2回答
我读过的大多数例子都是从恶意网站开始的。让我说,我正在创建一个没有恶意意图的网站。网站什么时候变得容易被点击攻击?在没有XSS漏洞或我的服务器被破坏的情况下,这种情况会发生吗?如果是这样的话,是怎么做的?
浏览 0提问于2019-03-12得票数 3
回答已采纳
我不太清楚OpenVPN背后的技术,所以我有一个关于OpenVPN安全性的问题:
如果我有client.p12 (PKCS#12)文件,并且这个文件被泄露(带有导出密码)给某个邪恶的人,该怎么办?此外,这个人可以转储我加密的VPN通信量(这是用泄漏的client.p12文件保护的)。
这是否意味着我的流量可以用MITM解密或黑客攻击?
或者这是不可能的,因为服务器密钥没有被破坏,而这个邪恶的人只能在服务器上授权我?
浏览 0提问于2014-07-18得票数 0
回答已采纳
一个月前,我在ubunutu服务器上建立了DKIM、SPF和DMRAC。一切似乎都很顺利,直到我收到了一份令人好奇的DMARC报告。一台rouge服务器设法发送了一封电子邮件,该邮件通过了google的DKIM验证。
怎么会发生这种事?这有可能是使用未更改的消息重播“攻击”吗?
<record>
<row>
<source_ip>RougeIP</source_ip>
<count>1</count>
<policy_evaluated>
<disposition&
浏览 0提问于2016-04-19得票数 0
回答已采纳
1回答
最近,我的许多朋友一直在谈论僵尸网络。他们说他们自己创造了。,很明显,我
我知道这都是违法的,所以我尽量不参与其中。
但我一直在想它们是怎么工作的。我在网上读过一些文章,也读过一些关于控制服务器和点对点通信的基本知识,但我仍然不太明白。有时我的朋友会问什么托管公司支持UDP欺骗,我不明白。C--他们只是从我假设的设备上发送UDP数据
在向DNS服务器发送数据时不欺骗源IP (例如)?
浏览 0提问于2022-01-26得票数 0
回答已采纳
我知道暴力攻击和DOS之间的区别。
如果一个web服务器没有帐户锁定,并且一些蛮力攻击被并行启动,并且这些攻击将使web服务器CPU繁忙,那该怎么办?这些攻击最终会降低web服务器服务其他合法请求的能力并导致DOS攻击吗?
浏览 0提问于2020-10-18得票数 2
回答已采纳
1回答
我现在被我的应用程序的安全问题所困扰。我的应用程序每10分钟记录一次用户的GPS位置,12小时后将数据发送到服务器。我目前正在将用户的位置保存在内部存储器的*.txt文件中。现在,我需要保护这个文件,以便它只能编辑我的应用程序,这样用户就不能破解它并更改记录的gps位置。
我读过关于加密字符串或文件本身的文章,但这里是我的问题。在整个stackoverflow中,人们都不建议对密码进行硬编码,即使是代码混淆。我还能怎么保护这个文件上的数据呢?我自己使用ProGuard +代码混淆(位移位、数学运算等)还不足以将密码保存在我的代码中吗?任何意见赞赏,我需要这是安全的,因为数据必须保持不动。谢谢!
