คำถามติดแท็ก security

แอพที่ฉันกำลังสร้างอยู่นั้นมีข้อกำหนดว่าแอพต้องป้องกันไม่ให้ระบบปฏิบัติการจับภาพหน้าจอของแอพเมื่อมันถูกส่งไปยังพื้นหลังเพื่อเหตุผลด้านความปลอดภัย วิธีนี้จะไม่สามารถเห็นหน้าจอที่ใช้งานล่าสุดเมื่อสลับระหว่างแอป ฉันวางแผนที่จะวางฟังก์ชั่นนี้ไว้ในวิธีการ onPause ของแอปพลิเคชันคลาส แต่ก่อนอื่นฉันต้องค้นหาวิธีที่ฉันสามารถใช้ฟังก์ชันนี้ได้ มีใครออกไปข้างนอกนั่นมีเงื่อนงำที่จะแก้ไขปัญหานี้ได้อย่างไร

146 android  security  android-lifecycle 

ฉันได้พบกับการสนทนาที่ฉันได้เรียนรู้ว่าสิ่งที่ฉันทำไม่ได้ในความเป็นจริงการใส่เกลือรหัสผ่าน แต่ทำให้พวกเขาวุ่นวายและฉันก็เริ่มทำทั้งสองอย่างด้วยฟังก์ชั่นเช่น: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] ไม่สนใจอัลกอริทึมแฮชที่เลือก (ฉันต้องการให้นี่เป็นการอภิปรายของเกลือ & พริกไทยและไม่ใช่อัลกอริทึมเฉพาะ แต่ฉันใช้ secure one), นี่เป็นตัวเลือกที่ปลอดภัยหรือฉันควรทำสิ่งที่แตกต่างกันหรือไม่? สำหรับผู้ที่ไม่คุ้นเคยกับข้อกำหนด: เกลือเป็นค่าที่สร้างแบบสุ่มมักจะเก็บไว้กับสตริงในฐานข้อมูลได้รับการออกแบบที่จะทำให้มันเป็นไปไม่ได้ที่จะใช้ตารางแฮชจะ crack รหัสผ่าน เนื่องจากรหัสผ่านแต่ละอันมีเกลือเป็นของตัวเองพวกเขาทุกคนจะต้องถูกบังคับให้ดุร้ายเป็นรายบุคคลเพื่อที่จะถอดรหัสพวกเขา อย่างไรก็ตามเนื่องจากเกลือถูกเก็บไว้ในฐานข้อมูลด้วยรหัสผ่านแฮชการประนีประนอมฐานข้อมูลหมายถึงการสูญเสียทั้งสองอย่าง พริกไทยเป็นค่าคงที่ทั่วทั้งไซต์จัดเก็บแยกต่างหากจากฐานข้อมูล (โดยปกติจะกำหนดค่าตายตัวในรหัสที่มาของโปรแกรม) ซึ่งมีวัตถุประสงค์เพื่อเป็นความลับ มันถูกใช้เพื่อให้การประนีประนอมของฐานข้อมูลจะไม่ทำให้ตารางรหัสผ่านของแอปพลิเคชันทั้งหมดสามารถใช้งานได้อย่างดุร้าย มีอะไรที่ฉันขาดหายไปและการล้างรหัสผ่านของฉันเป็นทางเลือกที่ดีที่สุดในการป้องกันความปลอดภัยของผู้ใช้ มีข้อบกพร่องด้านความปลอดภัยที่เป็นไปได้ที่จะทำเช่นนี้? หมายเหตุ: สมมติว่ามีวัตถุประสงค์เพื่อการสนทนาที่เก็บแอปพลิเคชัน & ฐานข้อมูลไว้ในเครื่องที่แยกต่างหากอย่าแชร์รหัสผ่าน ฯลฯ ดังนั้นการละเมิดเซิร์ฟเวอร์ฐานข้อมูลจึงไม่ได้หมายถึงการละเมิดแอพพลิเคชันเซิร์ฟเวอร์โดยอัตโนมัติ

