我有一个家庭作业问题,这表明应用安全性和可用性最佳实践并不足以创建一个安全和可用的系统。我遗漏了什么?为什么这还不够?
如果我遵循可用性最佳实践,我最终会得到一个可用的系统吗?我想是的。
如果我遵循安全最佳实践,我最终会得到一个安全的系统吗?我想也是。
那我错过了什么?
浏览 0提问于2017-01-21得票数 2
我不明白为什么微软在他的官方博客中说,客户不需要修补Azure中的客户VM映像,这是因为它的崩溃和幽灵漏洞。
此Azure基础设施更新解决了系统管理程序级别上披露的漏洞,不需要更新Windows或Linux映像。但是,与往常一样,您应该继续为VM映像应用安全最佳实践。
其他云供应商建议,如GCP和AWS建议他们的客户也修补他们的系统。
虽然所有客户实例都受到保护,但我们建议客户对其实例操作系统进行修补。
请阅读我们的“安全简报”页面,以获得更多关于OS提供者修补程序状态、修补图像版本以及修补/更新您的来宾环境的说明。
我想知道这背后的原因是什么
谢谢!
浏览 1提问于2018-01-05得票数 0
关于我的困惑.
我正在尝试将UbuntuServer10.04LTS安装到两个内置在服务器中的1TB物理硬盘上。我还没有很多Ubuntu的经验,但我熟悉Ubuntu。
我喜欢通过做方法来学习,因此我搜索了很多小时,阅读了很多关于Ubuntu安装的资源,特别是关于分区的部分,因为我以前从未在Linux上配置过RAID1安装程序。
对大量不同的观点和所有这些不同的“最佳实践”感到困惑,我刚开始使用UbuntuServer10.04备用安装LiveCD启动机器。
关于我的困惑投射到一个硬盘上的
.
我被困在分区屏幕上,不知道我做了什么或者下一步该做什么。你不必是个天才就会注意到,Ubuntu不会使用
浏览 0提问于2011-12-25得票数 0
2回答
最佳安全配置源指导
、、、、
多年来,我为一系列系统使用了许多不同的安全配置指南,例如:
https://www.cisecurity.org/cis-benchmarks/
https://www.stigviewer.com/stigs
https://docs.microsoft.com/en-us/windows/security/threat-protection/windows-security-baselines
https://www.cisco.com/c/en/us/support/docs/ip/access-lists/13608-21.html
https://apps.nsa.gov/iaarc
浏览 0提问于2018-10-05得票数 0
2回答
LAMP最佳做法
、、
有人知道LAMP最佳实践清单吗?网络上有很多不同的建议,但是如果有人已经发布了Linux/Apache/Mysql/PHP托管架构的最佳实践指南或书籍,那就太好了。
浏览 0提问于2011-02-25得票数 0
1回答
,它说:
请注意,对于已签名的令牌,此信息虽然受到保护,但任何人都可以阅读。除非加密,否则不要将秘密信息放入JWT的有效负载或头元素中。
这个部分对我来说很清楚,即使使用内置的调试器,我也可以看到头和有效负载仅是base64 64编码的。
但是,我不明白怎么加密(JWE是术语吗?)能提高安全性吗?
在我看到的示例中,用户传递他们的凭据,然后是他们收到的 (我理解这个例子有缺陷,因为它不使用HTTPS --这里我专门询问HTTPS请求)。
因此,我的问题是,如果通过HTTPS POST的请求体发送用户凭据是可以的,那么最佳实践为什么对JWT的头或有效负载不一样呢?
浏览 14提问于2022-10-04得票数 1
2回答
我的Linux系统中有一个私钥和一个公钥。存储私钥的最佳方式是什么?有合适的目录吗?我需要创建一个用户来拥有密钥吗?如何提高密钥保护?
浏览 10提问于2016-01-05得票数 1
我做了一些研究,但我没有找到我需要的。我有一个基于Linux的服务器(在Debian7.1下)和几台Windows计算机。在我的服务器上,我有一些HD,我想使用它作为外部硬盘驱动器。
我的问题是:交换硬盘上的NTFS或EXT的最佳文件系统格式是什么,以获得最佳性能和安全性?