浏览 3提问于2013-03-01得票数 1
回答已采纳
我有一个CentOS服务器,它有时会崩溃或者受到DDOS的攻击。目前,我有一个场外备份,其中填充了1.7TB的数据。目前,我为备份支付的费用和服务器的费用一样多,我正在从有经验的人那里寻求关于从这里开始的最佳选择的建议。
它是否是一个可行的解决方案,放弃离地备份,而是购买一个额外的服务器,这是一个完全复制的第一个服务器。因此,如果第一台服务器停机,用户将被重新路由到第二台服务器,而不会注意到第一台服务器已经关闭。这将创建第一台服务器的自动备份(尽管不是非现场备份),并放弃对昂贵的离站备份的需求。
以上解决方案是昂贵备份的真正解决方案,还是绝对必要的非现场备份?我该怎么做(很明显,这很复杂,所以
浏览 0提问于2012-09-28得票数 -1
回答已采纳
2回答
欺骗性&r快照帮助我将文件备份到远程FTP服务器。如果服务器硬盘失败,我可以恢复文件。但是如果有人侵入我的本地服务器,他可以从cron脚本中获取所有远程服务器访问信息,那么黑客就可以删除远程FTP服务器文件。我怎么才能把它备份好。(防止硬盘故障&黑客)
浏览 0提问于2011-01-29得票数 1
我正在研究ddos攻击以获得更好的理解。我从这个社区读了很多书,但是有一件事我无法理解,那就是丢包。
因此,假设我已经识别了一个攻击签名,并希望丢弃这些数据包。
攻击者-------------跳----------跳-------跳------我的服务器
在那个阶段,如果包是由我配置的,那么丢包,而不是意外的丢包。
如果它们被丢弃在我的服务器上,这有什么帮助,因为数据包已经到达,因此占用了带宽。还是说丢包只是一种避免发送应答的技术,因此攻击者必须等待超时?
浏览 0提问于2015-07-24得票数 6
1回答
目标
通过HTTP请求验证客户端。
验证客户端的WebSocket连接。
防止利用WebSocket连接(当网站上存在XSS漏洞时)。
我是怎么做的
步骤1客户端通过发出常规HTTP请求访问网站。Cookie用于验证客户端和服务器响应的JS snippet +AuthToken(生成和保存在服务器上):
(function() {
var ws = new WebSocket("wss://localhost:1000");
// application logic goes here
})();
步骤2服务器将新创建的WebSocket连接标记为不安全/未知。
浏览 0提问于2021-08-15得票数 0
回答已采纳
1回答
我有第一代iPad,当我在家的时候,我通常会用它浏览网页。第一代iPad不能运行更新版本的iOS (我被iOS 5困住了)。我去了一个网站,告诉你的SSL客户端是好的还是坏的。我的iPad有一个糟糕的SSL客户端。我有一台用作个人家庭服务器的计算机。服务器有一个良好的SSL客户端。我想知道是否可以将我的iPad连接到该服务器,然后服务器会为我加密连接。我想要做的是使用计算机作为代理服务器,iPad和我的代理之间的连接可能是不安全的,因为我信任我的家庭网络,但是代理和web之间的连接将被安全加密。我试着使用Squidman代理服务器,但我再次访问了那个网站,它告诉我SSL客户端是坏的。因此,我认
浏览 0提问于2014-06-16得票数 1
回答已采纳
有一个客户端支持非常老的SSL密码,包括
TLS_DHE_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0014) TLS_DHE_DSS_EXPORT_WITH_DES40_CBC_SHA (0x0011) TLS_RSA_EXPORT_WITH_DES40_CBC_SHA (0x0008) TLS_RSA_EXPORT_WITH_RC2_CBC_40_MD5 (0x0006) TLS_RSA_EXPORT_WITH_RC4_40_MD5 (0x0003)
可能它有一个非常古老的SSL库,其中包含已知的安全漏洞。但是服务器是最新的,并且配置正确。有可能利用它吗?如果是-怎
浏览 0提问于2016-05-22得票数 4
1回答
我有一个桌面应用程序,需要与远程服务器安全地通信。
所有数据都必须加密。
这也意味着数据不能被第三方更改。
没有人应该能够重新发送相同的数据两次(重放攻击)
列表项目
服务器是使用restful设置的,因此桌面客户端将进行https调用(get、post、push和delete)。
我知道SSL证书是不够的。有些工具,如,将退出证书并显示攻击者纯文本。
我的问题不是一般的加密的。我想知道在现实世界中,提供完美的前向保密最常用的做法是什么?!
