Результаты поиска

PHP Безопасность Сеанса

Каковы некоторые рекомендации по поддержанию ответственной безопасности сеанса с PHP? Есть информация по всему интернету, и это о времени, когда все это приземлилось в одном месте!

Окончательное руководство по проверке подлинности веб-сайта на основе форм

Аутентификация на основе форм для веб-сайтов

Мы считаем, что Stack Overflow должен быть не только ресурсом для очень конкретных технических вопросов, но и для общих руководящих принципов по решению вариаций общих проблем. "Form based authentication for websites" должно быть прекрасной темой для такого эксперимента.

Он должен включать такие темы, как:

• Как войти в систему
• Как выйти из системы
• Как оставаться в системе
• Управление файлами cookie (включая рекомендуемые настройки)
• Шифрование SSL/HTTPS
• Как хранить пароли
• Использование секретных вопросов
• Забытый логин / пароль функциональность
• Использовать специальные слова, чтобы предотвратить подделка межсайтовых запросов (CSRF)
• OpenID
• "Remember me" checkbox
• Автозавершение браузером имен пользователей и паролей
• Секретный URLs (публичный URL защищен дайджестом)
• Проверка надежности пароля
• Проверка электронной почты
• и многое другое о проверке подлинности на основе форм ...

Он не должен включать в себя такие вещи, как:

• Роли и разрешения
• HTTP обычной проверки подлинности

Пожалуйста, помогите нам:

1. Предлагая подтемы
2. Отправка хороших статей на эту тему
3. Редактирование официального ответа

Существуют ли рекомендации по тестированию безопасности в магазине разработки Agile?

Что касается разработки Agile, каковы рекомендации по тестированию безопасности для каждого выпуска?

Если это ежемесячный выпуск, есть ли магазины, которые делают тесты пера каждый месяц?

Существуют ли рекомендации по тестированию безопасности в магазине разработки Agile?

Что касается разработки Agile, каковы рекомендации по тестированию безопасности для каждого выпуска?

Если это ежемесячный выпуск, есть ли магазины, которые делают тесты пера каждый месяц?

Инструменты/стратегия обфускации .NET

Мой продукт состоит из нескольких компонентов: ASP.NET, Windows Forms App и Windows Service. 95% или около того кода написано в VB.NET.

По соображениям интеллектуальной собственности мне нужно запутать код, и до сих пор я использовал версию dotfuscator, которой уже более 5 лет. Я думаю, что пришло время перейти к инструменту нового поколения. То, что я ищу, - это список требований, которые я должен учитывать при поиске нового обфускатора.

То что я знаю я должен искать до сих пор:

• Serialization/De-serialization . В моем текущем решении я просто говорю инструменту не запутывать никакие члены данных класса, потому что боль от невозможности загрузить данные, которые были ранее сериализованы, просто слишком велика.
• Интеграция с процессом сборки
• Работа с ASP.NET . В прошлом я находил это проблематичным из - за изменения имен .dll (у вас часто есть по одному на страницу), с которыми не все инструменты справляются хорошо.

Что мне нужно избежать при отправке запроса?

При выполнении запроса SQL необходимо очистить строки, иначе пользователи могут выполнить вредоносный запрос SQL на вашем веб-сайте.

У меня обычно просто есть функция escape_string(бла), которая:

• Заменяет escapes ( \) на двойные escapes ( \\).
• Заменяет одинарные кавычки (') на экранированные одинарные кавычки ( \').

Достаточно ли этого? Есть ли дыра в моем коде? Есть ли библиотека, которая может сделать это быстро и надежно для меня?

Я хотел бы видеть изящные решения в Perl, Java и PHP.

Что такое хороший шаблон использования Mercurial для этой установки?

У нас есть два разработчика в одной и той же закрытой (тьфу, глупый gov) сети, другой разработчик в паре минут езды по дороге, а четвертый разработчик на полпути через всю страну. Электронная почта, ftp, и удаление media - все возможные способы передачи для людей, не находящихся в одной сети.

Я являюсь одним из двух разработчиков закрытых сетей, считайте нас "master" location.

Что такое лучшая настройка Mercurial / шаблон для группы? Каков наилучший способ trasmit изменения в / из удаленных разработчиков? Поскольку я отвечаю за это, я решил, что мне нужно будет сохранить по крайней мере один мастер-РЕПО с другим локальным РЕПО, в котором я могу развиваться. Каждый другой человек должен просто нуждаться в Клоне мастера. Это правда? Я думаю, это также делает меня ответственным за слияние?