浏览 0提问于2014-05-25得票数 2
回答已采纳
2回答
防御T-SQL注入
、、、、
很抱歉,如果这看起来是一个愚蠢的问题,但是使用参数如何防御SQL注入,与T-SQL相关的最佳实践是什么:
例如:这是最佳实践吗?
SqlCommand SqlCmd = new SqlCommand("SQL Command @X ....... @Y");
SqlCmd.CommandType = CommandType.Text;
SqlCmd.Parameters.AddWithValue("@X", SqlDbType.VarChar).Value = X;
SqlCmd.Parameters.AddWithValue("@Y", Sql
浏览 2提问于2013-04-25得票数 1
回答已采纳
如果这是一个副本,我很抱歉,但是我的搜索词没有找到我正在寻找的东西。
我只使用它的linux进程id 'kill‘我的python脚本。
这对我很有帮助,但现在我需要在终止之前处理一些事情。
从linux命令行与正在运行的Python脚本通信的最佳实践是什么?有没有我应该知道的图书馆?
示例操作是向正在运行的脚本发送terminate命令,但也可以看到在不久的将来用于修改配置变量等。
浏览 2提问于2018-04-04得票数 0
1回答
我知道我有/computer/usr/share路径和/computer/opt路径。我注意到,有时候,像Google和Teamviewer这样的程序,它们会自动安装在我的/computer/opt目录中。但是,对于像VSCode这样的程序,我必须手动将tar.gz文件移动到我的/opt目录中,然后在那里解压缩。为什么有些程序会自动完成,而另一些程序则必须手动完成?
另外,在安装程序时,安装它们的最佳目录是什么?(也就是说,什么是Linux等同于程序文件(x86)的Windows?)
谢谢。
浏览 0提问于2016-05-21得票数 5
回答已采纳
1回答
保护移动客户端应用程序和其他基于支持的服务器之间的数据通信的最佳实践是什么?在使用SSL证书的情况下,还有其他最佳实践吗?
浏览 4提问于2013-06-27得票数 0
1回答
将敏感信息从angular传递到Webapi的最佳实践是什么?
在发送到webapi之前,我们需要在客户端对它们进行散列/加密吗?
有https://协议就足以在不加密的情况下通过网络传递敏感信息吗?
让我知道你的想法。
浏览 15提问于2018-01-12得票数 1
在开发过程中,我正在寻找关于web应用程序中安全配置管理的最佳实践。我有两种情况。
我有许多函数(比如REST ),它们从数据库返回一些数据。在生产中,调用客户端必须对AspNetMembership提供程序进行身份验证。
还有另一组函数,在经过身份验证的主体信息中,需要获取数据。
在开发过程中,开发人员需要在IIS中设置安全性和https才能实现这一点。在开发期间,是否有在Asp.Net或其他编程语言中禁用安全性的最佳实践,以便开发人员不必在托管应用程序的本地IIS服务器(而不是Cassini)中设置安全性,并且在调试时也不必在标头中提供凭据。
浏览 0提问于2015-03-24得票数 0
我想在我的OpsWorks堆栈中添加一个自定义的菜谱,以便每当一个新实例启动时创建一个Route53 DNS记录,并在它停止时删除它。
有一本Route53厨师食谱看起来能做到这一点。它采取以下形式:
route53_record "create a record" do
name "test"
value "16.8.4.2"
type "A"
zone_id node[:route53][:zone_id]
aws_access_key_id node[:route5
浏览 2提问于2014-05-31得票数 0
回答已采纳
如果以下代码存储在www.examples.com/test.php中
mysql_connect("localhost", "user", "password") or die(mysql_error());
mysql_select_db("database") or die(mysql_error());
$result = mysql_query("SELECT * FROM table");
...
密码安全吗?如果没有,防止不必要地访问信息的最佳做法是什么?谢谢!
