Lisää

Arvaa Webappin tuntematon projektio

Arvaa Webappin tuntematon projektio


Minulla on useita pisteitä Lontoon suuremman alueen ympärillä (voi olla myös noin 100-200 km päässä siitä), kuten tässä muodossa Lon, lat:

43032.1,32681 95816.5,34473.8 15439.3,-13987

Sovellus, johon nämä pisteet siirretään, käyttää esitteitä, mutta ei valitettavasti käytä mitään EPSG3857, EPSG4326, EPSG3395 osoitteesta http://leafletjs.com/reference.html. Ainakin näin huomasin käyttäessäni tällaista proj cmdline -työkalua:

kaiku -48884,4 64535,7 | cs2cs -f "%.10f" +init = epsg: 3395 + - +init = epsg: 4326

Kokeilin todella monia mahdollisia ennusteita ja käänsin tilauksen, mutta en löydä tapaa saada uskottavaa tulosta, jonka pitäisi olla jotain 51.xxxx -0.1xxxxx

Onko kenelläkään tietoa mitä projektioita tässä voisi käyttää?


En ole varma, auttaako tämä sinun tapauksessasi, mutta tämä online -työkalu saattaa olla kokeilemisen arvoinen. Jos voit luoda pisteistä muototiedoston, tämä työkalu yrittää arvata projektion.

Projection Guesserista:

Yksi karttojen tekemisen iloista on muodotiedoston hankkiminen ilman projektiota. Päätimme lopulta lopettaa palapelien tekemisen manuaalisesti ja kirjoitimme jotain, joka hyödyntää PostGISin voimaa kokeilla kaikkia tietokannan projektioita.

Askeleet

  1. Pakkaa .shp + .shx (et tarvitse .dbf -tiedostoa)
  2. Vedä .zip kartalle.
  3. Odota.
  4. Napsauta muotoa, joka näyttää oikealta
  5. Napsauta .prj -linkkiä
  6. Tallenna sivun sisältö .prj -tiedostoosi

Se sanoo, että se toimii parhaiten yksittäisten monikulmioiden kanssa; en tiedä onnistuuko pisteissä.


Olen kuullut huhuja, että tämän määrittäminen edellyttää myös käyttäjäprofiilipalvelusovelluksen määrittämistä niin, että OAuth/vaatimusten lisäys/jne. kaikki tavarat voivat olla paikallaan. Valitettavasti minulla ei ole vielä ollut mahdollisuutta vahvistaa tätä.

Kokemukseni tästä on, että unohdin lisätä tilin, jolla olin kirjautunut sisään SharePoint -palvelimelle Workflow Manager -hallintaryhmässä. Lisäsin tilin, kirjauduin ulos ja takaisin sisään (jotta saisin uuden tunnuksen), ja se toimi hyvin. Luulen, että admin -ryhmä on syystä, eikö? :)

Minulla oli samanlainen virhe, mutta sain sen toimimaan tämän blogin perusteella.

Tässä vain ote auttaakseni muita, jotka saattavat kokea saman:

Saatat saada jonkin seuraavista virheistä, ja olen kommentoinut jokaista käyttämääni resoluutiota:

VIRHE

ONGELMA

RATKAISU

Register-SPWorkflowService: Soittajalla ei ole tähän toimintoon tarvittavia käyttöoikeuksia. Luvat myönnetty: Ei mitään. Vaaditut käyttöoikeudet: WriteScope. Palvelimelta vastaanotetut HTTP-otsikot-ActivityId: 5e2b96c5-f971-48c9-b3fd-405c3616e1c7. Solmun tunnus: SP2. Soveltamisala: /SharePoint. Client ActivityId: 8e592951-0027-40c6-b996-ba3dd194fdea.

CONTOSO svcSetupAcct ei ole työnkulun järjestelmänvalvojaryhmän CONTOSO WFAdmins jäsen.

Lisää CONTOSO svcSetupAcct CONTOSO WFAdminsiin ja suorita Register-SPWorkflowService PowerShell-cmdlet-komento uudelleen. Sinun on ehkä kirjauduttava ulos ja kirjauduttava sisään uudelleen, jotta voit hankkia päivitetyn suojaustunnuksen.

kirjautumisen pyytämä. Kirjautuminen epäonnistui.

Kirjautuminen epäonnistui käyttäjälle CONTOSO svcsetupacct.