145 security  hash  passwords  salt  password-hash 

ฉันกำลังพยายามทำความเข้าใจเพิ่มเติมเกี่ยวกับ PHP Session Fixation & hijacking และวิธีป้องกันปัญหาเหล่านี้ ฉันได้อ่านบทความสองเรื่องต่อไปนี้บนเว็บไซต์ของ Chris Shiflett: การแก้ไขเซสชัน เซสชั่นหักหลัง อย่างไรก็ตามฉันไม่แน่ใจว่าฉันเข้าใจสิ่งต่าง ๆ อย่างถูกต้อง เพื่อช่วยป้องกันการแก้ไขเซสชันเพียงพอที่จะเรียก session_regenerate_id (จริง); หลังจากลงชื่อเข้าใช้บางคนสำเร็จแล้ว ฉันคิดว่าฉันเข้าใจถูกต้อง นอกจากนี้เขายังพูดถึงการใช้โทเค็นที่ส่งผ่านไปใน URL ผ่าน $ _GET เพื่อป้องกันการขโมยเซสชัน สิ่งนี้จะเกิดขึ้นได้อย่างไร ฉันคาดเดาว่าเมื่อมีคนลงชื่อเข้าใช้คุณสร้างโทเค็น & เก็บไว้ในตัวแปรเซสชันแล้วในแต่ละหน้าคุณจะเปรียบเทียบตัวแปรเซสชันนั้นกับค่าของตัวแปร $ _GET หรือไม่ โทเค็นนี้จำเป็นต้องเปลี่ยนเพียงหนึ่งครั้งต่อเซสชันหรือในแต่ละหน้าโหลดหรือไม่ ยังเป็นวิธีที่ดีในการป้องกันการหักหลังโดยไม่ต้องผ่านค่าตามใน urls? มันจะง่ายขึ้นมาก

145 php  security  session  session-cookies 

อย่างใดการโฮเวอร์เหนือวิดเจ็ต Google+ บวกหนึ่งสามารถแนะนำข้อเสนอประเภทเครื่องมือที่มีขนาดใหญ่กว่า<iframe>องค์ประกอบที่มีอยู่อย่างชัดเจน ฉันตรวจสอบ DOM เพื่อยืนยันแล้ว * ดังนั้น: อะไร? วิธี !? นี่ไม่ใช่โอกาสอันยิ่งใหญ่สำหรับ clickjacking หากใช้โดยประสงค์ร้าย (ลองนึกภาพคนที่ทำ MITM สำหรับวิดเจ็ตโซเชียลเหล่านี้!) * ปรับปรุง: สิ่งที่ผมเห็นก็คือว่าข้อความคำแนะนำเครื่องมือ-Y ได้ในสองสร้างแบบไดนามิกiframe

145 html  security  browser  iframe  google-plus-one 

ฉันโหลด HTML บางส่วนลงใน iframe แต่เมื่อไฟล์อ้างอิงใช้ http ไม่ใช่ https ฉันได้รับข้อผิดพลาดต่อไปนี้: [ถูกบล็อก] หน้าเว็บที่ {current_pagename} เรียกใช้เนื้อหาที่ไม่ปลอดภัยจาก {referenced_filename} มีวิธีใดบ้างที่จะปิดสิ่งนี้หรือวิธีใด ๆ iframe ไม่มีsrcแอ็ตทริบิวต์และเนื้อหาถูกตั้งค่าโดยใช้: frame.open(); frame.write(html); frame.close();

145 html  security  http  iframe  https 

ฉันเคยเห็นบทความและโพสต์ทั่ว (รวมถึง SO) ในหัวข้อนี้และความเห็นที่แพร่หลายคือนโยบายต้นกำเนิดเดียวกันป้องกันฟอร์ม POST ข้ามโดเมน คนเพียงสถานที่ที่ผมเคยเห็นชี้ให้เห็นว่านโยบายเดียวกันแหล่งกำเนิดไม่ได้นำไปใช้กับรูปแบบการโพสต์อยู่ที่นี่ ฉันต้องการคำตอบจาก "ทางการ" หรือแหล่งข้อมูลทางการ ตัวอย่างเช่นไม่มีใครรู้ RFC ที่ระบุว่ามีต้นกำเนิดเดียวกันหรือไม่มีผลต่อฟอร์ม POST หรือไม่ คำชี้แจง : ฉันไม่ได้ถามว่าสามารถสร้าง GET หรือ POST และส่งไปยังโดเมนใด ๆ ได้หรือไม่ ฉันกำลังถาม: ถ้า Chrome, IE หรือ Firefox จะอนุญาตเนื้อหาจากโดเมน 'Y' เพื่อส่ง POST ไปยังโดเมน 'X' ถ้าเซิร์ฟเวอร์ที่รับ POST จะเห็นค่าฟอร์มใด ๆ เลย ฉันพูดแบบนี้เพราะส่วนใหญ่ของการสนทนาออนไลน์บันทึกผู้ทดสอบบอกว่าเซิร์ฟเวอร์ได้รับการโพสต์ แต่ค่าแบบฟอร์มทั้งหมดว่าง / ถอดออก เอกสารอย่างเป็นทางการใด ๆ (เช่น RFC) อธิบายว่าพฤติกรรมที่คาดหมายคืออะไร …

