您看到/使用过哪些现实生活中的默默无闻的例子?

时间:2008-12-07 19:30:40

标签: security

奖励积分,用于解释您如何改进它。

16 个答案:

答案 0 :(得分:16)

默默无闻的现实安全?

前门的钥匙藏在附近的岩石下,或在迎宾垫下,或在高栏杆的顶部。

这些都是通过默默无闻的安全实例,因为它是公开的,任何人都可以抓住,但大多数人无法在没有大量搜索的情况下找到它。但是,专门的攻击者可以直接进入。

答案 1 :(得分:5)

有些人喜欢使用混淆来使他们的javascript难以阅读(因此也是黑客)。谷歌是这项技术的用户之一。在最简单的级别,他们将变量和方法名称更改为单个不可思议的字母。第一个变量名为“a”,第二个变量名为“b”,依此类推。它确实成功地使javascript非常难以阅读和遵循。它为javascript代码中包含的知识产权添加了一些保护,必须将其下载到用户的浏览器才能使用,从而使所有人都可以访问它。

除了使代码难以阅读之外,变量名称的缩短减少了必须下载到用户浏览器的javascript代码的大小。从理论上讲,这可以减少网络流量。

Here's有关Google混淆的文章,以及here's可用工具列表。

答案 2 :(得分:5)

在一个网站上,我做了一些合同工作,我注意到他们存储了双散列密码。从记忆中,他们存储了像

这样的东西 
$encrypted_password = md5( sha1( plaintext_password ) );

当我问到这是什么目的时,我发现编写帐户创建/登录脚本的人一直在阅读字典攻击。他认为没有人会想到创建一个字典,用md5 sha1来哈希输入。

我通过在用户表中添加一个随机盐列来改进了系统。我离开了双重哈希。它没有对伤害系统的安全性做任何事情,说实话,我认为对于那些对安全性不太了解的人来说,这是非常聪明的。

答案 3 :(得分:3)

看过:网站使用复杂的网址来访问ajax组件而不是实际密码保护它们,例如:

domain.com/3r809d8f09feefhjkdjfhjdf/delete.php?a=03809803983djfhkjsdfsadf

字符串保持不变,查询是随机的,旨在阻止攻击者。

改进:将页面限制为仅从某些IP地址访问。将身份验证字符串添加到查询中,该查询是访问时间的盐渍哈希值。

答案 4 :(得分:3)

在一个更“现实生活”的例子中,我不知道它是否有意,但我喜欢我的街区中没有任何门铃的方式,并且他们的数字似乎没有相关性对于公寓号码而言。 IE浏览器。对于公寓605公路,#25公路,公寓404公路,#13,等等。 :)

答案 5 :(得分:2)

人们在纸上写下密码并将其放在键盘下面。

我通过他们的帐户登录他们的计算机并向该组发送一封令人尴尬的电子邮件解决了这个问题。

答案 6 :(得分:1)

看过:phpMyAdmin进入了目录_phpmyadmin

改进:禁止从公司网络外部访问。

答案 7 :(得分:1)

与@ stech的解决方案类似。

我们的应用程序在Web上的一些管理页面,检查本地IP子网范围,否则显示访问被拒绝。 访问改进仅限于在网络内部或与其建立VPN的用户。

答案 8 :(得分:1)

回到旧的DBase / Clipper时代,我为一个为他的朋友开发了一个应用程序的人工作。这位朋友希望有一些“秘密”可访问的程序或数据(我不记得)需要一个只有他知道的密码。

我被告知解决方案是,Clipper在秘密目录中打开了DOS提示符,黑色背景颜色上有黑色文本(一些ANSI控制字符完成了此操作)。

用户必须输入密码,但这是DOS命令提示符的输入行,“密码”实际上是随后执行的批处理文件的名称。

答案 9 :(得分:1)

我曾经看过一个摄影网站,您可以从照片缩略图网址中删除一些角色,以获得完整版本。

答案 10 :(得分:1)

许多专业摄影师网站使用Javascript来阻止人们右键点击图片以“另存为...”。这些网站中的大多数也没有做任何水印。

我过去常常使用referer标题进行冲浪...如果他们不知道你来自哪里,有多少网站会爆炸或者拒绝你,这是非常令人惊讶的。

一个网站进行了投票,并使用Cookie来阻止您多次投票。您可以简单地删除该cookie并继续投票。您也可以使用wget编写所有脚本。

答案 11 :(得分:1)

我们处理的一家供应商要求我们以ROT-13“加密”格式在查询字符串中发布用户名和密码。不开玩笑。

答案 12 :(得分:1)

通过默默无闻的安全是一种有效的策略。很多人都拒绝回复版本信息作为ftp和apache的最佳实践。蜜罐可以被认为是一种模糊的做法,因为攻击者不知道网络的布局并被吸入其中。我知道的一个高安全性站点用五位数的字母数字短语(例如'0a3bg')分配用户名,而不是使用逻辑用户名。任何使进入系统更加困难或需要更长时间的事情都是一种有效的措施。

完全通过默默无闻的安全是不好的。

答案 13 :(得分:0)

我一直看到的这个例子是在源代码中完成的,开发人员认为没有人会看到。你会看到很多加密密钥,特别是嵌入在源代码中。很多时候甚至不是反编译代码的问题,他们可以直接使用库。

解决方案始终是教导开发人员假设某人拥有源代码并可以使用它来对付您。

答案 14 :(得分:0)

竭尽全力隐藏软件名称和版本号。

IE中。将Tomcat服务器名称和版本更改为一些引号和随机数(如666),更改常规javascript库的名称和版本号,如scriptaculous和prototype等。

在当前的项目中,我们使用的是Google Web工具包(GWT),这个偷偷摸摸的小东西将Java编译成javascript(你几乎无法控制)并包含字符串“GWT”和版本号。当然完全不可接受,所以我们需要制作一个在GWT编译后运行的脚本,以删除所有这些引用(!)。

答案 15 :(得分:-1)

/ admin没有密码。

是的我见过它,这是非常真实的。

相关问题
最新问题