Как вы можете видеть, я все еще пытаюсь обернуть голову вокруг распределенного контроля версий. Я не думаю, что есть какой-либо другой способ сделать это с ситуацией подключения.

Обеспечение безопасности linux webserver для публичного доступа

Я хотел бы установить дешевую коробку Linux в качестве веб-сервера для размещения различных веб-технологий (PHP & Java EE приходят на ум, но я хотел бы поэкспериментировать с Ruby или Python в будущем).

Я довольно хорошо разбираюсь в настройке Tomcat для запуска на Linux для обслуживания Java EE приложений, но я хотел бы иметь возможность открыть этот сервер, даже просто для того, чтобы создать некоторые инструменты, которые я могу использовать во время работы в офисе. Весь опыт, который я имел с настройкой сайтов Java EE, был связан с приложениями интрасети, где нам было сказано не сосредотачиваться на защите страниц для внешних пользователей.

Каков ваш совет по настройке персонального веб-сервера Linux достаточно безопасным способом, чтобы открыть его для внешнего трафика?

Обеспечение безопасности linux webserver для публичного доступа

Я хотел бы установить дешевую коробку Linux в качестве веб-сервера для размещения различных веб-технологий (PHP & Java EE приходят на ум, но я хотел бы поэкспериментировать с Ruby или Python в будущем).

Я довольно хорошо разбираюсь в настройке Tomcat для запуска на Linux для обслуживания Java EE приложений, но я хотел бы иметь возможность открыть этот сервер, даже просто для того, чтобы создать некоторые инструменты, которые я могу использовать во время работы в офисе. Весь опыт, который я имел с настройкой сайтов Java EE, был связан с приложениями интрасети, где нам было сказано не сосредотачиваться на защите страниц для внешних пользователей.

Каков ваш совет по настройке персонального веб-сервера Linux достаточно безопасным способом, чтобы открыть его для внешнего трафика?

Rational Purify не удается перейти к утечкам памяти

Поэтому моя компания использует восхитительно ошибочную программу Rational Purify (как плагин для Microsoft Visual Developer Studio) для управления утечками памяти. Программа соизволила позволить вам нажать на утечку памяти после того, как вы столкнулись с ней, а затем перейти к строке, на которой происходит утечка.

К сожалению, Purify неисправен, и Purify не будет прыгать в место, где произошла утечка, он только упоминает класс и метод, в котором происходит утечка. К сожалению, иногда это так же полезно, как нанять гида, чтобы помочь вам охотиться на медведей и заставить его указать на лес и сказать вам, что там есть медведи.

У кого-нибудь с опытом Purify есть идеи, как я могу исправить эту проблему или иметь хорошее руководство, чтобы посмотреть?

Как объединить два проекта в Mercurial?

У меня есть два отдельных репозитория mercurial. На данный момент имеет смысл, что они "become one", потому что я хочу работать над двумя проектами одновременно.

Мне бы очень хотелось, чтобы каждый из этих двух проектов был подкаталогом в новом репозитории.

1. Как объединить эти два проекта?
2. Это хорошая идея, или я должен это сделать держать их отдельно друг от друга?

Кажется, я должен уметь переходить из одного хранилища в другое... Может быть, это действительно прямолинейно?

Mercurial застрял " в ожидании блокировки"

Получил синий экран в windows при клонировании репозитория mercurial.

После перезагрузки я теперь получаю это сообщение почти для всех команд hg:

c:\src\>hg commit
waiting for lock on repository c:\src\McVrsServer held by '\x00\x00\x00\x00\x00\
x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00'
interrupted!

Google тут не поможет.

Есть какие-нибудь советы?

Как вызвать Flex SWF из удаленного домена с помощью Flash (AS3)?

У меня есть Flex swf, размещенный в http://www.a.com/a.swf . У меня есть код flash на другом doamin, который пытается загрузить SWF:

_loader = new Loader();
var req:URLRequest = new URLRequest("http://services.nuconomy.com/n.swf");
_loader.contentLoaderInfo.addEventListener(Event.COMPLETE,onLoaderFinish);
_loader.load(req);

На событии onLoaderFinish я пытаюсь загрузить классы из удаленного SWF и создать их:

_loader.contentLoaderInfo.applicationDomain.getDefinition("someClassName") as Class

Когда этот код выполняется, я получаю следующее исключение

SecurityError: Error #2119: Security sandbox violation: caller http://localhost.service:1234/flashTest/Main.swf cannot access LoaderInfo.applicationDomain owned by http://www.b.com/b.swf.
    at flash.display::LoaderInfo/get applicationDomain()
    at NuconomyLoader/onLoaderFinish()

Есть ли способ заставить этот код работать?