145 html  security  http  csrf  same-origin-policy 

ปิด คำถามนี้จะต้องมีมากขึ้นมุ่งเน้น ไม่ยอมรับคำตอบในขณะนี้ ต้องการปรับปรุงคำถามนี้หรือไม่ อัปเดตคำถามเพื่อให้มุ่งเน้นที่ปัญหาเดียวโดยแก้ไขโพสต์นี้ ปิดให้บริการใน2 ปีที่ผ่านมา ปรับปรุงคำถามนี้ ดังนั้นเราจึงผ่านมาหลายครั้งแล้วตอนนี้เราปล่อยเกม (ราคาถูก) และมีคนแฮ็คมันและวางมันบนกระจก เราตั้งค่า Google Alerts สำหรับแอปทั้งหมดของเราดังนั้นเราจะได้รับแจ้งทุกวันว่าใครกำลังแฮ็ค จนถึงตอนนี้เราได้ดำเนินการให้บริการใบอนุญาตตามที่ Google ได้แนะนำเกลือของเราจะถูกสุ่มทุกครั้งที่มีการเริ่มต้นใบอนุญาตด้วยรหัสอุปกรณ์ที่ไม่ซ้ำกัน เราเรียกใช้บริการตรวจสอบหนึ่งครั้งเมื่อเริ่มต้นแอปพลิเคชันเป็นครั้งแรก จากนั้นเราจะสร้างแฮช 512 อักขระสำหรับคีย์และค่าที่เก็บไว้ซึ่งถูกเปรียบเทียบกับใน SharedPreferences จากที่นั่น ตอนนี้ฉันรู้ว่าการตรวจสอบหนึ่งครั้งน่าจะเป็นที่ที่แอปพลิเคชันนั้นถูกบล็อก โค้ดไบต์ของเรามีการตรวจสอบและคอมไพล์ใหม่โดยไม่มีบรรทัดที่เริ่มต้นการตรวจสอบ จากที่นี่ฉันไม่ต้องการทำให้งงงวยรหัสของเราตามที่ฉันเห็นมันเสียก่อน ฉันต้องการบางสิ่งที่แข็งกว่านี้อีกเล็กน้อยและฉันต้องการเรียนรู้วิธีการทำสิ่งนี้อย่างถูกต้อง ฉันสนใจที่จะเรียนรู้มากกว่าสร้างรายได้ ณ จุดนี้เนื่องจากมีเพียง 2% เท่านั้นที่จะมองหารุ่นที่ถูกแฮ็ก จนถึงตอนนี้ด้วยตัวของฉันเองฉันได้พบกับตัวสร้างตัวเลขสุ่มที่วางอยู่ในพื้นที่เริ่มต้นหลายแห่งของเกม เมื่อเริ่มต้น (พูด 1 ใน 50 ครั้ง) ใบอนุญาตจะถูกตรวจสอบ ฉันรู้ว่าสิ่งนี้จะทำให้การแฮ็กยากขึ้นเพราะแครกเกอร์จะต้องกำจัดแต่ละกรณีคอมไพล์กำจัดกำจัดคอมไพล์ อย่างไรก็ตามวิธีนี้ยังสามารถถอดรหัสได้ ... ดังนั้นคุณแนะนำอะไร? อีกครั้งฉันสนใจกระบวนการรักษาความปลอดภัยนี้จริงๆดังนั้นโปรดให้ความรู้อย่าเปลี่ยนสิ่งนี้เป็นการสนทนาเกี่ยวกับการทำให้งงงวยหรือการตรวจสอบเป็นระยะ ๆ ตามการประทับเวลา ขอบคุณ

