Результаты поиска

PHP Безопасность Сеанса

Каковы некоторые рекомендации по поддержанию ответственной безопасности сеанса с PHP? Есть информация по всему интернету, и это о времени, когда все это приземлилось в одном месте!

Окончательное руководство по проверке подлинности веб-сайта на основе форм

Аутентификация на основе форм для веб-сайтов

Мы считаем, что Stack Overflow должен быть не только ресурсом для очень конкретных технических вопросов, но и для общих руководящих принципов по решению вариаций общих проблем. "Form based authentication for websites" должно быть прекрасной темой для такого эксперимента.

Он должен включать такие темы, как:

• Как войти в систему
• Как выйти из системы
• Как оставаться в системе
• Управление файлами cookie (включая рекомендуемые настройки)
• Шифрование SSL/HTTPS
• Как хранить пароли
• Использование секретных вопросов
• Забытый логин / пароль функциональность
• Использовать специальные слова, чтобы предотвратить подделка межсайтовых запросов (CSRF)
• OpenID
• "Remember me" checkbox
• Автозавершение браузером имен пользователей и паролей
• Секретный URLs (публичный URL защищен дайджестом)
• Проверка надежности пароля
• Проверка электронной почты
• и многое другое о проверке подлинности на основе форм ...

Он не должен включать в себя такие вещи, как:

• Роли и разрешения
• HTTP обычной проверки подлинности

Пожалуйста, помогите нам:

1. Предлагая подтемы
2. Отправка хороших статей на эту тему
3. Редактирование официального ответа

Существуют ли рекомендации по тестированию безопасности в магазине разработки Agile?

Что касается разработки Agile, каковы рекомендации по тестированию безопасности для каждого выпуска?

Если это ежемесячный выпуск, есть ли магазины, которые делают тесты пера каждый месяц?

Существуют ли рекомендации по тестированию безопасности в магазине разработки Agile?

Что касается разработки Agile, каковы рекомендации по тестированию безопасности для каждого выпуска?

Если это ежемесячный выпуск, есть ли магазины, которые делают тесты пера каждый месяц?

Инструменты/стратегия обфускации .NET

Мой продукт состоит из нескольких компонентов: ASP.NET, Windows Forms App и Windows Service. 95% или около того кода написано в VB.NET.

По соображениям интеллектуальной собственности мне нужно запутать код, и до сих пор я использовал версию dotfuscator, которой уже более 5 лет. Я думаю, что пришло время перейти к инструменту нового поколения. То, что я ищу, - это список требований, которые я должен учитывать при поиске нового обфускатора.

То что я знаю я должен искать до сих пор:

• Serialization/De-serialization . В моем текущем решении я просто говорю инструменту не запутывать никакие члены данных класса, потому что боль от невозможности загрузить данные, которые были ранее сериализованы, просто слишком велика.
• Интеграция с процессом сборки
• Работа с ASP.NET . В прошлом я находил это проблематичным из - за изменения имен .dll (у вас часто есть по одному на страницу), с которыми не все инструменты справляются хорошо.

Что мне нужно избежать при отправке запроса?

При выполнении запроса SQL необходимо очистить строки, иначе пользователи могут выполнить вредоносный запрос SQL на вашем веб-сайте.

У меня обычно просто есть функция escape_string(бла), которая:

• Заменяет escapes ( \) на двойные escapes ( \\).
• Заменяет одинарные кавычки (') на экранированные одинарные кавычки ( \').

Достаточно ли этого? Есть ли дыра в моем коде? Есть ли библиотека, которая может сделать это быстро и надежно для меня?

Я хотел бы видеть изящные решения в Perl, Java и PHP.

Обеспечение безопасности linux webserver для публичного доступа

Я хотел бы установить дешевую коробку Linux в качестве веб-сервера для размещения различных веб-технологий (PHP & Java EE приходят на ум, но я хотел бы поэкспериментировать с Ruby или Python в будущем).

Я довольно хорошо разбираюсь в настройке Tomcat для запуска на Linux для обслуживания Java EE приложений, но я хотел бы иметь возможность открыть этот сервер, даже просто для того, чтобы создать некоторые инструменты, которые я могу использовать во время работы в офисе. Весь опыт, который я имел с настройкой сайтов Java EE, был связан с приложениями интрасети, где нам было сказано не сосредотачиваться на защите страниц для внешних пользователей.