Как получить файл с сервера через SFTP?

Я пытаюсь получить файл с сервера, используя SFTP (в отличие от FTPS), используя Java. Как я могу это сделать?

Может ли прокси-сервер кэшировать SSL GETs? Если нет, то будет ли достаточно шифрования тела ответа?

Может ли (||любой) прокси-сервер кэшировать содержимое, запрошенное клиентом через https? Поскольку прокси-сервер не может видеть строку запроса или заголовки http, я думаю, что они не могут.

Я рассматриваю настольное приложение, управляемое рядом людей, стоящих за своими компаниями прокси. Это приложение может получить доступ к услугам через интернет, и я хотел бы воспользоваться встроенной инфраструктурой кэширования интернета для 'reads'. Если кэширующие прокси-серверы не могут кэшировать доставленное содержимое SSL, будет ли просто шифрование содержимого ответа жизнеспособным вариантом?

Я рассматриваю все запросы GET, которые мы хотим получить, будут запрошены через http с телом, зашифрованным с помощью асимметричного шифрования, где у каждого клиента есть ключ расшифровки. Всякий раз, когда мы хотим выполнить операцию GET, которая не является cachable, или операцию POST, она будет выполнена над SSL.

LocationProvider

Нам нужно заменить систему меню в нашем главном приложении ASP.NET. Поэтому, естественно, мы смотрим на элементы управления ASP.NET SiteMapProvider и Menu . Однако нам также нужна достаточная безопасность, чтобы запретить пользователям напрямую вводить URLs, к которому они не должны иметь доступа. Мы можем сделать это, поместив <location> записей в web.config и защищая их по отдельности, но это будет PITA для управления несколькими веб-серверами.

Есть ли Provider , который можно использовать, чтобы обеспечить эквивалент <location> записей? Я не смог найти его, и это немного расстраивает, учитывая существование класса ConfigurationLocation .

Кроме того, есть ли опция конфигурации, которую мы пропускаем в SiteMapProvider, которая ограничит пользователей от получения до URLs, они не должны?

Вызов .NET веб-службы (WSE 2/3, WS-Security) из Java

Мне нужно позвонить в веб-сервис, написанный на .NET из Java. Веб-служба реализует стек WS-Security (либо WSE 2, либо WSE 3, это не ясно из имеющейся у меня информации).

Информация, которую я получил от поставщика услуг, включала WSDL, файл policyCache.config, некоторый пример кода C# и пример приложения, которое может успешно вызвать службу.

Это не так полезно, как кажется, потому что не ясно, как я должен использовать эту информацию для написания клиента Java. Если запрос веб-службы не подписан в соответствии с политикой, то он отклоняется службой. Я пытаюсь использовать Apache Axis2 и не могу найти никаких инструкций, как я должен использовать файл policyCahce.config и WSDL для создания клиента.

Есть несколько примеров, которые я нашел в интернете, но во всех случаях авторы примеров имели контроль как над сервисом, так и над клиентом, и поэтому смогли сделать настройки с обеих сторон, чтобы заставить его работать. Я не нахожусь в таком положении.

Кто-нибудь сделал это успешно?

Как Вы Защищаете database.yml?

В пределах Ruby на Rails приложения database.yml представляет собой обычный текстовый файл, который хранит учетные данные базы данных.

Когда я развертываю свои приложения Rails, у меня есть обратный вызов после развертывания в моем Capistrano рецепт, который создает символическую ссылку в каталоге приложения /config на файл database.yml. Сам файл хранится в отдельном каталоге, который находится вне стандартной структуры каталогов Capistrano /releases. Я chmod 400 файл, так что он читается только пользователем, который его создал.

• Достаточно ли этого, чтобы заблокировать его? А если нет, то чем еще вы занимаетесь?
• Кто-нибудь шифрует свои файлы database.yml?

Шифрование в веб-сервисах C#

Я ищу простой способ зашифровать мое сообщение soap в моем веб-сервисе C#.

Я искал WSE 3.0 , но, похоже, Microsoft отказалась от его поддержки, и поэтому его не так просто использовать.
Похоже, что WCF мог бы быть вариантом, но я предпочитаю не обновляться с .NET 2.0 .

Какой-нибудь простой и понятный метод шифрования?

Скрытие пароля сетевого прокси в текстовых файлах на Linux/UNIX-likes

Как правило, в большой сети компьютер должен работать за аутентифицированным прокси-сервером - любые соединения с внешним миром требуют имя пользователя / пароль, который часто используется пользователем для входа в email, workstation и т. д.