如果服务器是用python编写的,而客户机是用java编写的,那么我可以查看教程或库吗?
浏览 3提问于2014-03-10得票数 1
回答已采纳
我在StackOverflow上问过的相关问题(未回答):
https://stackoverflow.com/questions/70703895/securely-renewing-a-session-without-javascript-and-without-breaking-csrf-protect
https://stackoverflow.com/questions/70713661/is-it-a-security-concern-to-allow-a-client-to-generate-a-csrf-token-at-login-tim
作为参考,我正在使用一个遗留应用程序
浏览 0提问于2022-01-14得票数 1
今晚,我的服务器进入了“反黑客”模式,我只能使用只读FTP下载我的数据。
他们告诉我,我是对网络的威胁,这些日志导致了警报:
Attack detail : 82Kpps/25Mbps
dateTime srcIp:srcPort dstIp:dstPort protocol flags bytes reason
2016.04.24 03:04:13 CEST MY_IP:44530 8.8.8.8:53 TCP RST 40 ATTA
浏览 0提问于2016-04-24得票数 0
我有一个SFTP服务器,我用它来承载文件。密码非常强(普通字典攻击或裂纹将无法工作)。看完这篇帖子后,我一点也不担心。但我注意到了一些很奇怪的东西。下面是日志的示例:
input_userauth_request: invalid user administrador [preauth]
Failed password for invalid user administrador from 10.51.6.91 port 21788 ssh2
什么?IP怎么可能是本地IP地址?这是一个面向外部的应用程序,所以我希望请求来自外部IP。我是不是遗漏了什么?
浏览 0提问于2019-04-03得票数 0
1回答
我有一个带有Apache的use服务器,它为特定的vhost配置为在它的文件夹中使用特定的用户名。现在,这个用户是文件的所有者,但是在所讨论的文件夹中没有写权限,但是昨天,站点被破坏了,两个具有写权限的文件刚刚出现在文件夹中。
我的问题是:怎么做?
我知道,如果一个网站被破坏,很多事情可能会发生,但该网站仍然运行在该用户名的上下文中,它根本没有权限将任何文件写入该文件夹。还是我不正确地理解权限?
浏览 0提问于2013-08-23得票数 0
3回答
我有一个预防ddos攻击的简单思路。如果我的想法是错误的,请澄清我。
选项1
从对DDOS攻击的基本理解来看,攻击者正在向web服务器发送大量数据。那么,提供大数据上传到他们网站的网站呢?难道他们不是同时从很多上传用户那里接收到了很多数据吗?
web服务器不能像许多上传数据的用户一样对待ddos攻击吗?
选项2
网站报价怎么样,每个访问网站的人都要临时键吗?使用该临时密钥插入网站,唯一的一个(PC/IP)可以访问该网站,因此bot-net不能攻击该网站(bot-net没有临时密钥)。bot-net能记下密钥并插入到网站中吗?
附注:
这是类似的问题DDoS -不可能停下来?
浏览 0提问于2015-09-04得票数 1
回答已采纳
1回答
我试图在客户端和服务器之间安全地发送数据。我用AES加密敏感数据,然后用RSA加密密钥,然后使用签名确保数据不被更改。
它看起来很安全,但我听说了一个bug,我不知道它的名字,但它是这样工作的:
首先,客户端向服务器发送加密请求。
黑客可以看到加密的请求,但无法解密。
黑客一次又一次地将加密请求转发给服务器,并试图找出发生了什么事。
例如,客户端向服务器发送一个请求,该服务器上传图片并将该图片添加到他或她的墙上。黑客可以重新发送此请求数百次,因此服务器将上传该图像并将其一次又一次地添加到客户端的墙上。啊!怎么这么乱呀!
所以我的问题是:
这个虫子叫什么名字?