143 android  security  google-play  copy-protection 

บริษัท ของฉันกำลังประเมิน Spring MVC เพื่อพิจารณาว่าเราควรใช้ในโครงการต่อไปของเราหรือไม่ จนถึงตอนนี้ฉันชอบสิ่งที่ฉันเห็นและตอนนี้ฉันกำลังดูโมดูลความปลอดภัยของสปริงเพื่อตรวจสอบว่าเป็นสิ่งที่เราสามารถ / ควรใช้ ข้อกำหนดด้านความปลอดภัยของเราค่อนข้างพื้นฐาน ผู้ใช้เพียงแค่ต้องสามารถให้ชื่อผู้ใช้และรหัสผ่านเพื่อให้สามารถเข้าถึงบางส่วนของเว็บไซต์ (เช่นเพื่อรับข้อมูลเกี่ยวกับบัญชีของพวกเขา); และมีหน้าเว็บจำนวนหนึ่งบนไซต์ (คำถามที่พบบ่อยการสนับสนุน ฯลฯ ) ซึ่งผู้ใช้ที่ไม่ระบุชื่อควรได้รับสิทธิ์เข้าถึง ในต้นแบบที่ฉันสร้างฉันได้จัดเก็บวัตถุ "LoginCredentials" (ซึ่งเพิ่งมีชื่อผู้ใช้และรหัสผ่าน) ในเซสชันสำหรับผู้ใช้ที่ได้รับการรับรองความถูกต้อง คอนโทรลเลอร์บางตัวตรวจสอบว่าวัตถุนี้อยู่ในเซสชันเพื่อรับการอ้างอิงถึงชื่อผู้ใช้ที่เข้าสู่ระบบหรือไม่ ฉันต้องการแทนที่ตรรกะที่พัฒนาขึ้นเองด้วย Spring Security แทนซึ่งจะมีประโยชน์อย่างมากในการลบ "เราจะติดตามผู้ใช้ที่เข้าสู่ระบบได้อย่างไร" และ "เราจะตรวจสอบผู้ใช้อย่างไร" จากตัวควบคุม / รหัสธุรกิจของฉัน ดูเหมือนว่า Spring Security จะมีวัตถุ "บริบท" เพื่อให้สามารถเข้าถึงชื่อผู้ใช้ / ข้อมูลหลักจากที่ใดก็ได้ในแอปของคุณ ... Object principal = SecurityContextHolder.getContext().getAuthentication().getPrincipal(); ... ซึ่งดูเหมือนว่าจะไม่มีสปริงเหมือนวัตถุนี้เป็นซิงเกิล (ทั่วโลก) ในทางใดทางหนึ่ง คำถามของฉันคือ: หากนี่เป็นวิธีมาตรฐานในการเข้าถึงข้อมูลเกี่ยวกับผู้ใช้ที่ได้รับการรับรองความถูกต้องใน …

140 java  security  unit-testing  spring  spring-security 

คะแนนสูงสุดของปัจจุบันสำหรับคำถามนี้ระบุว่า: อีกคนหนึ่งที่ไม่มากปัญหาด้านความปลอดภัยแม้ว่ามันจะเป็นที่เกี่ยวข้องกับการรักษาความปลอดภัยมีความสมบูรณ์และความล้มเหลวที่จะต่ำต้อยgrok ความแตกต่างระหว่าง hashing รหัสผ่านและการเข้ารหัสลับ พบมากที่สุดในรหัสที่โปรแกรมเมอร์พยายามให้ฟังก์ชั่น "เตือนฉันด้วยรหัสผ่านของฉัน" ที่ไม่ปลอดภัย ความแตกต่างนี้คืออะไร? ฉันอยู่ภายใต้ความรู้สึกเสมอว่าการแฮ็ชเป็นรูปแบบของการเข้ารหัส ฟังก์ชั่นที่ไม่ปลอดภัยที่ผู้โพสต์อ้างถึงคืออะไร?

140 security  language-agnostic  encryption  hash  passwords 

เรามีระบบสร้างในการผลิตที่ไม่มีใครใส่ใจและเครื่องจักรเหล่านี้ใช้ GCC รุ่นโบราณเช่น GCC 3 หรือ GCC 2 และฉันไม่สามารถโน้มน้าวฝ่ายบริหารให้อัปเกรดเป็นรุ่นล่าสุดได้: พวกเขาพูดว่า "หากยังไม่พังไม่ต้องแก้ไข" เนื่องจากเรารักษาฐานรหัสเก่ามาก (เขียนในยุค 80) รหัส C89 นี้จึงรวบรวมได้ดีกับคอมไพเลอร์เหล่านี้ แต่ฉันไม่แน่ใจว่าควรใช้สิ่งเก่า ๆ เหล่านี้หรือไม่ คำถามของฉันคือ: การใช้คอมไพเลอร์ C ตัวเก่าสามารถลดความปลอดภัยของโปรแกรมที่คอมไพล์ได้ไหม UPDATE: รหัสเดียวกันนี้สร้างขึ้นโดย Visual Studio 2008 สำหรับเป้าหมาย Windows และ MSVC ยังไม่รองรับ C99 หรือ C11 (ฉันไม่ทราบว่า MSVC รุ่นใหม่ทำ) และฉันสามารถสร้างมันบนกล่อง Linux โดยใช้ GCC ล่าสุด ดังนั้นหากเราเพิ่งจะลดลงใน GCC รุ่นใหม่มันอาจจะสร้างได้ดีเหมือนเดิม