CONTOSO svcSetupAcct ei ole saanut ShellAdminin pääsyä WSS_Content_WFTest -sisältötietokantaan.

Myönnä CONTOSO svcSetupAcct-pääkäyttäjän käyttöoikeus haluttuun sisältötietokantaan PowerShellin avulla, joka on samanlainen kuin seuraava: Add-SPShellAdmin CONTOSO svcSetupAcct-tietokanta (Get-SPContentDatabase WSS_Content_WFTest)

Register -SPWorkflowService -SPSite url -WorkflowHostUri url Register -SPWorkflowService: OAuth S2S -metatietojen päätepisteen kysely epäonnistui URI: ssa. Virhetiedot: 'Metatietojen päätepiste vastasi virheellä. HTTP -tilakoodi: Kielletty. '. Palvelimelta vastaanotetut HTTP-otsikot-ActivityId: b5163152-3e31-4809-a532-5e20d1320027. Solmu ID: WF. Soveltamisala: /SharePoint. Asiakkaan aktiviteettitunnus: b66b0ea4-d9a7-4d2d-8be8-3a0c58ab728c.

Parametrien virheellinen käyttö

Huomaa, että SharePoint-sivusto ei ole SSL, mutta parametria –AllowOAuthHttp ei määritetty. Ei-SSL-SharePoint-sivustossa on käytettävä parametria –AllowOAuthHttp.


11 Vastaukset 11

Pääasia on, että teemme jyrkän eron niiden välillä hämärtyminen ja salassapito jos meidän on kavennettava ero yhteen ominaisuuteen, niin sen on oltava mitattavuus. On salaisuus se, mitä ulkopuoliset eivät tiedä, ja me tiedämme kuinka paljon se ei ole tiedossa näille ulkopuolisille. Esimerkiksi 128-bittinen symmetrinen avain on 128-bittinen sekvenssi, joten kaikki 2 128 mahdollista sekvenssiä käytettäisiin yhtä suurella todennäköisyydellä, joten hyökkääjän, joka yrittää arvata tällaista avainta, täytyy kokeilla keskimäärin vähintään 2 127 heistä ennen oikean osumista. Se on määrällinen. Voimme laskea, lisätä lukuja ja laskea hyökkäyksen hinta.

Sama pätee RSA: n yksityiseen avaimeen. Matematiikka on monimutkaisempaa, koska tehokkaimmat tunnetut menetelmät perustuvat kokonaislukukertoimiin ja mukana olevia algoritmeja ei ole yhtä helppo mitata kuin symmetrisen avaimen raakaa voimaa (RAM -muistin käytöstä ja rinnakkaisuudesta tai sen puutteesta on paljon yksityiskohtia). Mutta se on edelleen salailua.

Sitä vastoin an hämärä algoritmi on "salainen" vain niin kauan kuin hyökkääjä ei selvitä algoritmin yksityiskohtia, ja se riippuu monista tekijöistä: algoritmin toteuttavan laitteiston saatavuus, käänteisen suunnittelun taidot ja älykkyys. Meillä ei ole hyödyllistä tapaa mitata kuinka älykäs joku voi olla. Joten salainen algoritmi ei voi olla "salainen". Meillä on toinen termi sille, ja se on "hämärä".

Haluamme tehdä turvallisuus salaisuuden kautta koska turvallisuus on riskienhallinta: hyväksymme turvajärjestelmän käytön yleiskustannukset, koska voimme mitata, kuinka paljon sen käyttäminen maksaa ja kuinka paljon se vähentää onnistuneiden hyökkäysten riskiä, ​​ja voimme sitten tasapainottaa kustannukset tietoisen päätös. Tämä voi toimia vain siksi, että voimme asettaa numeroita onnistuneiden hyökkäysten riskeille, ja tämä voidaan tehdä vain salassa pidättäen, ei hämärässä.

Luulen, että termiä "turvallisuus pimeyden kautta" käytetään väärin melko usein.

Useimmiten mainittu lainaus, kun puhutaan turvallisuudesta hämärän kautta, on Kerckhoffsin periaate.