Каков ваш совет по настройке персонального веб-сервера Linux достаточно безопасным способом, чтобы открыть его для внешнего трафика?

Обеспечение безопасности linux webserver для публичного доступа

Я хотел бы установить дешевую коробку Linux в качестве веб-сервера для размещения различных веб-технологий (PHP & Java EE приходят на ум, но я хотел бы поэкспериментировать с Ruby или Python в будущем).

Я довольно хорошо разбираюсь в настройке Tomcat для запуска на Linux для обслуживания Java EE приложений, но я хотел бы иметь возможность открыть этот сервер, даже просто для того, чтобы создать некоторые инструменты, которые я могу использовать во время работы в офисе. Весь опыт, который я имел с настройкой сайтов Java EE, был связан с приложениями интрасети, где нам было сказано не сосредотачиваться на защите страниц для внешних пользователей.

Каков ваш совет по настройке персонального веб-сервера Linux достаточно безопасным способом, чтобы открыть его для внешнего трафика?

Как вызвать Flex SWF из удаленного домена с помощью Flash (AS3)?

У меня есть Flex swf, размещенный в http://www.a.com/a.swf . У меня есть код flash на другом doamin, который пытается загрузить SWF:

_loader = new Loader();
var req:URLRequest = new URLRequest("http://services.nuconomy.com/n.swf");
_loader.contentLoaderInfo.addEventListener(Event.COMPLETE,onLoaderFinish);
_loader.load(req);

На событии onLoaderFinish я пытаюсь загрузить классы из удаленного SWF и создать их:

_loader.contentLoaderInfo.applicationDomain.getDefinition("someClassName") as Class

Когда этот код выполняется, я получаю следующее исключение

SecurityError: Error #2119: Security sandbox violation: caller http://localhost.service:1234/flashTest/Main.swf cannot access LoaderInfo.applicationDomain owned by http://www.b.com/b.swf.
    at flash.display::LoaderInfo/get applicationDomain()
    at NuconomyLoader/onLoaderFinish()

Есть ли способ заставить этот код работать?

Как получить файл с сервера через SFTP?

Я пытаюсь получить файл с сервера, используя SFTP (в отличие от FTPS), используя Java. Как я могу это сделать?

Может ли прокси-сервер кэшировать SSL GETs? Если нет, то будет ли достаточно шифрования тела ответа?

Может ли (||любой) прокси-сервер кэшировать содержимое, запрошенное клиентом через https? Поскольку прокси-сервер не может видеть строку запроса или заголовки http, я думаю, что они не могут.

Я рассматриваю настольное приложение, управляемое рядом людей, стоящих за своими компаниями прокси. Это приложение может получить доступ к услугам через интернет, и я хотел бы воспользоваться встроенной инфраструктурой кэширования интернета для 'reads'. Если кэширующие прокси-серверы не могут кэшировать доставленное содержимое SSL, будет ли просто шифрование содержимого ответа жизнеспособным вариантом?

Я рассматриваю все запросы GET, которые мы хотим получить, будут запрошены через http с телом, зашифрованным с помощью асимметричного шифрования, где у каждого клиента есть ключ расшифровки. Всякий раз, когда мы хотим выполнить операцию GET, которая не является cachable, или операцию POST, она будет выполнена над SSL.

LocationProvider

Нам нужно заменить систему меню в нашем главном приложении ASP.NET. Поэтому, естественно, мы смотрим на элементы управления ASP.NET SiteMapProvider и Menu . Однако нам также нужна достаточная безопасность, чтобы запретить пользователям напрямую вводить URLs, к которому они не должны иметь доступа. Мы можем сделать это, поместив <location> записей в web.config и защищая их по отдельности, но это будет PITA для управления несколькими веб-серверами.

Есть ли Provider , который можно использовать, чтобы обеспечить эквивалент <location> записей? Я не смог найти его, и это немного расстраивает, учитывая существование класса ConfigurationLocation .

Кроме того, есть ли опция конфигурации, которую мы пропускаем в SiteMapProvider, которая ограничит пользователей от получения до URLs, они не должны?

Вызов .NET веб-службы (WSE 2/3, WS-Security) из Java

Мне нужно позвонить в веб-сервис, написанный на .NET из Java. Веб-служба реализует стек WS-Security (либо WSE 2, либо WSE 3, это не ясно из имеющейся у меня информации).