Это означает необходимость поместить сетевой пароль в файл apt.conf , а также, как правило, переменные окружения http_proxy, ftp_proxy и https_proxy , определенные в ~/.profile

Я понимаю, что с помощью apt.conf вы можете установить chmod 600 (что не является по умолчанию на Ubuntu/Debian!), но в нашей системе есть люди, которым нужны корневые привилегии .

Я также понимаю, что технически невозможно защитить пароль от кого-то, кто имеет доступ root, однако мне было интересно, есть ли способ скрыть пароль, чтобы предотвратить случайное обнаружение. Windows работает с пользователями как администраторы, но каким-то образом хранит сетевые пароли (вероятно, хранящиеся глубоко в реестре, скрытом каким-то образом), так что при обычном использовании вы не наткнетесь на него в обычном тексте

Я только спрашиваю, так как на днях я совершенно случайно обнаружил, что кто-то другой использует пароль таким образом при сравнении конфигурационных файлов в разных системах.

@monjardin-аутентификация с открытым ключом, боюсь, не является альтернативой в этой сети. Кроме того, я сомневаюсь, что он поддерживается среди большинства инструментов командной строки.

@Neall-я не возражаю против того, чтобы другие пользователи имели доступ в интернет, они могут использовать мои учетные данные для доступа в интернет, я просто не хочу, чтобы они пересекались с моим паролем в обычном тексте.

как разрешить файлы, начинающиеся с периода и без расширения в windows 2003 server?

Как я могу создать этот файл в каталоге в windows 2003 SP2:

.hgignore

Я получаю ошибку: вы должны ввести имя файла.

Странная желтая панель всплывает: "Microsoft Data Access-службы удаленных данных

Когда я получаю доступ к своему сайту с любого компьютера, я вижу, что это предупреждение появляется:

"Этот веб-узел хочет запустить следующее дополнение:" Microsoft Data Доступ К Удаленным Данным Служб Дат... от 'Microsoft Corporation'. Если Вы доверяете веб-узлу и надстройке и хотите разрешить ей запуск, кликните сюда..."

Я предполагаю, что это какой-то вирус или что-то еще. Я хотел бы знать, как удалить это с моего сайта.

Как защитить мой новый веб-сервер (Server 2008)?

Я только что поставил свой новый сервер на адрес IP с доменом, указывающим на него. Мне нужно иметь возможность удаленного администрирования. Я открыл брандмауэр для удаленного рабочего стола и трафика HTTP. Это будет достаточно безопасно? Я думаю, я должен, вероятно, переименовать администратора пользователя...

Существует ли система отслеживания ошибок/проблем, которая интегрируется с Mercurial?

Я уже использовал Trac / Subversion раньше, и мне очень нравится интеграция. Мой текущий проект использует Mercurial для распределенной разработки, и было бы неплохо иметь возможность отслеживать проблемы/ошибки и интегрировать это с Mercurial. Я понял, что это может быть сложно с природой DVCS.

Для чего использовать Windows CardSpace?

Я делаю какую-то фанковую аутентификацию (и да, я знаю, open-id потрясающий, но опять же мой open-id не работает прямо сейчас!).

Натыкаясь на Windows CardSpace мне было интересно, использовал ли кто-нибудь это в реальной системе продукта. Если вы использовали его, каковы были плюсы и минусы для вас? И как я могу использовать его в моем open-id?

Тестирование кода .NET в средах частичного доверия

Я хочу проверить поведение определенного фрагмента кода .NET в среде частичного доверия. Каков самый быстрый способ настроить это? Не стесняйтесь предположить, что я (и другие читатели) всего CAS нуб.

@Nick: Спасибо за ответ. Увы, рассматриваемый инструмент явно предназначен для неуправляемого кода. Я не сказал "managed" в своем вопросе и не должен был предполагать, что люди будут выводить его из тега ".NET".

DCOM: CoCreateInstanceEx возвращает E_ACCESSDENIED

Я работаю над приложением DCOM с сервером и клиентом на двух машинах, на обеих из которых работает WinXP с пакетом обновления 2. На обеих машинах я вошел в систему с одним и тем же именем пользователя и паролем.

Когда клиент на одной машине вызывает CoCreateInstanceEx, прося другую машину запустить серверное приложение, он возвращает E_ACCESSDENIED.

Я попытался войти в свойства компонентов серверного приложения в dcomcnfg и дать всем полные разрешения на все, но это не помогло.

Что мне нужно сделать, чтобы этот призыв увенчался успехом?

Update: когда серверное приложение работает на коробке Windows 2000, я не получаю эту ошибку; CoCreateInstanceEx возвращает S_OK.