浏览 1提问于2015-02-12得票数 0
回答已采纳
2回答
在阅读了Server磁盘分区对齐最佳实践之后,我只想尝试一下这些建议,但是在我的linux测试服务器上。设置分区偏移量(如果可能的话用于fdisk,或者linux活动cd上可用的任何其他分区工具)所需的参数是什么?
浏览 0提问于2009-07-01得票数 6
回答已采纳
1回答
与不可变存储库兼容的Linux发行版是什么?
您能给我一些关于部署大型备份存储库的最佳硬件或虚拟机配置的建议吗?
根据https://www.veeam.com/blog/installing-ubuntu-linux-veeam-hardened-repository.html的说法,Ubuntu就是一个例子。
那么,一个大型虚拟机、一个用ExtFS格式化的LUN或者其他一些漂亮的安全文件系统呢?
浏览 0提问于2023-02-12得票数 4
回答已采纳
我是一名专业的DevOps工程师,但在Linux上是个新手.我想在Linux中获得更深层次的知识,请提出建议。
浏览 0提问于2019-12-04得票数 1
1回答
请注意:当我们定义类级变量: List或Map时,我读到了其中的一些内容。应该始终使用新操作符初始化它们:示例--私有列表学生=新的ArrayList();但是架构师反对它,并告诉我在类级别初始化变量时它将消耗10个桶。但是,我非常反对:在使用之前检查学生列表为null。
请告知我的最佳实践;是否在类级别初始化数组列表。
请指点。如果您有更好的参考URL或书籍名称的java代码实践,请提供给我。
浏览 1提问于2013-08-23得票数 0
回答已采纳
9回答
我希望为linux/windows/mac/任何其他平台编写一些C#代码,并寻找可移植代码的最佳实践。
Project 有一些很棒的资源。
便携C#的最佳实践是什么?
浏览 1提问于2008-09-03得票数 20
回答已采纳
1回答
我们在项目中抛出的异常包含存储过程和类的名称。有时它们包含表的名称,但我们应该捕获任何其他关键信息。在ajax中处理异常的最好方法是只使用ajax发送错误代码,但是作为程序员,如果在ajax中传递消息(可以通过网络面板看到消息),那么调试和维护代码就会容易得多。
在大型项目中,这方面的最佳实践是什么?
浏览 0提问于2013-01-17得票数 0
1回答
把战争重新部署到Tomcat的最佳做法是什么?比方说,我有一个webapp,它为长期运行的用户提供服务(早上登录,全部使用),并希望不间断地重新部署应用程序,使当前的用户可以继续登录,但新的会话是针对重新部署的战争创建的。我最好的猜测是使用负载平衡器和两组Tomcat实例,但最佳实践和最佳软件是什么(当前的环境基于Ubuntu、Tomcat和Nginx )。
浏览 0提问于2011-09-02得票数 6
回答已采纳
我想知道64位系统上oracle11gdb的最佳Linux内核参数是什么。
对于这个问题,我没有找到任何详细的、好的或完整的建议或最佳实践。刚刚发现了一个建议,在64位系统上设置shmax一半内存是很好的。
浏览 0提问于2014-12-01得票数 1
4回答
我想将病毒扫描合并到Java/Maven/Hudson构建过程中。不幸的是,我无法找到用于这种构建步骤的专用工具的任何资源。我的构建环境是基于Linux的。
我的问题是:如何将反病毒扫描结合到基于Maven和Hudson的构建过程中?
什么是最佳实践?
扫描步骤是否应该独立于正常生成,例如构建前的步骤,甚至是单独的构建作业?
扫描是否应该发生在包装的后期,在所有的手工艺品都被打包到jar文件或过程的早期?
每个发布的伪制品是否应该包括一个扫描器日志文件,以确定所使用的防病毒工具、病毒定义文件的版本和日期?
