問題タブ [trusted-vs-untrusted]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
sql - postgres の SQL 以外の言語
私は最近 PostgreSQL を少し使っていますが、私が素晴らしいと思うことの 1 つは、スクリプト関数などに SQL 以外の言語を使用できることです。しかし、これが実際に役立つのはいつでしょうか。
たとえば、ドキュメンテーションによると、PL/Perl の主な用途は、テキスト操作が非常に優れていることです。しかし、それはアプリケーションにプログラムする必要があるものではありませんか?
次に、信頼できない言語を使用する正当な理由はありますか? すべてのユーザーが任意の操作を実行できるようにすることは、運用システムでは悪い考えのようです。
PS。誰かがPL/LOLCODEを有用に思わせることができればボーナス ポイント。
web-applications - 信頼できないソースから TeX コードを安全に実行できますか?
MediaWiki では、画像にレンダリングされて Wiki ページに投稿される TeX 数学コードを埋め込むことができます。これは安全ですか?信頼されていないユーザーが Web サーバーで実行されているインタープリターによって実行される TeX プログラムを入力できるようにした場合、TeX インタープリターを使用してサーバーのディスクからファイルを読み取ることにより、サーバーがハッキングされる可能性がありますか? 信頼できない TeX コードを安全に実行する方法はありますか?
java - Active Directory への Spring Security の統合
プロデューサーとコンシューマーの両方で、それぞれが実行されているプリンシパル (つまり、サービス アカウント) の下で、Active Directory ルックアップを使用して、Spring で Web サービスを認証したいと考えています。
私は使用する必要があると仮定しています
と
そして私の
ファイル。
ここからどこへ行くべきかのコード例を誰か教えてもらえますか? サービス アカウント名を jaas.config ファイルに入力する必要があると思いますが、そうであれば、自動的に入力されるようにしたいと思います。
javascript - 検証されていないコードに対する SSJS の保護
node.js (または他の SSJS ソリューション) を使用して、独自のコード + 内部で記述された外部コード (信頼されていない) を実行したいと考えています。
自分のコードを分離して保護する方法はありますか? 信頼されていないコードのモジュールとシステムへの影響を制限できますか (ファイルへのアクセス、非 HTTP ポートなどを制限します)?
python - sandbox to execute possibly unfriendly python code
Let's say there is a server on the internet that one can send a piece of code to for evaluation. At some point server takes all code that has been submitted, and starts running and evaluating it. However, at some point it will definitely bump into "os.system('rm -rf *')" sent by some evil programmer. Apart from "rm -rf" you could expect people try using the server to send spam or dos someone, or fool around with "while True: pass" kind of things.
Is there a way to coop with such unfriendly/untrusted code? In particular I'm interested in a solution for python. However if you have info for any other language, please share.
iphone - ... (または有効だが信頼できない署名がある)
iPhone 3GS: 問題なくビルドおよびインストール 新しい iPod touch: 「このプロビジョニング プロファイルには有効な署名がありません (または、有効だが信頼されていない署名があります)。」
関連するすべての投稿では、プロビジョニングをゼロから始めるように書かれていますが、私の iPhone と iPad では機能しますが、iPod touch では機能しません。
何か案は?