.NET-получить протокол, хост и порт

Есть ли простой способ в .NET быстро получить текущий протокол, хост и порт? Например, если я нахожусь на следующем URL:

http://www.mywebsite.com:80/pages/page1.aspx

Мне нужно вернуться:

http://www.mywebsite.com:80

Я знаю, что могу использовать Request.Url.AbsoluteUri для получения полного URL, и я знаю, что могу использовать Request.Url.Authority для получения хоста и порта, но я не уверен в лучшем способе получения протокола без разбора строки URL.

Есть какие-нибудь предложения?

Т. е. вопросы зоны безопасности

Я разрабатываю веб-сайт, который будет использоваться в корпоративной интрасети, которая использует JCIFS и NTLM для автоматической аутентификации пользователей, не требуя от них входа в систему. Все, кажется, работает в IE 6, но некоторые пользователи запрашивают свои пароли в IE 7.

Мы добились некоторого успеха, заставив пользователей изменить свой параметр входа в систему на "Automatic logon using current username and password" (инструменты > Свойства обозревателя > вкладка безопасности > выберите локальная интрасеть > пользовательский уровень > полностью в нижней части аутентификация пользователя > вход в систему), но у нас все еще есть несколько пользователей, которые получают приглашения имени пользователя/пароля.

Кроме того, у нас были некоторые пользователи сообщают, что они могут просто нажать кнопку Отмена, когда появится приглашение, и страница появится правильно.

Если у кого-то есть другие предложения, я был бы очень признателен.

Как защитить папку, которая используется для загрузки файлов пользователями?

У меня есть папка на моем веб-сервере, используемая для загрузки фотографий пользователями с помощью страницы ASP.

Достаточно ли безопасно давать IUSR разрешения на запись в папку? Должен ли я обеспечить что-то еще? Я боюсь хакеров, которые обходят страницу ASP и загружают содержимое непосредственно в папку.

Я использую ASP classic и IIS6 на сервере Windows 2003. Загрузка осуществляется через HTTP, а не FTP.

Изменить: изменение вопроса для ясности и изменение моих ответов в качестве комментариев.

Как лучше всего предотвратить захват сеанса?

В частности, это касается использования файла cookie сеанса клиента для идентификации сеанса на сервере.

Является ли лучшим решением использовать шифрование SSL/HTTPS для всего веб-сайта, и у вас есть лучшая гарантия того, что ни один человек в середине атаки не сможет обнюхать существующий файл cookie сеанса клиента?

И, возможно, во-вторых, лучше всего использовать какое-то шифрование самого значения сеанса, которое хранится в вашем сеансовом файле cookie?

Если злоумышленник имеет физический доступ к машине, он все равно может посмотреть файловую систему, чтобы получить допустимый файл cookie сеанса и использовать его для захвата сеанса?

О каких распространенных веб-эксплойтах я должен знать?

Я довольно зеленый еще, когда дело доходит до веб-программирования, я провел большую часть своего времени на клиентских приложениях. Поэтому мне любопытно, какие общие подвиги я должен бояться / тестировать на своем сайте.

Как IE7 определяет зону безопасности сайта

Кто-нибудь знает, как IE7 определяет, какую зону безопасности использовать для сайта? Я вижу основы для IE6 здесь, но я не могу найти эквивалент для IE7.

Изменение политики безопасности .NET стандартными пользователями?

Политика безопасности .NET может быть изменена из сценария с помощью CasPol.exe . Скажем, я буду распространять приложение для нескольких пользователей в локальной сети. Большинство из этих пользователей будут непривилегированными, стандартными учетными записями, поэтому у них не будет необходимых разрешений для соответствующей команды.

Я думаю, что буду искать сценарии входа в домен. Есть ли какие-то альтернативные сценарии? Есть ли решения для сетей без домена?

Edit: я обязан использовать версию фреймворка 2.0

Что делать с ScanAlert?

Один из моих клиентов использует McAfee ScanAlert (т. е. HackerSafe). Он в основном попадает на сайт с около 1500 плохих запросов в день ищет дыры в безопасности. Поскольку он демонстрирует вредоносное поведение, заманчиво просто заблокировать его после нескольких плохих запросов, но, возможно, я должен позволить ему использовать UI. Будет ли это настоящим испытанием, если я не дам ему закончить?