怎么阻
浏览 0提问于2018-06-29得票数 1
昨晚,我的服务器(Centos5)有不寻常的传出流量,大约12 had,而现在我的服务器已经停机,因为我必须支付流量的费用。我的服务器是一个小型应用程序的小型服务器。我不知道发生了什么,但主机的支持说,它可以是您的服务器被黑客攻击和使用的DDOS攻击,或可以放大,错误等,他们没有多大帮助。
我的问题是:我怎样才能检查交通是什么,用什么做什么?我怎么能检查我的服务器被黑了?托管人员有我已经给他们的一些任务的根密码。我怎么才能阻止这一切?有没有办法限制出站的流量?
浏览 0提问于2019-05-24得票数 0
2回答
我有一个服务器引擎,它通常在服务器中工作(想象力)。但有时它会在客户机上执行,或者偶尔在另一台服务器上执行,并希望使用该服务器执行一些额外的/额外的处理。
之间的链接将受到ssl/tls和证书的保护。因此,通信将是安全的,但我不确定调用引擎是我的代码。
你怎么去鉴定那台引擎。爱丽丝和鲍勃在这个问题上会说些什么?
浏览 1提问于2012-03-02得票数 1
回答已采纳
5回答
并不是说我需要它,但是听到有人谈论他们的服务器并保护它免受DOS攻击,这是很有趣的,因为它有一个难题,在服务器做任何事情之前,客户端必须解决这个难题(它不做分配或建立会话,除非解决)。
这位人士还说,拼图可以花很短的时间或很长的时间。而且它们很容易检查正确的解决方案,但很难解决。
这些拼图是什么?我从来没听说过。有人能举个例子(或链接)吗?
浏览 2提问于2010-05-07得票数 2
回答已采纳
2回答
假设有客户机-服务器机器。
在客户端机器上,我们生成了一个Server,并在服务器机器上存储了相同的密钥。
这意味着,当客户端使用SSH连接服务器时,它将不需要密码。
如果客户端机器遭到黑客攻击,那么服务器机器就容易受到所有攻击?
浏览 0提问于2017-07-12得票数 0
可能重复: 我的服务器被黑客入侵
我的服务器是IIS,IIS-7,它是一个网站托管服务器&我的网站被人黑了。
它是被来自巴基斯坦组织的SOG神的士兵黑的,请帮我解决这个问题。
我怎么才能停止攻击这些组织。
浏览 0提问于2012-05-29得票数 -4
在一个主机上,有两个Java应用程序运行,公开了JMX数据(应用1: JBoss野生蝇)。App2:)
我在Zabbix服务器的Host中设置了两个JMX接口。现在,我想创建一些项目来获取JVM数据?例如:
jmx["java.lang:type=ClassLoading",LoadedClassCount]
我不能用相同的键创建两个项目。我怎么才能通过这个控制系统?
浏览 1提问于2019-10-28得票数 0
回答已采纳
据我所知,我需要在报头服务器端禁用X- XSS -Protection,以防止XSS通过GET请求发生。
例如,用户浏览到
http://mysite.com/index.php?page=<script type='text/javascript'> alert("XSS"); </script>
假设$_GET' page‘被从PHP回显到页面,而没有以任何方式被更改,XSS Auditor应该捕捉到被回显到页面的请求中有一些东西,并停止它。
这是否足以防止XSS攻击,或者攻击者是否可以绕过此浏览器保护?
这意味着它被所有主流
浏览 4提问于2013-07-23得票数 1
1回答
封锁IP地址的自动化
、、、、
我有一个Ubuntu12.04机器运行Apache2,其中托管了大约10个wordpress网站。
最近,我受到客户的攻击,这些客户似乎正在向一个名为“xmlrpc.php”的wordpress文件发送帖子请求。
我阻止发送这些恶意请求的IP地址的方式是一个繁琐的手工过程,我想以某种方式实现自动化。
一旦我注意到我的服务器负载很高,我就执行以下操作:
我在所有虚拟主机访问文件上运行apachetop。这显示了正在发出的所有请求,因此我可以看到是否有向xmlrpc.php发出的请求
一旦识别出哪个IP攻击了我的服务器,我将对每个违规的IP地址运行以下命令:sudo iptables -A INP
浏览 0提问于2013-09-09得票数 0
2回答
暴力破解事件通知!