使用哪种杀毒软件不在这个问题范围之内。(例如,我想使用一个商业供应商
浏览 4提问于2009-11-30得票数 2
回答已采纳
2回答
在构建具有由Ajax调用驱动的大部分UI事件的应用程序时,我们创建了更好的UX,但存在额外的安全风险,因为有更多的信息暴露给用户浏览器,然后存储在服务器上。具体地说,就是确定值。
除了额外的后端验证-我很好奇在客户端传递I时还有什么其他的“最佳实践”。我见过在发送到客户端之前对id进行散列或加密之类的事情,但不知道是否存在其他选择。
浏览 0提问于2011-08-17得票数 1
遵循“C的最佳用法是什么”的问题。
Linux内核似乎是一个著名的、被认为是非常优秀的C程序。但它是主流“最佳实践”C语言的一个很好的例子吗?
浏览 1提问于2009-01-14得票数 5
2回答
我是AWS Glue的新用户,这是一种新的AWS托管服务,可以轻松地编排批处理作业工作流。
我有三个不同的AWS IAM帐户(开发,测试,产品)。为每个帐户单独登录。
Glue,Scala是在我的Github存储库中控制的版本。
我想要构建一个CI/CD管道,以便在提交和推送我的Github存储库时自动化测试、构建和部署我的Glue作业。
我浏览了许多博客和文章,描述了CI/CD最佳实践。我在AWS博客上找到了一篇很好的文章(特别是关于数据管道工作流中的CI/CD )。它非常简单,并详细介绍了如何使用CodePipeline和构建CodeCommit。但CI/CD的所有阶段
浏览 1提问于2019-11-25得票数 5
回答已采纳
1回答
准备深入到漏洞评估的技术世界,我有两个问题,在哪里可以找到某些信息。
首先,我计划阅读Bovet的“理解Linux”。这本书涵盖了Linux内存管理,但要确定的是:它是否涵盖了我需要了解的关于程序运行时内存布局的所有内容?
第二个谜语:了解gcc如何将C代码翻译成ASM的细节的最佳信息来源是什么?
谢谢!
浏览 0提问于2011-06-23得票数 3
回答已采纳
我在Android上运行了一个Ionic应用程序。我可以与连接,在配置文件中查看API键等。有办法把这些藏起来吗?
编辑:
我特别关注Firebase,因为我的应用程序会直接与它通信。对于这个场景有什么最佳实践吗?
浏览 0提问于2015-08-11得票数 2
回答已采纳
5回答
在考虑iPhone/iPad应用程序安全性时,我可以注意到:
广泛使用的黑客工具允许文件系统访问。
网络拦截,中间人攻击
==>数据窃取威胁
还包括:
提供黑客工具,允许与朋友/社区免费共享付费应用程序(见Cydia)
黑客工具的可用性,这些工具允许在不付费的情况下购买应用程序(见Cydia,并听说它不适用于任何应用程序)
==>收入损失威胁
因此,我想知道#1 在iOS应用程序中获得更好安全性的最佳实践是什么?,#2 也是减少收入损失和最小化黑客暴露的最佳方法。
关于#1,我看过一些关于安全 + 的WWDC幻灯片。
我可以说,在这些最佳做法之
浏览 1提问于2012-02-25得票数 48
回答已采纳
1回答
是否有一个最佳实践列表(或drupal.org上的任何内容)用于在结束生命后维护Drupal版本,特别是在升级不是一种选择的时候?当然,最好的解决方案是升级,但有些组织没有资源来实现这一点。
我想在这里了解一些好的做法,特别是当它涉及财务或私人数据时。
Drupal项目看起来已经死了。我尽我最大的努力通过像CVE这样的工具来监控信息问题,但是那些消息来源似乎只提到了当前维护的分支上的漏洞。
浏览 0提问于2015-04-06得票数 2
回答已采纳
1回答
我正处于建立Hadoop集群的过程中,到目前为止还没有找到一个很好的解决方案,无法在Linux的BIOS中配置CPU功能。
我的BIOS提供了各种关于CPU功率的选项,主要分类如下:
禁用
能源效率
自定义
最大性能
还有一系列其他设置(长持续时间的功率限制,短持续时间,等等)但让我们只谈一下泛泛的笔触和最佳实践。
我的冲动是要么完全禁用电源管理,要么启用最大的性能--当然,这样做的不利之处是,当我不使用它们时,就会为瓦特付费。
Linux CPU电源管理在这一点上是否足够好,以至于地球和数据中心冷却/电源友好型BIOS仍然可以让我从Hadoop集群中获得最大的潜力?