Запуск сборок "partially trusted" .NET из общего сетевого ресурса

Когда я пытаюсь запустить .NET assembly ( boo.exe ) из общего сетевого ресурса (подключенного к диску), это не удается, так как он только частично доверен:

Unhandled Exception: System.Security.SecurityException: That assembly does not allow partially trusted callers.
   at System.Security.CodeAccessSecurityEngine.ThrowSecurityException(Assembly asm, PermissionSet granted, PermissionSet refused, RuntimeMethodHandle rmh, SecurityAction action, Object demand, IPermission permThatFailed)
   at BooCommandLine..ctor()
   at Program..ctor()
   at ProgramModule.Main(String[] argv)
The action that failed was:
LinkDemand
The assembly or AppDomain that failed was:
boo, Version=0.0.0.0, Culture=neutral, PublicKeyToken=32c39770e9a21a67
The Zone of the assembly that failed was:
Intranet
The Url of the assembly that failed was:
file:///H:/boo-svn/bin/boo.exe

С инструкциями из сообщения в блоге я добавил политику к конфигурации .NET, полностью доверяя всем сборкам с file:///H:/* в качестве их URL. Я проверил это, введя URL file:///H:/boo-svn/bin/boo.exe в средство оценки Assembly в конфигурации .NET и отметив, что boo.exe имеет неограниченное разрешение (которого у него не было до политики).

Даже с разрешения, boo.exe не работает. Я все еще получаю то же самое сообщение об ошибке.

Что я могу сделать, чтобы устранить эту проблему? Есть ли другой способ запустить "partially trusted" сборок из общих сетевых ресурсов без необходимости что-то менять для каждого assembly, который я хочу запустить?

Безопасная синхронизация папок по общедоступной сети

Мне нужно, чтобы файлы & папок на двух Windows основе, не доменных машин синхронизированы через общедоступную сеть.

Я думал rsync над SSH - но мне было интересно, есть ли более простое решение? Есть ли возможность использовать sync framework через SFTP/SCP/SSH?

Или я открыт для лучших идей?

Каков самый быстрый способ определить полный URL из относительного URL (учитывая базу URL)

В настоящее время я использую модуль URI::URL для создания полного URL из относительного URL; однако он работает не так быстро, как хотелось бы. Кто-нибудь знает другой способ сделать это, который может быть быстрее?

Действительно ли "safe_eval" безопасен?

Я ищу функцию "safe" eval, чтобы реализовать вычисления, подобные электронным таблицам (используя numpy/scipy).

Функциональность для этого ( модуль rexec) была удалена из Python с 2.3 из-за явно нефиксируемых проблем безопасности. Есть несколько сторонних хаков, которые претендуют на это - самое продуманное решение, которое я нашел, это это Python рецепт Кукбока, "safe_eval".

Достаточно ли я безопасен, если я использую это (или что-то подобное), чтобы защитить от вредоносного кода, или я застрял с написанием собственного парсера? Кто-нибудь знает лучшие альтернативы?

EDIT: я только что открыл RestrictedPython, который является частью Zope. Любые мнения по этому поводу приветствуются.

XML => HTML с Hpricot и Rails

Я никогда не работал с веб-сервисами и rails, и, очевидно, это то, что мне нужно узнать. Я решил использовать hpricot, потому что он выглядит великолепно. В любом случае, _why был достаточно хорош, чтобы предоставить следующий пример на веб -сайте hpricot :

 #!ruby
 require 'hpricot'
 require 'open-uri'
 # load the RedHanded home page
 doc = Hpricot(open("http://redhanded.hobix.com/index.html"))
 # change the CSS class on links
 (doc/"span.entryPermalink").set("class", "newLinks")
 # remove the sidebar
 (doc/"#sidebar").remove
 # print the altered HTML
 puts doc

Которая выглядит простой, элегантный, и удобной для тебя такого. Отлично работает в Ruby, но мой вопрос: Как я могу разбить это в rails?

Я экспериментировал с добавлением всего этого к одному контроллеру, но не мог придумать лучший способ назвать его в представлении.

Итак, если бы вы разбирали файл XML из web API и печатали его в nice clean HTML с помощью Hpricot, как бы вы разбили активность по моделям, представлениям и контроллерам, и что бы вы поместили туда?

Контрольный список уязвимостей программирования веб-сайтов

Смотрите SO пришел онлайн был для меня достаточно образования. Я хотел бы сделать контрольный список различных возможностей и эксплойтов, используемых против веб-сайтов, и какие методы программирования можно использовать для защиты от них.

• Какие категории vunerabilities?
  • сбой сайта
  • взлом сервера
  • взлом чужих Логинов
  • спам
  • "клоноводство", meatpuppeting
  • и т.д...
• Какие методы защитного программирования?
• и т.д...

(IIS/Win2000Pro) предоставление прав на чтение реестра пользователю IIS?