尊敬的腾讯云用户,您好!
您的服务器 172.21.0.5(开发商账号:100005932924 instancd-id:ins-1nijwccn 地域:bj) 检测到存在未处理的来自 212.237.45.247 的暴力破解事件。您的服务器疑似被黑客入侵,请即刻前往云镜控制台查看详细信息。
这是怎么回事,小白不懂这是为什么
浏览 863提问于2018-06-06
1回答
长话短说,一部客户电话被泄露,并被用来进行非法通话。一项调查显示,这款手机的网络用户界面有一个端口转发条目,它受到6位数字密码的“保护”。我们假设这是被破坏的,现在正试图弄清楚他们是如何从那里获得扩展名密码的(它对UI不可用,也不包含在您可以从web UI中检索的配置文件备份中)。他们可以通过web做的一件事就是更改注册服务器。
我知道密码从未以明文发送,但我认为挑战/响应身份验证的主要目的是确保客户端是他们所说的用户,以保护服务器。我不知道客户得到了多少保护。因此,我的问题是:如果端点试图对恶意SIP服务器注册,该服务器能否获得SIP凭据?
浏览 0提问于2017-06-08得票数 0
2回答
我最近开发了一个android应用程序,通过HTTPS请求向服务器发送一些信息。信息存储在请求正文中。然而,其中一个应用程序用户似乎正在修改请求的内容。我不知道这怎么可能,因为我当时的印象是,如果使用HTTPS,内容是完全加密的,是不可能被截取的。然而,现在看来,这种假设是错误的。
有谁能帮我理解一下,用户是如何截获这个请求的?
浏览 4提问于2015-04-18得票数 0
回答已采纳
我正在部署几个可通过AWS API Gateway访问的AWS lambda函数。我想限制其中一个函数,这样它就不能被访问,除非你在一个特定的IP地址范围内(我们的VPN),同时允许其他函数对调用它们的任何人开放。我能这么做吗?如果是这样的话是怎么做的。我见过几个例子,限制对ip子集的访问是通过配置无服务器yaml的提供者部分来实现的。然而,这会影响我所有的函数,我不希望我的任何其他函数受到影响。 谢谢!
浏览 30提问于2020-10-07得票数 1
回答已采纳
最近,我对XSS做了一些研究,发现为了防止XSS,最好的方法是对用户输入/输出进行编码。作为这一领域的新手,我无法理解这件事,并有几个问题:
如果在服务器端使用REGEX去除斜杠、(/,\)和脚本打开/关闭符号(<,>),我们能阻止XSS吗?
我还看到一篇文章,其中复选框和单选按钮也被注入onMouseHover = <script> .. </script>攻击。由于这不会将任何数据发送回服务器,这如何构成威胁?
使用firebug,我们几乎可以在任何地方注入脚本。我们到底该怎么处理呢?如果用户表单输入得到了正确的验证,我们做得好吗?