Информация, которую я получил от поставщика услуг, включала WSDL, файл policyCache.config, некоторый пример кода C# и пример приложения, которое может успешно вызвать службу.

Это не так полезно, как кажется, потому что не ясно, как я должен использовать эту информацию для написания клиента Java. Если запрос веб-службы не подписан в соответствии с политикой, то он отклоняется службой. Я пытаюсь использовать Apache Axis2 и не могу найти никаких инструкций, как я должен использовать файл policyCahce.config и WSDL для создания клиента.

Есть несколько примеров, которые я нашел в интернете, но во всех случаях авторы примеров имели контроль как над сервисом, так и над клиентом, и поэтому смогли сделать настройки с обеих сторон, чтобы заставить его работать. Я не нахожусь в таком положении.

Кто-нибудь сделал это успешно?

Как Вы Защищаете database.yml?

В пределах Ruby на Rails приложения database.yml представляет собой обычный текстовый файл, который хранит учетные данные базы данных.

Когда я развертываю свои приложения Rails, у меня есть обратный вызов после развертывания в моем Capistrano рецепт, который создает символическую ссылку в каталоге приложения /config на файл database.yml. Сам файл хранится в отдельном каталоге, который находится вне стандартной структуры каталогов Capistrano /releases. Я chmod 400 файл, так что он читается только пользователем, который его создал.

• Достаточно ли этого, чтобы заблокировать его? А если нет, то чем еще вы занимаетесь?
• Кто-нибудь шифрует свои файлы database.yml?

Шифрование в веб-сервисах C#

Я ищу простой способ зашифровать мое сообщение soap в моем веб-сервисе C#.

Я искал WSE 3.0 , но, похоже, Microsoft отказалась от его поддержки, и поэтому его не так просто использовать.
Похоже, что WCF мог бы быть вариантом, но я предпочитаю не обновляться с .NET 2.0 .

Какой-нибудь простой и понятный метод шифрования?

Скрытие пароля сетевого прокси в текстовых файлах на Linux/UNIX-likes

Как правило, в большой сети компьютер должен работать за аутентифицированным прокси-сервером - любые соединения с внешним миром требуют имя пользователя / пароль, который часто используется пользователем для входа в email, workstation и т. д.

Это означает необходимость поместить сетевой пароль в файл apt.conf , а также, как правило, переменные окружения http_proxy, ftp_proxy и https_proxy , определенные в ~/.profile

Я понимаю, что с помощью apt.conf вы можете установить chmod 600 (что не является по умолчанию на Ubuntu/Debian!), но в нашей системе есть люди, которым нужны корневые привилегии .

Я также понимаю, что технически невозможно защитить пароль от кого-то, кто имеет доступ root, однако мне было интересно, есть ли способ скрыть пароль, чтобы предотвратить случайное обнаружение. Windows работает с пользователями как администраторы, но каким-то образом хранит сетевые пароли (вероятно, хранящиеся глубоко в реестре, скрытом каким-то образом), так что при обычном использовании вы не наткнетесь на него в обычном тексте

Я только спрашиваю, так как на днях я совершенно случайно обнаружил, что кто-то другой использует пароль таким образом при сравнении конфигурационных файлов в разных системах.

@monjardin-аутентификация с открытым ключом, боюсь, не является альтернативой в этой сети. Кроме того, я сомневаюсь, что он поддерживается среди большинства инструментов командной строки.

@Neall-я не возражаю против того, чтобы другие пользователи имели доступ в интернет, они могут использовать мои учетные данные для доступа в интернет, я просто не хочу, чтобы они пересекались с моим паролем в обычном тексте.

Странная желтая панель всплывает: "Microsoft Data Access-службы удаленных данных

Когда я получаю доступ к своему сайту с любого компьютера, я вижу, что это предупреждение появляется:

"Этот веб-узел хочет запустить следующее дополнение:" Microsoft Data Доступ К Удаленным Данным Служб Дат... от 'Microsoft Corporation'. Если Вы доверяете веб-узлу и надстройке и хотите разрешить ей запуск, кликните сюда..."

Я предполагаю, что это какой-то вирус или что-то еще. Я хотел бы знать, как удалить это с моего сайта.

