサイトがあります。これらのサブサイトのそれぞれに個別に権限を割り当てることができるきめ細かなセキュリティ ワールドを作成するにはどうすればよいでしょうか?

私の会社は、顧客のために機密データを保存し、マネージ .NET 暗号化アルゴリズム クラスの 1 つを使用してデータを暗号化する予定です。ほとんどの作業は完了しましたが、鍵を保管する方法/場所がわかりません。簡単な検索と読み取りを行ったところ、ハードウェア ソリューションが最も安全なようです。キーストレージのソリューションまたは方法に関する推奨事項はありますか?

皆様、ご回答ありがとうございます。

スポールソン、問題は実際にはあなたが言及した両方の「スコープ」です。もっとはっきり言うべきだったと思います。

データ自体と、データを暗号化および復号化するロジックは、ASP.NET プロファイル プロバイダーに抽象化されます。このプロファイル プロバイダーは、暗号化されたプロファイル プロパティとプレーン テキストのプロファイル プロパティの両方を許可します。暗号化されたプロパティ値は、暗号化されているという明白な例外を除いて、プレーン テキストのものとまったく同じ方法で保存されます。

とはいえ、鍵は次の 3 つの理由のいずれかで召喚できる必要があります。

1. 承認されたサーバー上で実行される承認された Web アプリケーションは、データを暗号化する必要があります。
2. #1 と同じですが、データを復号化します。
3. ビジネス チームの承認されたメンバーは、暗号化されたデータを表示する必要があります。

私が想像しているのは、実際には誰もキーを知らないということです。データの実際の暗号化と復号化を制御するソフトウェアが存在するでしょう。とはいえ、鍵はどこかから来る必要があります。

完全な開示 - まだわからない場合は、これまでにこのようなことをしたことがないので、これがどのように機能するかについての私の認識が完全にずれている場合は、ぜひお知らせください.

現在、WCF ホスト間で暗号化されたデータを渡す必要があるプロジェクトに取り組んでいます。私が理解しているように、WCF 経由で渡されるデータが安全であることを確認する方法は 2 つしかありません。

1. 証明書の使用
2. ドメインを使用する (または、ネットワーク上のすべてのマシンで同じユーザー名とパスワードを使用する)

証明書を使用すると、コストがかかり、管理が複雑になる可能性があります。また、すべての展開でサーバー クラスのマシンを使用できるとは限らないため、ドメインも問題外です。すべてのマシンで同じユーザー名とパスワードを使用することも、そのパスワードを変更する必要がある場合に問題になります。

現在、OpenSSH を使用して、ホスト間の接続をトンネリングしています。私が知らないフレームワークに組み込まれている別のオプションはありますか?

OpenID は原理的には優れたアイデアですが、UI とそれが優れている理由の説明は現在、一般的な使用に合わせて調整されていません。OpenID を一般大衆に機能させるには何が必要だと思いますか? これはテクノロジーで解決できますか、それとも問題が本質的に難しいため、難しい説明/複数ステップの登録手順、多数のアカウント、または不十分なセキュリティで立ち往生していますか?

この質問では、さまざまな支払い処理業者とその費用について説明していますが、クレジット カードでの支払いを受け入れたい場合、何をする必要があるかについての答えを探しています。

顧客のクレジット カード番号を保存する必要があるとします。そのため、クレジット カード プロセッサに頼って面倒な作業を行うという明白な解決策は利用できません。

どうやらクレジットカード情報を保存するための標準であるPCI Data Securityには、多くの一般的な要件がありますが、それらをどのように実装するのでしょうか?

また、独自のベスト プラクティスを持つVisaなどのベンダーについてはどうでしょうか。

マシンにキーフォブでアクセスする必要がありますか? 建物内のハッカーから物理的に保護するのはどうですか? あるいは、誰かが SQL Server データ ファイルを含むバックアップ ファイルを手に入れたらどうなるでしょうか?

バックアップはどうですか？そのデータの他の物理コピーはありますか?

ヒント:マーチャント アカウントを取得した場合は、段階的な価格設定ではなく、「インターチェンジ プラス」を請求するように交渉する必要があります。 段階的な価格設定により、使用されている Visa/MC のタイプに基づいて異なる料金が請求されます。彼らは、大きな報酬が添付されたカードに対して、より多くの料金を請求します。インターチェンジ プラス 請求とは、Visa/MC が請求する料金と定額料金のみをプロセッサに支払うことを意味します。(Amex と Discover は独自のレートを加盟店に直接請求するため、これらのカードには適用されません。Amex のレートは 3% の範囲で、Discover のレートは 1% まで低くなる可能性があります。Visa/MC は2% の範囲)。 このサービスは、あなたに代わって交渉を行うことになっています(私は使用していません。これは広告ではなく、私は Web サイトと提携していません。

このブログ投稿では、クレジット カードの取り扱いについて完全にまとめています(特に英国の場合)。

質問の言い方が間違っているかもしれませんが、次のようなヒントを探しています。

1. SecurIDまたはeTokenを使用して、追加のパスワード レイヤーを物理ボックスに追加します。
2. ボックスが物理的なロックまたはキーコードの組み合わせのある部屋にあることを確認してください。

特定のユーザー (ドメイン アカウント) が現在のコンピューター (アプリケーションが実行されるコンピューター) のビルトイン Administrators グループのメンバーであるかどうかをプログラムで (.NET で) チェックする必要があります。

出来ますか？

他の種類の攻撃については心配していません。HTML Encode があらゆる種類の XSS 攻撃を防ぐことができるかどうかを知りたいだけです。

HTML エンコードが使用されている場合でも、XSS 攻撃を行う方法はありますか?

これを読んだ後、少し興味がありました/。HTTPSCookieの乗っ取りに関する記事。私はそれを少し追跡しました、そして私が見つけた良いリソースはここでクッキーを保護するためのいくつかの方法をリストします。adsutilを使用する必要がありますか、それともweb.configのhttpCookiesセクションでrequireSSLを設定すると、他のすべてのCookie（ここで説明）に加えてセッションCookieがカバーされますか？セッションをさらに強化するために検討すべきことは他にありますか？

ユーザー名とパスワードを web.Config に保存する必要がある Web アプリを開発しています。これは、クライアントではなく Web アプリ自体によって要求されるいくつかの URL も参照します。

.Net フレームワークでは web.config ファイルの提供が許可されないことはわかっていますが、この種の情報をプレーン テキストのままにしておくのは悪い習慣だと思います。

これまでに読んだことはすべて、コマンド ライン スイッチを使用するか、サーバーのレジストリに値を保存する必要があります。ホストがオンラインで、FTP とコントロール パネル (helm) しかアクセスできないため、これらのいずれにもアクセスできません。

私が使用できる優れた無料の暗号化 DLL またはメソッドを誰かが推奨できますか? 自分で開発したくない！

これまでのフィードバックに感謝しますが、コマンドを発行することも、レジストリを編集することもできません。暗号化ユーティリティ/ヘルパーである必要がありますが、どれがいいのか迷っています!