浏览 0提问于2015-11-23得票数 1
回答已采纳
在ASP.Net 1.1中,终端用户是否可以在将视图数据发送回服务器之前更改视图数据,例如,使其看起来像是在一个不存在的下拉列表中选择了一个项目?我尝试过使用firebug操作下拉列表中的值,但服务器似乎忽略了这一点,我假设是因为视图状态显示该项不存在,如果可以更改视图数据来实现这一点,那么可能会出现更大的问题。
我之所以这样问,是因为我被要求检查我们的一个应用程序的安全性,如果上述情况可行,可能会存在很大的安全漏洞。
我只是想澄清一下,我不是在问怎么做,我不想破坏别人的软件,我只想知道它是不是需要关注的东西。
希望这是有意义的。
谢谢
浏览 1提问于2009-06-26得票数 3
回答已采纳
2回答
同步客户端-服务器操作
、、、
处理服务器和客户端都被检查的事件,比如攻击,通常的方法是什么?有一个冷却时间计时器的攻击,客户是知道的(因此,为了防止垃圾邮件服务器请求和攻击按钮被持有)。
接下来,在权威服务器上有一个冷却定时器。我的问题是,有时对客户端的攻击不会在服务器上执行,因为服务器计时器(serverFrameTime - lastAttackFrameTime > attackCooldown)没有计算到所需的时间,因此这些攻击都是对客户端的“空白”攻击。
有没有一种标准的方法来处理这个问题而不发送太多的消息呢?这对我来说是个问题,因为我可能会触发更多的那些事件和更多的计时器,所以不点击自动攻击对我来说不是一
浏览 0提问于2016-02-11得票数 5
我在我的域名上使用Wordpress,我正面临着一个问题。所有的帖子和页面都在显示广告,而主页是空白的,没有显示任何广告。请如果你知道这些类型的isse,然后做回复。另外,告诉我这是一个Wordpress问题还是服务器问题,域名就是在上面托管的。
浏览 0提问于2013-12-15得票数 0
1回答
拒绝加载内联脚本
、、、、
我有一个本地节点js服务器,当我在桌面上运行它时,网站将正确加载。问题是,当我在笔记本电脑上运行服务器时,在打开网站时会发现这些错误。
在桌面和heroku服务器上,它怎么能正常工作,而在我的笔记本电脑上却不能在本地工作?
PS:我从来没有用元设置CSP或manifest.json或诸如此类的东西,因为我不知道为什么没有这些设置就不能像桌面一样工作。我还有一个使用mkcert创建的有效SSL证书,就像在我的桌面上一样。
浏览 4提问于2020-08-12得票数 0
回答已采纳
2回答
我有一个Client- server -Application,它允许用户通过网络在服务器上运行任何代码。我想保护用户不连接到其他服务器,这些服务器的行为像真实的服务器,但密码被窃取了,我该怎么做呢?服务器和客户端都不能访问互联网,证书颁发机构是不可能的。有没有其他方法可以验证我正在与之交谈的是我的代码,即使有人得到了源代码?
浏览 2提问于2012-08-02得票数 0
1回答
我有一个服务器应用程序,它为客户端程序提供功能。客户也是由我编程的。现在,我想在使用我的服务之前对客户机程序本身(而不是任何用户)进行身份验证。我希望实现我的服务只能通过执行我的客户端软件来使用。问题是,服务器和客户端都不一定连接到互联网。因此,不能使用通过第三实体进行的任何身份验证。
在我看来,有些秘密必须被编译到客户端程序的可执行文件中,并且类似于挑战-响应-过程必须被执行。
你认为这个想法怎么样,或者你有其他的想法吗?
我已经考虑过客户端证书,但是证书本身也必须编译到可执行文件中。
提前谢谢。
浏览 0提问于2018-10-17得票数 1
回答已采纳
我理解DoS/DDoS攻击是如何在服务器上工作的。如果我没有被误导,那么DoS/DDoS --一个不作为服务器,但仍然连接到internet的系统--是可能的。这怎么可能,因为普通计算机不接受数据请求?
浏览 0提问于2015-09-30得票数 4
回答已采纳
我听说了一些关于不安全的web服务器和站点的故事,人们(或机器人)闯入它们并在服务器上执行自己的代码。
我的问题是这怎么可能?我听说人们把自己的javascript放在网站上,窃取饼干和技术。我从未听说过执行代码的实际攻击。我知道mysql注入可以用于窃取数据并在页面上输入javascript代码。但是我仍然很难思考一个网站的弱点如何会危害到服务器。那件事怎么可能?