Итак, я запускаю небольшой тест webserver в своей частной сети. У меня есть машина под управлением Windows 2000 Pro, и я пытаюсь запустить приложение ASP.NET через IIS.

Я написал это так, чтобы веб-страница использовала реестр для хранения определенных настроек (строки подключения, потенциально изменчивые местоположения других веб-служб, пути в локальной файловой системе, где хранится определенная информация и т. д...) Конечно, он отлично работал при тестировании с VStudio.NET 2005, потому что пользователь, запускающий приложение, имеет повышенные привилегии. Однако, запустив его на IIS, я получаю "доступ к разделу реестра" HKEY_LOCAL_MACHINE\Software " запрещен.", что предполагает, что пользователь IIS не имеет доступа для чтения к этой части реестра (я только читаю сам сайт, никогда не пишу).

Я подумал: "Хорошо, достаточно просто, я просто дам этому пользователю права на эту часть реестра через regedit."Проблема в том, что я не вижу возможности где-либо в regedit изменить настройки безопасности... совсем. Что заставило меня задуматься... Я не думаю, что мне когда-либо приходилось менять настройки безопасности для кустов реестра/ключей раньше, и я не думаю, что знаю, как это сделать.

Спустя полчаса поиска в Интернете я не нашел никакой полезной информации по этому вопросу. Вот что мне интересно... как DO вы меняете права безопасности на части реестра? Я в тупике, и кажется, что моя способность найти ответ на Google полностью подводит меня... и так как я только что зарегистрировался здесь, я подумал, что посмотрю, знает ли кто-нибудь здесь. =)

Открыть файлы из сетевой папки в веб-приложение c#

У меня есть веб-приложение, которое должно читать (и, возможно, записывать) файлы из общего сетевого ресурса. Мне было интересно, как лучше всего это сделать?

Я не могу предоставить сетевой службе или учетным записям aspnet доступ к сетевому ресурсу. Я вполне мог бы использовать олицетворение.

Сетевой ресурс и веб-приложение размещаются в одном домене, и я могу создать нового пользователя в домене специально для этой цели, однако я не совсем уверен, как соединить точки между созданием filestream и указанием учетных данных для использования в веб-приложении.

---

К сожалению, диск не сопоставлен с сетевым диском на машине, он доступен мне только как сетевой ресурс, поэтому, к сожалению, я не могу сделать прозрачный вызов.

Есть одна проблема, которую я могу придумать с олицетворением... Я могу выдавать себя только за одного пользователя на домен приложения, но я счастлив быть исправленным. Возможно, мне придется записать этот файл в несколько разных общих папок, что означает, что мне придется выдавать себя за нескольких пользователей.

Мне нравится идея создания токена... если я смогу это сделать, то смогу заранее запросить у пользователей их учетные данные, а затем динамически применить защиту и выдавать им значимые сообщения об ошибках, если доступ будет запрещен... Я ухожу играть, но вернусь с обновлениями.

Безопасность Для Применения Голосования

У меня есть проект по созданию голосующего настольного приложения для класса в Java. Хотя безопасность не является фокусом проекта, я хотел бы быть настолько реалистичным, насколько это возможно. Назовите некоторые из основных инструментов для интеграции безопасности в приложение Java.

Edit: я в первую очередь не беспокоюсь о физической безопасности, мы просто создаем приложение, а не целую систему. Я хочу убедиться, что голоса записаны правильно и не могут быть изменены или прочитаны кем-то другим.

Как я могу сделать манифест .net assembly частным?

Что мне делать, если я хочу освободить .net assembly, но хочу сохранить его внутренние детали в манифесте частными (от утилиты, такой как ildasm.exe ) ?

Как организовать синхронизацию очень разных данных?

Что хочется:

Иметь автоматическую\полуавтоматическую синхронизацию файлов со следующими характеристиками:

• Синхронизация как автоматическая (через интернет) так и вручную (через флешку) \ полуавтоматически (через локалку).
  
• Копия части данных хранится в интернет сторадже ( бесплатное, хотя бы 3 гига), полная копия хранится на флешке (16 гигов).
  
• Синхронизируемые каталоги могут находится в произвольном месте (кроме вложенности друг в друга).
  
• Хорошая работа с каталогами содержащими проекты под SVN и Mercurial.
  
• 3-4 машины с разными возможностями синхронизации — машина с анлим интернетом, с дорогим интернетом (т.е. через флешку большие объемы предпочтительней), ноутбук который оказывается в одной сети с первой. В некоторых случаях — не все папки нужны на каждой машине.
  