ありがとう。
types - 信頼されていない単純な引数を比較するPythonの方法
許可を求めるのではなく、ただ実行して許しを求めるという基本的な哲学を理解しています。たとえば、 .read() メソッドを持つのにファイルである必要はありません。ファイルのようなオブジェクトを読みたいときに、「問題なく動作する」ことがわかったときは、後で感謝するでしょう。ただし、数値などの単純なオブジェクトよりも、ファイルなどの複雑なオブジェクトの方が理解しやすいです。
だから私は非常に単純なクラスを書こうとしています。詳細は関係ありませんが、内部カウンターがあり、カウンターが制限を超えたときに何かをする必要があります。制限は、オブジェクトの作成時に引数として提供されます。
今、防御的プログラミングを考えています。明らかに、制限を整数にするか、少なくとも整数のように比較できるものにしたいと思います。私が行う >= テストは、フロートの場合でも正しい動作を提供するため、それよりも弱い可能性があります。
クラスのユーザーは、この引数が整数でなければならないことを知っていますが、そうでない場合でも、オブジェクトが何か驚くべきことをしないようにしたいと思います。私の最初の考えは、実際に番号を持っていることを確認することでした
しかし、ここには「テストしないで、試してみてください」という答えがたくさんあるので、それが非Pythonicであることはわかっています。制限を使用して、例外がスローされるのを待つことをお勧めします。だから私はtry内でこれを試しました:さまざまな種類の制限を除いて
limit が int または float の場合、これは正常に機能します。次に、文字列またはタプルを制限し、数値と比較するオブジェクトに明確または合理的な定義がなく、例外をキャッチするのを待ちました。しかし、それは実行され、ブール値を返し、黙っています。
そのため、RTFM を実行したところ、compare は混合型の例外を発生させないことがわかりました。これは、任意の型で等価性がテストされる「コンテナー内の x」の操作と関係があります。異なる型に対して常に not_equal を返しますが、大きさの比較は一貫していますが、任意です。混合型の大小比較が常に False を返す場合は、おそらくそれを使用できたかもしれませんが、喜んで True も返します。
数値以外で他の整数のような動作を使用しようとすると、予想される例外が発生します。たとえば、この文字列 + 数値は TypeError をスローします。
だから私は言うことができました
limit が数値以外の場合、目的の例外がスローされます。しかし、それはほとんど難読化されているように感じます。バックドアで型テストを行うために、エクスプレッションに何か特別なことをしています。コードオプティマイザーまたは別のエディターは、明らかに冗長な算術演算を削除します。オブジェクトがアヒルと同じ重さであるかどうかを見て、それが木でできているかどうかを確認するようなもので、魔女のように燃やすことができます。
より明確な可能性は
少なくとも説明の一部が組み込まれています。すべての状況で私が望んでいることを正確に行うわけではありませんが、現時点では十分であり、誰も驚かないでしょう.
それで、WWWD?大きさを比較するだけの場合、信頼できない引数を安全に使用するためのpythonicの方法は何ですか?
javascript - 純粋なJavascriptサンドボックス
これは純粋なJavaScriptサンドボックスの可能な解決策ですか?私の意志は、DOM、window、thisなどへのアクセスを許可せずに、信頼できないコードの文字列を実行することですが、ユーザーはMath、JSON、およびその他の機能にアクセスできます。Chromeでテストしました。
更新:サーバーのユーザー定義コードを保存して、他のユーザーが利用できるようにする可能性を提供したいと思います。安全にするために、ドキュメントへのアクセスを拒否する方法を探しています。
私は古い投稿でそれを提案しました:https ://stackoverflow.com/a/11513690/76081
ありがとう!
ssl - サーバー側で信頼できない SSL アクセスを検出しますか?
質問
訪問者が SSL 接続/証明書を信頼しているかどうかを検出する方法はありますか? ウェブやスタックオーバーフローでは何も見つかりませんでした。かなり珍しい質問だと思います。
ユースケース
StartSSL の証明書を使用しています。ほとんどの一般的な最新のブラウザーで問題なく動作します。しかし、IE を使用している Windows Phone では、警告が表示されます。これは、既定ではルート証明書が Windows Phone の IE に認識されないためです。
解決策は簡単です。証明書をダウンロードするだけです - 2 回のクリック/タップです。これを行う方法について、一般的な訪問者に小さなガイドを提供したいと思います。ただし、問題のある訪問者のみがメッセージを受け取る必要があります。
encryption - HMACへの引数の順序?
次の応答を信頼できない相手に複数回送信した場合:
ここで、c は応答から応答まで同じ値です。
ここで、v は応答ごとに異なります。
+ は連結です。
HMAC入力の開始として定数を使用すると、HMACが「弱体化」しますか?
最初にさまざまな引数を使用して HMAC を計算する方が安全ですか:
それとも関係ない?