浏览 0提问于2011-11-14得票数 10
回答已采纳
2回答
因为ssh攻击,一位客户给我发邮件说他们的供应商即将关闭服务器。
我登录到服务器,在/tmp中发现了许多ssh扫描进程和一些奇怪的文件。我不得不关闭它,因为我不知道该怎么办。在重新构建服务器之前,是否有方法可以了解这种情况是如何发生的,以防止再次发生这种情况?
浏览 0提问于2012-05-12得票数 6
3回答
在这里,XSS攻击被视为来自客户端机器的攻击。但是有没有办法在服务器上进行XSS攻击呢?
我想知道是否有任何方法可以像SQL注入那样使用客户端接口在服务器上执行代码,但这里不是数据库服务器,而是一个简单的Web服务器或应用程序服务器。
浏览 0提问于2013-05-09得票数 1
当我们使用AJAX调用服务器方法时,我们必须指定它的名称和参数。它在安全性方面还可以吗?对此难道没有任何担忧吗?
浏览 0提问于2012-12-26得票数 2
回答已采纳
1回答
我已经在.NET上读了很多书,但仍然认为我没有一个可行的解决方案,或者我没有考虑过什么。
我正在研究一个应用程序,作为其功能的一部分,它必须将文档写入web服务器上的磁盘。
现在,假设最坏的web服务器被入侵,攻击者进入文件系统,或者由于web服务器的错误配置,该文件可以通过HTTP获得。对文件进行加密似乎是明智的。
但是,您建议我使用对称加密还是非对称加密?
在某种程度上,C#代码将访问一个秘密密码。你怎么搞糊涂的?或者换句话说,如何以安全的方式处理在代码中使用密钥的问题?
所有的帮助和指点都非常感谢。
浏览 5提问于2014-11-10得票数 0
我有一个场景,我必须在服务器端加密(使用java),并使用非对称密钥加密技术在客户端(使用任何JavaScript库)解密相同的数据,因为我们想从服务器side.so发送一些敏感信息,这里的问题是-
真的有可能吗?如果是,怎么做?
如果没有?为什么?
如果这真的是可能的,那么请提供任何链接或任何例子开始,并请提供替代方案,只有当这是不可能的(我知道我们有SSL,但请搁置这一点)。
任何帮助都是非常感谢的。
浏览 4提问于2014-05-15得票数 1
回答已采纳
1回答
我对系统有以下要求:
我的管理员在客户端服务器上进行身份验证
通过http
中央授权服务器
我的解决方案基于O-Auth:
用户被重定向到身份验证服务器以检查他的信用(证书/密码),服务器使用时间戳和userId将auth令牌保存在db中。
服务器使用url中的auth令牌将用户重定向回客户端。
客户端通过https连接服务器,传递auth令牌,这是秘密和id
服务器检查客户端信用是否正常,以及数据库中是否有未过期的auth令牌(然后删除auth令牌)。
如果是这样,则获取用户声明并将其传递回客户端服务器。
然后,客户端服务器使用cookie对用户进行访问。
这主意好吗?也许像这样的东西已经可
浏览 0提问于2015-08-12得票数 1
回答已采纳
1回答
我在几个Ubuntu服务器上使用欺骗来加密备份并将它们发送到备份服务器,然后备份服务器将另一个副本发送到rsync.net,然后,每周一次将备份下载到本地服务器。
我遇到的问题是,要将这些加密的档案发送到备份服务器,每个服务器都有一个没有密码的SSH密钥,允许它们连接到备份服务器。
虽然每台服务器在备份服务器上都有自己的用户,但使用OSSEC监视文件更改,并且用户只有权限写入自己的备份目录,但我仍然担心受损的服务器--具体来说就是ransomware --也可能损坏备份服务器。
我想做相反的事情,让备份服务器连接到其他服务器,获取它需要的东西,然后关闭自己,但这似乎更糟,因为一个受损的备份服务
浏览 0提问于2019-11-30得票数 6
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
实时音视频活动推荐
腾讯云开发者