Как защитить мой новый веб-сервер (Server 2008)?

Я только что поставил свой новый сервер на адрес IP с доменом, указывающим на него. Мне нужно иметь возможность удаленного администрирования. Я открыл брандмауэр для удаленного рабочего стола и трафика HTTP. Это будет достаточно безопасно? Я думаю, я должен, вероятно, переименовать администратора пользователя...

Для чего использовать Windows CardSpace?

Я делаю какую-то фанковую аутентификацию (и да, я знаю, open-id потрясающий, но опять же мой open-id не работает прямо сейчас!).

Натыкаясь на Windows CardSpace мне было интересно, использовал ли кто-нибудь это в реальной системе продукта. Если вы использовали его, каковы были плюсы и минусы для вас? И как я могу использовать его в моем open-id?

Тестирование кода .NET в средах частичного доверия

Я хочу проверить поведение определенного фрагмента кода .NET в среде частичного доверия. Каков самый быстрый способ настроить это? Не стесняйтесь предположить, что я (и другие читатели) всего CAS нуб.

@Nick: Спасибо за ответ. Увы, рассматриваемый инструмент явно предназначен для неуправляемого кода. Я не сказал "managed" в своем вопросе и не должен был предполагать, что люди будут выводить его из тега ".NET".

DCOM: CoCreateInstanceEx возвращает E_ACCESSDENIED

Я работаю над приложением DCOM с сервером и клиентом на двух машинах, на обеих из которых работает WinXP с пакетом обновления 2. На обеих машинах я вошел в систему с одним и тем же именем пользователя и паролем.

Когда клиент на одной машине вызывает CoCreateInstanceEx, прося другую машину запустить серверное приложение, он возвращает E_ACCESSDENIED.

Я попытался войти в свойства компонентов серверного приложения в dcomcnfg и дать всем полные разрешения на все, но это не помогло.

Что мне нужно сделать, чтобы этот призыв увенчался успехом?

Update: когда серверное приложение работает на коробке Windows 2000, я не получаю эту ошибку; CoCreateInstanceEx возвращает S_OK.

Т. е. вопросы зоны безопасности

Я разрабатываю веб-сайт, который будет использоваться в корпоративной интрасети, которая использует JCIFS и NTLM для автоматической аутентификации пользователей, не требуя от них входа в систему. Все, кажется, работает в IE 6, но некоторые пользователи запрашивают свои пароли в IE 7.

Мы добились некоторого успеха, заставив пользователей изменить свой параметр входа в систему на "Automatic logon using current username and password" (инструменты > Свойства обозревателя > вкладка безопасности > выберите локальная интрасеть > пользовательский уровень > полностью в нижней части аутентификация пользователя > вход в систему), но у нас все еще есть несколько пользователей, которые получают приглашения имени пользователя/пароля.

Кроме того, у нас были некоторые пользователи сообщают, что они могут просто нажать кнопку Отмена, когда появится приглашение, и страница появится правильно.

Если у кого-то есть другие предложения, я был бы очень признателен.

Как защитить папку, которая используется для загрузки файлов пользователями?

У меня есть папка на моем веб-сервере, используемая для загрузки фотографий пользователями с помощью страницы ASP.

Достаточно ли безопасно давать IUSR разрешения на запись в папку? Должен ли я обеспечить что-то еще? Я боюсь хакеров, которые обходят страницу ASP и загружают содержимое непосредственно в папку.

Я использую ASP classic и IIS6 на сервере Windows 2003. Загрузка осуществляется через HTTP, а не FTP.

Изменить: изменение вопроса для ясности и изменение моих ответов в качестве комментариев.

Как лучше всего предотвратить захват сеанса?

В частности, это касается использования файла cookie сеанса клиента для идентификации сеанса на сервере.

Является ли лучшим решением использовать шифрование SSL/HTTPS для всего веб-сайта, и у вас есть лучшая гарантия того, что ни один человек в середине атаки не сможет обнюхать существующий файл cookie сеанса клиента?

И, возможно, во-вторых, лучше всего использовать какое-то шифрование самого значения сеанса, которое хранится в вашем сеансовом файле cookie?

Если злоумышленник имеет физический доступ к машине, он все равно может посмотреть файловую систему, чтобы получить допустимый файл cookie сеанса и использовать его для захвата сеанса?