• Достаточно только под Win
  
• Было бы идеально если можно было бы синхронизировать историю SVN и Hg
  
• Если где-то что-то ломается или неправильно обновляется — можно сделать откат с рабочей\бэкапной флешки, сказав принудительно — «при сравнении такого каталога — файлы на флешке приоритетнее.»
  

Что есть сейчас:

Синхронизация через 2 утилиты: LiveMesh и SyncToy


LiveMesh умеет — синхронизация через интернет хранилище (5 гигов) и через локалку\wifi (нет ограничений). Все более-менее автоматически.

Что делает плохо — конфликты убираются в корзину, вариаций не дается. Плохо отрабатывает по SVN (ломает репозиторий), HG +SVN даже страшно пробовать. Синхронизация только целиком, не диффы, т.е. траффик жрет сильно.


SyncToy: Ручная дрезина — все каталоги задаем руками, синхронизация запускается руками.

Что делает плохо — не самый продуманный алгоритм удаления — перед удалением каталога — удалит в индивидуальном порядке каждый файл в нем. Фильтры на игнор настраиваются по индивидуальному абсолютному пути и нет маски. Ломает SVN. Очень много файлов вызывают ступор или краш ( видимо или течет память или неоптимальное использование — забивается все)


Пробовал дропбокс — мало места в инете (бесплатного), хранилище только в одном каталоге (MyDropbox), не умеет по сети (из вкусностей — история как SVN).

Рассматривал вопрос c RSync, не понравилось что надо много всего писать вручную.


Есть сильные сомнения что все это будет хорошо работать с SVN\Hg при таком тупом синхронизировании.

Немного изучал вопрос mercurial<->Svn — консолька вместо автоматического гуя пока не устраивает и слишком много ручной работы для написания батчей ( может я не в курсе и уже есть нормальные решения ?).

Собственно вопрос:

Может кто посоветует полную или частичную замену данной схемы. или хотя бы нормальную работающую схему с синхронизацией snv\hg, без обилия ручной работы.

Готов даже делать отдельную синхронизацию файлов (тут SyncToy работает вполне нормально) и синхронизацию проектов (commit в 2 разные системы, копия в инете (bitbucket) на флешке) разнести.

Переход с hg на git?

Привет, ребята! Я хочу полноценно и полностью перевести некоторые свои проекты с mercurial (Google Code) на git (GitHub).

Я пользовался GC очень долго, но GH меня в итоге впечатлил намного больше.


Но меня интересует две вещи:


1. Перенос всех коммитов по проекту. То есть, чтобы не создавать голый проект, а была вся история с действующими лицами и бранчами

2. Вменяемый плагин для работы с Нетбинсом. Необходимо немного: «Коммит», «Пуш» — оно пушнулось (желательно, автоматический ввод пароля), «Пул». Всё остальное, как диффы, мерджы, и т.п. — крайне желательно. Можно отдельное гуи-приложение для Линукса на Qt, но это не так интересно


но крайне важен именно первый пункт — перенос всей истории правок. Жду советов, как это красиво осуществить. Заранее спасибо.

Плагин уровня VisualSVN для поддержки Mercurial в MSVS2010?

Поискав по интернету, я пришел к выводу, что все используют HgSccPackage, который, к сожалению, по сравнению с VisualSVN не блещет :(


Конкретно очень не хватает следующих фич:

* Окошко pending changes, в котором отображаются все измененные, но не закоммиченные файлы.

* Визуальных маркеров в редакторе, которые позволяют определить какая часть файла была изменена (встроенные маркеры работают до первого сохранения файла).

* Горячих клавиш для перехода к следующему/предыдущему изменению в файле.

* Подменю mercurial в контекстном меню редактора (а не где-то там, в дереве проекта).


p.s. Пока что остановился на HgScc за не имением лучшего, все-таки автоматическое добавление/удаление/переименовывание файлов это уже очень неплохо. :)

Cron + Mercurial на Ubuntu?

Привет!


Есть меркуриал с битбакетом, который имеет копию на убунту-серваке. Я хочу сделать, чтобы изменения, производимые локально в меркуриале, автоматически подтягивались на сервак по http, то есть hg pull каждые Х времени. Вручную через ssh все работает, с кроном что-то никак не запускается. Что я сделал:


1. crontab -e

2. Прописал PATH=/var/www/xxx (где лежит проект меркуриала)

3. Поставил отчеты на почту MAILTO=xxxx@xxxx.ru

3. Ниже * * * * * hg pull


Сохраняю, crontab -l видит этот кронтаб, но ничего не происходит, на почту отчеты не приходят. В чем ошибка? И как вообще проверить кроме почты состояние крона, работает или нет?


Спасибо!