問題タブ [security]

このテーマに関する PHP の記事はたくさんあるので、これは PHP のみの問題です。もちろん、いくつかの正規表現チェックの後、System.Net.Mail を使用してメールを送信しています。http://weblogs.asp.net/scottgu/archive/2005/12/10/432854.aspxと同様

機密情報を収集して送信するフォームがあり、安全でない（HTTPS以外の）手段でアクセスされないようにしたい場合、そのポリシーを適用するにはどうすればよいでしょうか。

特にPHPで、常に一意のキーを取得することが保証される方法を探しています。

私は次のことをしました：

しかし、たまにキーが重複してしまうことがあります（まれですが、十分な場合があります）。

私もやろうと思った：

しかし、PHPのWebサイトによると、uniqid（）は、uniqid（）が同じマイクロ秒で2回呼び出された場合、同じキーを生成する可能性があります。rand（）を追加することはめったにありませんが、それでも可能だと思います。

上記の行の後に、LやOなどの文字も削除しているので、ユーザーの混乱を少なくします。これは重複の原因の一部かもしれませんが、それでも必要です。

私が考えているオプションの1つは、キーを生成するWebサイトを作成し、それをデータベースに保存して、完全に一意であることを確認することです。

他に何か考えはありますか？ある種のAPIを備えているか、単にキーを返すだけの、すでにこれを行っているWebサイトはありますか。http://userident.comを見つけましたが、キーが完全に一意であるかどうかはわかりません。

これは、ユーザー入力なしでバックグラウンドで実行する必要があります。

従来の ASP クラシック サイトに httpOnly を実装しようとしています。誰でもそれを行う方法を知っていますか?

いくつかのパスワードを生成する必要があります。互いに混同される可能性のある文字は避けたいと考えています。避けるべきキャラクターの決定的なリストはありますか? 私の現在のリストは

il10o8B3Evu![]{}

他に混同しやすい文字の組み合わせはありますか? 特殊文字については、キーボードの国籍によって異なることはわかっていますが、数字キーの下にあるものに限定するつもりでした!

ライダーの質問として、パスワードを「wordlike」にしたいのですが、そのための好ましいアルゴリズムはありますか?

ありがとう ：）

最近、asp.net と c# を使い始めました。ライブ最終 Web サイト用の web.config 設定の標準プラクティス セットはありますか? 利用可能なオプションがたくさんあるようで、パフォーマンスを合理化し、セキュリティ ホールの可能性を閉じ、その他の不要なオプションを探しています。

PHP/mySQLクレジットカード情報を保存するためのセットアップを実装します。

進むべき道のようAES_ENCRYPT/AES_DECRYPTですが、

しかし、私はまだ1つの点で混乱しています:

暗号化キーを安全に保つにはどうすればよいですか?

私のPHPスクリプト（データベースと同じサーバー上にある）にそれを配線することは、主要なセキュリティホールのようです。

ここでの「ベストプラクティス」ソリューションは何ですか?

私たちは、新しい内部アプリの新しいフレームワークとビジネスの方法を設定中です。現在の設計では、すべてのセキュリティ ロジックをデータベースで処理する必要があり、すべての情報 (つまりすべて) はストアド プロシージャを介してデータベースに出入りします。

理論的には、データ アクセス レイヤーはストアド プロシージャから情報を要求し、認証をデータベースに渡します。データベースは、ユーザーの役割/権限を決定し、タスクを実行するかどうか (データの取得か更新か) を決定します。

これは、データベース トランザクションが少なくなることを意味すると思います。データベースへの 1 回の呼び出し。セキュリティがデータ アクセス レイヤーにある場合、ユーザーが適切なアクセス許可を持っているかどうかを判断するために 1 回のデータベース呼び出しが必要であり、その後、アクションを実行するために 1 回の別のデータベース呼び出しが必要になります。

私は、SQL Management Studio が IDE として完全に欠けていることに気づきました。私の主な懸念は、パフォーマンスの向上を最小限に抑えるために、ストアド プロシージャに大量のビジネス ロジックを維持しなければならなくなることです。

現在、ORM に LINQ を使用しています。軽くて速いように見えますが、何よりも、急速に開発するのが本当に簡単です.

メンテナンス コストは、パフォーマンスの向上に見合っていますか? 顕著なパフォーマンスの向上さえあると思い込んでいるでしょうか? それとも、私たちは自分自身のために悪夢を作っているだけですか?

私たちの環境:

• 社内のミッション クリティカルではないビジネス アプリ
• C#/ASP.NET 3.5
• Windows 2003
• Microsoft SQL Server 2005
• 約 500 人のユーザーを持つ 35 の中規模 Web アプリ

SQL Server 2005 で次のエラー メッセージが表示されます。

コマンドを実行するためにユーザーに付与する必要がある最小限の役割はどれですか?

非対称暗号化キーは、主要なキー コンテナー形式間で基本的に相互変換可能ですか? たとえば、X.509 キー ファイルを PGP または OpenGPG キー ファイルに変換できますか?

そして、答えが「はい」であると仮定すると、1 つの鍵ペアをどのような形式でも保持し、その機会に必要なコンテナー ファイル形式に変換することは「セキュリティ ニュートラル」でしょうか?

X.509、OpenGPG、SSH のキー ペアがすべて RSA であるのに、非常に多くのキー ペアを維持することに少しうんざりしています。