139 c  security  gcc 

ฉันรู้ว่าการสืบค้น SQL แบบแปรผันเป็นวิธีที่ดีที่สุดในการฆ่าเชื้ออินพุตของผู้ใช้เมื่อสร้างเคียวรีที่มีการป้อนข้อมูลของผู้ใช้ แต่ฉันสงสัยว่าเกิดอะไรขึ้นกับการป้อนข้อมูลผู้ใช้และหลีกเลี่ยงคำพูดเดี่ยว ๆ นี่คือรหัส: sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'" เครื่องหมายคำพูดเดี่ยวใด ๆ ที่ผู้ใช้ป้อนจะถูกแทนที่ด้วยเครื่องหมายคำพูดเดี่ยวสองชั้นซึ่งจะช่วยลดความสามารถของผู้ใช้ในการวางสตริงดังนั้นสิ่งอื่น ๆ ที่พวกเขาอาจพิมพ์เช่นอัฒภาคเครื่องหมายเปอร์เซ็นต์และอื่น ๆ ทั้งหมดจะเป็นส่วนหนึ่งของสตริงและ ไม่ได้ดำเนินการจริง ๆ เป็นส่วนหนึ่งของคำสั่ง เรากำลังใช้ Microsoft SQL Server 2000 ซึ่งฉันเชื่อว่า single-quote เป็นตัวคั่นสตริงเท่านั้นและวิธีเดียวที่จะหลีกเลี่ยงตัวคั่นสตริงดังนั้นจึงไม่มีวิธีดำเนินการใด ๆ กับผู้ใช้ประเภทใด ๆ ฉันไม่เห็นวิธีใดที่จะเปิดการโจมตีด้วยการฉีด SQL เพื่อต่อต้านสิ่งนี้ แต่ฉันรู้ว่าถ้านี่เป็นกระสุนที่ดูเหมือนกับฉันคนอื่นจะคิดว่ามันแล้วและมันจะเป็นเรื่องธรรมดา เกิดอะไรขึ้นกับรหัสนี้ มีวิธีการโจมตี SQL injection ผ่านเทคนิคการฆ่าเชื้อนี้หรือไม่ ตัวอย่างอินพุตของผู้ใช้ที่ใช้ประโยชน์จากเทคนิคนี้จะเป็นประโยชน์ UPDATE: ฉันยังไม่รู้วิธีการเปิดใช้การโจมตี SQL injection …

139 sql  security  sql-server-2000  sql-injection  sanitization 

ฉันต้องการเพิ่มความสามารถในการค้นหานิพจน์ปกติให้กับหน้าเว็บสาธารณะของฉัน นอกจากการเข้ารหัสHTMLแล้วฉันต้องทำอะไรเพื่อป้องกันการป้อนข้อมูลของผู้ใช้ที่เป็นอันตรายหรือไม่? การค้นหาของ Google เต็มไปด้วยผู้ที่แก้ไขปัญหาสนทนา - ใช้นิพจน์ทั่วไปเพื่อตรวจหาอินพุตที่เป็นอันตรายซึ่งฉันไม่สนใจในสถานการณ์ของฉันอินพุตของผู้ใช้เป็นนิพจน์ทั่วไป ฉันจะใช้ห้องสมุดRegexใน. NET (C #)