或者我应该只玩老派的游戏
浏览 0提问于2015-09-05得票数 1
回答已采纳
有时我想通过Firebase通知向一个唯一的用户发送消息,然后我想从该用户访问令牌,所以我想知道在任何时候获取该令牌的最佳实践是什么?
在我的应用程序的初始启动时,FCM为客户端应用程序实例生成一个注册令牌。我可以获得该令牌,但是如果我将该令牌保存在Firebase实时数据库中,我认为其他人可以访问该数据,因为它是“设置持久模式”来访问脱机数据。
我的问题是:是否有可能获得所有用户的令牌而不将其保存在数据库中?我可以直接从Firebase身份验证获得这些令牌吗?如果没有,那么访问这些令牌的最佳实践是什么?
浏览 0提问于2017-03-30得票数 4
回答已采纳
1回答
因为筛选器只有在对每个命令按钮的操作使用page-redirect=true时才能很好地工作,所以我正在寻找一个可用的替代方案。
我现在只有两个过滤器(这些过滤器不能很好地工作):
过滤器-> /pages/* (筛选器检查用户是否登录)
过滤器B -> /pages/受限/*(筛选器检查用户是否具有管理权限)
由于JSF的导航过程,它们无法工作,因为url从未改变过。
我的问题是:--没有过滤器的页面访问的最佳解决方案是什么?(没有复杂角色等)安全吗?>有些用户只有isAdmin=true吗?或者,当我使用重定向时,根本没有问题吗?那么为什么jsf在默认情况下不使用它呢?
浏览 2提问于2013-08-31得票数 0
1回答
我已经从项目的源代码和存储库中删除了API凭据和密钥,现在正在本地环境中的配置文件中存储和应用它们。
在我的生产环境中部署和应用设置的最佳方法是什么?我的第一个想法是写一个脚本:
将配置文件从本地计算机上载到生产服务器。
读取配置文件并在生产服务器上应用这些设置,而不记录这些设置或将它们暴露给bash历史记录。
从生产服务器中删除配置文件
除了可能在上传过程中窥探我的互联网流量,或者我的本地机器被破坏之外,这种方法有什么问题吗?
这是Django项目。我正在使用django环境来读取/管理我的设置和Fabric,以便在部署期间将配置文件和远程运行命令上传到位于AWS上的服务
浏览 5提问于2015-07-07得票数 3
防止web应用程序的最终用户操纵前端JavaScript、全局变量和其他运行时对象的最佳方法是什么?
我可以采取哪些最好的步骤来最小化“坏”用户的安全漏洞和篡改?
他们是否被申请认证?
浏览 2提问于2015-06-25得票数 3
2回答
我在Solaris10和Linux上使用g++ 4.9.2。我正在使用一个信号处理程序。只要有信号,我就会显示堆栈跟踪。如何在Linux中显示堆栈跟踪?
浏览 6提问于2017-02-17得票数 1
我为一家公司工作,该公司自数十年前成立以来一直从事内部应用程序开发(为我们的内部系统)。然而,最近API和实时数据传输的兴起终于引起了高层的注意。在此之前,所有的数据交换都是通过FTP文件传输和使用新创建的API来进行的,这些API可能会在我们的防御系统中打开一个漏洞,这促使我们需要进行InfoSec咨询。
我们已经和几家公司取得了联系,但是我们所制定的要求似乎没有得到满足,而且它达到了我需要接触的程度,我需要问你,这一系列的要求是普通的还是非常罕见的,我们是否应该考虑修改我们的要求。
以下是我们对InfoSec咨询的要求的一个粗略总结:
为基础设施提供最佳实践指导,如服务器/防火墙配置、日志
浏览 0提问于2019-02-11得票数 2
回答已采纳
1回答
几个小时以来,我一直在研究使用密码身份验证而不是使用auth_socket / unix_socket为mysql数据库创建第二个帐户的“最佳实践”。
通过本指南创建新用户mariadb的最安全和永久的解决方案,身份验证不使用插件。在其他指南中,人们将mysql_native_password添加为插件(例如这里)。
但是,通过mariadb 关于mysql的文档_原生_密码,他们建议使用ed25519插件。在mariadb中,我还没有看到一个在线指南来使用这个指南。
现在,应该使用哪种身份验证方法/插件?在no plugin和ed25519之间使用的是什么?