О каких распространенных веб-эксплойтах я должен знать?

Я довольно зеленый еще, когда дело доходит до веб-программирования, я провел большую часть своего времени на клиентских приложениях. Поэтому мне любопытно, какие общие подвиги я должен бояться / тестировать на своем сайте.

Как IE7 определяет зону безопасности сайта

Кто-нибудь знает, как IE7 определяет, какую зону безопасности использовать для сайта? Я вижу основы для IE6 здесь, но я не могу найти эквивалент для IE7.

Изменение политики безопасности .NET стандартными пользователями?

Политика безопасности .NET может быть изменена из сценария с помощью CasPol.exe . Скажем, я буду распространять приложение для нескольких пользователей в локальной сети. Большинство из этих пользователей будут непривилегированными, стандартными учетными записями, поэтому у них не будет необходимых разрешений для соответствующей команды.

Я думаю, что буду искать сценарии входа в домен. Есть ли какие-то альтернативные сценарии? Есть ли решения для сетей без домена?

Edit: я обязан использовать версию фреймворка 2.0

Что делать с ScanAlert?

Один из моих клиентов использует McAfee ScanAlert (т. е. HackerSafe). Он в основном попадает на сайт с около 1500 плохих запросов в день ищет дыры в безопасности. Поскольку он демонстрирует вредоносное поведение, заманчиво просто заблокировать его после нескольких плохих запросов, но, возможно, я должен позволить ему использовать UI. Будет ли это настоящим испытанием, если я не дам ему закончить?

Запуск сборок "partially trusted" .NET из общего сетевого ресурса

Когда я пытаюсь запустить .NET assembly ( boo.exe ) из общего сетевого ресурса (подключенного к диску), это не удается, так как он только частично доверен:

Unhandled Exception: System.Security.SecurityException: That assembly does not allow partially trusted callers.
   at System.Security.CodeAccessSecurityEngine.ThrowSecurityException(Assembly asm, PermissionSet granted, PermissionSet refused, RuntimeMethodHandle rmh, SecurityAction action, Object demand, IPermission permThatFailed)
   at BooCommandLine..ctor()
   at Program..ctor()
   at ProgramModule.Main(String[] argv)
The action that failed was:
LinkDemand
The assembly or AppDomain that failed was:
boo, Version=0.0.0.0, Culture=neutral, PublicKeyToken=32c39770e9a21a67
The Zone of the assembly that failed was:
Intranet
The Url of the assembly that failed was:
file:///H:/boo-svn/bin/boo.exe

С инструкциями из сообщения в блоге я добавил политику к конфигурации .NET, полностью доверяя всем сборкам с file:///H:/* в качестве их URL. Я проверил это, введя URL file:///H:/boo-svn/bin/boo.exe в средство оценки Assembly в конфигурации .NET и отметив, что boo.exe имеет неограниченное разрешение (которого у него не было до политики).

Даже с разрешения, boo.exe не работает. Я все еще получаю то же самое сообщение об ошибке.

Что я могу сделать, чтобы устранить эту проблему? Есть ли другой способ запустить "partially trusted" сборок из общих сетевых ресурсов без необходимости что-то менять для каждого assembly, который я хочу запустить?

Безопасная синхронизация папок по общедоступной сети

Мне нужно, чтобы файлы & папок на двух Windows основе, не доменных машин синхронизированы через общедоступную сеть.

Я думал rsync над SSH - но мне было интересно, есть ли более простое решение? Есть ли возможность использовать sync framework через SFTP/SCP/SSH?

Или я открыт для лучших идей?

Действительно ли "safe_eval" безопасен?

Я ищу функцию "safe" eval, чтобы реализовать вычисления, подобные электронным таблицам (используя numpy/scipy).

Функциональность для этого ( модуль rexec) была удалена из Python с 2.3 из-за явно нефиксируемых проблем безопасности. Есть несколько сторонних хаков, которые претендуют на это - самое продуманное решение, которое я нашел, это это Python рецепт Кукбока, "safe_eval".

Достаточно ли я безопасен, если я использую это (или что-то подобное), чтобы защитить от вредоносного кода, или я застрял с написанием собственного парсера? Кто-нибудь знает лучшие альтернативы?

EDIT: я только что открыл RestrictedPython, который является частью Zope. Любые мнения по этому поводу приветствуются.