138 regex  security 

เมื่อใช้โปรโตคอล OAuth คุณต้องมีสตริงลับที่ได้รับจากบริการที่คุณต้องการมอบสิทธิ์ หากคุณกำลังทำสิ่งนี้ในเว็บแอปคุณสามารถเก็บความลับไว้ในฐานข้อมูลของคุณหรือในระบบไฟล์ได้ แต่วิธีใดที่ดีที่สุดในการจัดการกับแอปบนอุปกรณ์เคลื่อนที่ (หรือแอปเดสก์ท็อปสำหรับเรื่องนั้น) เห็นได้ชัดว่าการจัดเก็บสตริงในแอปนั้นไม่ดีเนื่องจากมีคนค้นพบได้ง่ายและใช้ในทางที่ผิด อีกวิธีหนึ่งคือการจัดเก็บไว้ในเซิร์ฟเวอร์ของคุณและให้แอปดึงข้อมูลมาใช้งานทุกครั้งอย่าเก็บไว้ในโทรศัพท์ เกือบจะแย่เพราะคุณต้องใส่ URL ในแอป ทางออกเดียวที่ใช้งานได้ที่ฉันสามารถทำได้คือการรับโทเค็นการเข้าถึงตามปกติก่อน (ควรใช้มุมมองเว็บภายในแอป) จากนั้นกำหนดเส้นทางการสื่อสารเพิ่มเติมทั้งหมดผ่านเซิร์ฟเวอร์ของเราซึ่งจะผนวกความลับไปยังข้อมูลคำขอและสื่อสาร กับผู้ให้บริการ จากนั้นอีกครั้งฉันเป็นเจ้าหน้าที่รักษาความปลอดภัยดังนั้นฉันจึงอยากรับฟังความคิดเห็นของผู้คนที่มีความรู้เกี่ยวกับเรื่องนี้ สำหรับฉันแล้วดูเหมือนว่าแอพส่วนใหญ่จะใช้ความยาวเหล่านี้เพื่อรับประกันความปลอดภัย (ตัวอย่างเช่น Facebook Connect ดูเหมือนว่าคุณใส่ความลับลงในสตริงในแอพของคุณ) อีกอย่าง: ฉันไม่เชื่อว่าความลับนั้นเกี่ยวข้องกับการขอโทเค็นการเข้าถึงในตอนแรกดังนั้นจึงสามารถทำได้โดยไม่ต้องเกี่ยวข้องกับเซิร์ฟเวอร์ของเราเอง ฉันถูกไหม?

137 iphone  android  security  mobile  oauth 

ฉันใช้การตั้งค่าความปลอดภัยของ Symfony ทุกอย่างทำงานได้ดี แต่ฉันไม่รู้ว่าจะทำสิ่งสำคัญอย่างหนึ่งอย่างไร ใน twig ฉันสามารถเข้าถึงข้อมูลของผู้ใช้ปัจจุบันได้โดยทำ: Welcome, {{ app.user.username }} หรือคล้ายกัน ฉันจะเข้าถึงข้อมูลเดียวกันนี้ใน Controller ได้อย่างไร โดยเฉพาะอย่างยิ่งฉันต้องการรับเอนทิตีผู้ใช้ปัจจุบันดังนั้นฉันจึงสามารถจัดเก็บอย่างสัมพันธ์กันในเอนทิตีอื่น (การแมปแบบหนึ่งต่อหนึ่ง) ฉันหวังว่ามันจะเป็นอย่างนั้นจริงๆ $this->get('security.context')->getToken()->getUser() แต่ไม่ได้ผล มันทำให้ฉันมีคลาสประเภทหนึ่ง Symfony\Component\Security\Core\User\User และฉันต้องการหนึ่งประเภท Acme\AuctionBundle\Entity\User ซึ่งเป็นหน่วยงานของฉัน ....

137 entity-framework  security  symfony 

ฉันเพิ่งเริ่มคิดว่าคีย์ api และคีย์ลับทำงานอย่างไร เพียง 2 วันที่ผ่านมาฉันลงทะเบียนสำหรับ Amazon S3 และติดตั้งปลั๊กอิน S3Fox พวกเขาขอให้ฉันใช้ทั้งรหัสการเข้าถึงและรหัสการเข้าถึงแบบลับซึ่งทั้งสองอย่างนั้นต้องการให้ฉันเข้าสู่ระบบเพื่อการเข้าถึง ดังนั้นฉันสงสัยว่าถ้าพวกเขาถามฉันถึงรหัสลับของฉันพวกเขาจะต้องเก็บมันไว้ที่ไหนสักแห่งใช่มั้ย นั่นเป็นสิ่งเดียวกับการขอหมายเลขบัตรเครดิตหรือรหัสผ่านของฉันและเก็บไว้ในฐานข้อมูลของตัวเองหรือไม่ คีย์ลับและคีย์ API ควรทำงานอย่างไร พวกเขาจำเป็นต้องมีความลับแค่ไหน? แอปพลิเคชันเหล่านี้ที่ใช้รหัสลับจัดเก็บอย่างใดหรือไม่?

136 security  amazon-s3  passwords  api-key  secret-key