浏览 0提问于2019-02-19得票数 1
回答已采纳
1回答
我有一个问题,需要对来自独立服务器、数据库和使用JSP构建的域的用户执行身份验证检查。
以下是对这一过程的简要概述:
the (用户访问此页面可登录到站点,以获取所需内容。使用J2EE会话ID)
can (内容区域,用户可以在其中检索使用ColdFusion 10构建的数据。
例如,
domain2.com/content/content.cfm?customerID=12345
domain2.com/content/content.cfm?customerID=12345&pageid=AB12&type=CID1
问题是,任何人只需输入domain2就可以访问,而无需通
浏览 0提问于2015-03-20得票数 4
回答已采纳
1回答
我正在为一个应用程序设计一个新数据库。我希望从一开始就注意安全性(这应该是常态!)。谁有链接到描述使用模式实现良好安全性的最佳方法的资源?
通过使用模式,我的意思是不只是转储默认dbo模式下的所有内容。当然有一种模式是最好的实践?如果有的话我找不到...
浏览 1提问于2009-08-06得票数 6
回答已采纳
假设我们有一个蓝图,它生成一个Ambari服务器和一个包含两个节点的Hadoop集群。
我们正在使用以下项目->
在本例中,创建了三个实体(1个Ambari +2个Hadoop节点),因此生成了3个安全组。每个实体都会有自己的安全小组。
最佳做法是什么:上面提到的(每个实体一个安全组)或所有实体只有一个安全组(如果可能的话)?
浏览 0提问于2015-08-12得票数 0
回答已采纳
这不是一个与编程有关的问题。我宁愿征求你的意见。如果这不是正确的论坛,请告诉我,我会删除这个问题。
所以,在过去的21个月里,我一直在使用Linux。我是一个Windows用户,以前从未使用过Linux,所以我选择了一个简单的发行版,即Linux。自从我转向Linux之后,一切都变得更好了。我只是喜欢它,我怀疑我是否会切换回Windows。
但是现在,我觉得我想学习更多关于与操作系统在较低层次上交互的知识,并且我被告知Arch并不容易理解。你认为转换是个好主意吗?还是在切换到Arch之前多花点时间在Linux上比较好呢?你们从阿奇开始的时候有多少经验?
我对我的Linux非常满意,我可以完成我
浏览 0提问于2020-09-13得票数 1
回答已采纳
2回答
文件完整性保证
、、
我有以下场景:双方希望交换文件。
第一方在安全服务器上发布文件。
第一方向第二方发送一个散列文件,以便能够验证完整性。
第二方从安全服务器下载文件。
第二方计算下载文件的哈希,并将哈希发送给第一方以确认完整性。
实现此场景的最佳方法是什么?-what是计算文件完整性的最佳哈希函数?
-what是在双方之间交换哈希的最佳方式吗?
浏览 0提问于2019-03-02得票数 2
回答已采纳
我有单独的web (Apache/PHP)和数据库(MySQL)服务器,通过SSL连接使用mysqli工作得很好。在框架内数据库连接库的ssl_set()函数中,我可以指定密钥/pem文件的路径,只要它在文档根目录中。如果这些文件在docroot之外,我显然无法访问它们,连接就会失败。
在apache docroot之外存储和访问mysql客户端ssl密钥的最安全方法是什么?
有没有"ini_set“的安全用法,这样我就可以允许”动态“访问,然后删除该参数?或者我应该使用符号链接?
我在这里寻找最佳实践。我想这个问题并不局限于证书密钥,但我想确保您了解我的特定用例。
谢谢!
浏览 1提问于2012-08-01得票数 2
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
腾讯会议
实时音视频活动推荐
腾讯云开发者