Контрольный список уязвимостей программирования веб-сайтов

Смотрите SO пришел онлайн был для меня достаточно образования. Я хотел бы сделать контрольный список различных возможностей и эксплойтов, используемых против веб-сайтов, и какие методы программирования можно использовать для защиты от них.

• Какие категории vunerabilities?
  • сбой сайта
  • взлом сервера
  • взлом чужих Логинов
  • спам
  • "клоноводство", meatpuppeting
  • и т.д...
• Какие методы защитного программирования?
• и т.д...

(IIS/Win2000Pro) предоставление прав на чтение реестра пользователю IIS?

Итак, я запускаю небольшой тест webserver в своей частной сети. У меня есть машина под управлением Windows 2000 Pro, и я пытаюсь запустить приложение ASP.NET через IIS.

Я написал это так, чтобы веб-страница использовала реестр для хранения определенных настроек (строки подключения, потенциально изменчивые местоположения других веб-служб, пути в локальной файловой системе, где хранится определенная информация и т. д...) Конечно, он отлично работал при тестировании с VStudio.NET 2005, потому что пользователь, запускающий приложение, имеет повышенные привилегии. Однако, запустив его на IIS, я получаю "доступ к разделу реестра" HKEY_LOCAL_MACHINE\Software " запрещен.", что предполагает, что пользователь IIS не имеет доступа для чтения к этой части реестра (я только читаю сам сайт, никогда не пишу).

Я подумал: "Хорошо, достаточно просто, я просто дам этому пользователю права на эту часть реестра через regedit."Проблема в том, что я не вижу возможности где-либо в regedit изменить настройки безопасности... совсем. Что заставило меня задуматься... Я не думаю, что мне когда-либо приходилось менять настройки безопасности для кустов реестра/ключей раньше, и я не думаю, что знаю, как это сделать.

Спустя полчаса поиска в Интернете я не нашел никакой полезной информации по этому вопросу. Вот что мне интересно... как DO вы меняете права безопасности на части реестра? Я в тупике, и кажется, что моя способность найти ответ на Google полностью подводит меня... и так как я только что зарегистрировался здесь, я подумал, что посмотрю, знает ли кто-нибудь здесь. =)

Открыть файлы из сетевой папки в веб-приложение c#

У меня есть веб-приложение, которое должно читать (и, возможно, записывать) файлы из общего сетевого ресурса. Мне было интересно, как лучше всего это сделать?

Я не могу предоставить сетевой службе или учетным записям aspnet доступ к сетевому ресурсу. Я вполне мог бы использовать олицетворение.

Сетевой ресурс и веб-приложение размещаются в одном домене, и я могу создать нового пользователя в домене специально для этой цели, однако я не совсем уверен, как соединить точки между созданием filestream и указанием учетных данных для использования в веб-приложении.

---

К сожалению, диск не сопоставлен с сетевым диском на машине, он доступен мне только как сетевой ресурс, поэтому, к сожалению, я не могу сделать прозрачный вызов.

Есть одна проблема, которую я могу придумать с олицетворением... Я могу выдавать себя только за одного пользователя на домен приложения, но я счастлив быть исправленным. Возможно, мне придется записать этот файл в несколько разных общих папок, что означает, что мне придется выдавать себя за нескольких пользователей.

Мне нравится идея создания токена... если я смогу это сделать, то смогу заранее запросить у пользователей их учетные данные, а затем динамически применить защиту и выдавать им значимые сообщения об ошибках, если доступ будет запрещен... Я ухожу играть, но вернусь с обновлениями.

Безопасность Для Применения Голосования

У меня есть проект по созданию голосующего настольного приложения для класса в Java. Хотя безопасность не является фокусом проекта, я хотел бы быть настолько реалистичным, насколько это возможно. Назовите некоторые из основных инструментов для интеграции безопасности в приложение Java.

Edit: я в первую очередь не беспокоюсь о физической безопасности, мы просто создаем приложение, а не целую систему. Я хочу убедиться, что голоса записаны правильно и не могут быть изменены или прочитаны кем-то другим.

Как я могу сделать манифест .net assembly частным?

Что мне делать, если я хочу освободить .net assembly, но хочу сохранить его внутренние детали в манифесте частными (от утилиты, такой как ildasm.exe ) ?