Sen ei tarvitse olla salainen, ja sen on voitava joutua vihollisen käsiin ilman haittaa

Turvallisuus hämärän kautta tarkoittaa luottamista säilyttämiseen design ja toteutus turvajärjestelmän suojaaminen piilottamalla tiedot hyökkääjältä. Tämä ei ole kovin luotettava järjestelminä ja protokollina voi on käännettävä ja purettava riittävästi aikaa. Myös järjestelmä, joka perustuu sen toteuttamisen piilottamiseen, ei voi riippua asiantuntijoista, jotka tutkivat sitä heikkouksien vuoksi, mikä todennäköisesti johtaa enemmän tietoturvahäiriöihin kuin järjestelmä, joka on tutkittu ja jossa virheet on ilmoitettu ja korjattu.

Otetaan esimerkiksi RSA. Kaikki maailmassa tietävät, miten se toimii. Kaikki, joilla on hyvä käsitys matematiikasta, ovat joka tapauksessa mukana. Se on hyvin tutkittu ja perustuu vaikeisiin matemaattisiin ongelmiin. Ottaen kuitenkin huomioon sen, mitä tiedämme asiaan liittyvästä matematiikasta, se on turvallinen edellyttäen, että p- ja q -arvot pidetään salassa. Tämä on olennaisesti keskittyminen järjestelmän murtaminen (ja suojaaminen) yhdeksi salaisuudeksi, joka voidaan suojata.

Vertaa tätä salausalgoritmiin, joka ei noudata Kerckhoffsin periaatetta. Tämä salausalgoritmi on salainen salaisen avaimen käyttämisen sijasta. Jokainen, joka tuntee algoritmin, voi purkaa kaikki algoritmilla salatut tiedot. Tämä on erittäin algoritmia on lähes mahdotonta pitää vihollisen käsissä. Katso hyvä esimerkki tästä Enigma -koneesta.

Turvallisuus on salaisuuksien pitämistä, mutta hyvä turvallisuus on tietää, mitkä salaisuudet voit pitää ja mitä et.

Ja erityisesti parhaat tietoturvaprotokollat ​​perustuvat periaatteeseen, jonka mukaan salaisuus on otettava huomioon suunnittelussa, jotta salaisuutesi voidaan säilyttää ilman, että sinun pitää myös salata suunnittelua. Tämä on erityisen tärkeää, koska järjestelmämallit ovat tunnetusti mahdottomia pitää salassa. Tämä on ydin Kerckhoffsin periaate, joka palaa vanhojen armeijan salauskoneiden suunnitteluun.

Toisin sanoen, jos algoritmit On salaisuutesi, niin jokainen, joka näkee algoritmisi toteutuksen - kuka tahansa, jolla on laitteistosi, kuka tahansa, jolla on ohjelmistosi, kuka tahansa, joka käyttää palveluasi - on nähnyt salaisuutesi. Algoritmi on a kauhea paikka salaisuuksien paljastamiseen, koska algoritmit ovat niin helppoja tutkia. Lisäksi malleihin upotettuja salaisuuksia ei voi muuttaa muuttamatta toteutusta. Olet jumissa saman salaisuuden kanssa ikuisesti.

Mutta jos laitettasi ei tarvitse pitää salassa, jos olet suunnitellut järjestelmäsi niin, että salaisuus on riippumaton laitteesta - jokin salainen avain tai salasana - järjestelmäsi pysyy turvassa myös laitteen tarkastamisen jälkeen vihollisesi, hakkerit, asiakkaat jne. Tällä tavalla voit keskittää huomiosi vain salasanan suojaamiseen ja luottaa siihen, että järjestelmääsi ei voida rikkoa ilman sitä.

Kriittinen ero on siinä, mitä pidetään salassa.

Ota RSA esimerkkinä. RSA: n perusperiaate on yksinkertainen matematiikka. Jokainen, jolla on vähän matemaattista tietämystä, voi selvittää, kuinka RSA toimii toiminnallisesti (matematiikka on lähes puoli tuhatta vuotta vanha). Se vaatii enemmän mielikuvitusta ja kokemusta selvittääksesi, kuinka voit hyödyntää sitä turvallisuuden kannalta, mutta se on tehty itsenäisesti vähintään kahdesti (Rivest, Shamir ja Adleman ja muutama vuosi sitten Clifford Cocks). Jos suunnittelet jotain RSA: ta ja pidät sen salassa, on hyvä mahdollisuus, että joku muu on tarpeeksi taitava selvittämään sen.

Toisaalta yksityinen avain luodaan satunnaisesti. Kun satunnainen luominen on tehty oikein, se varmistaa, ettei salaisuutta voida rekonstruoida ihmisen käytettävissä olevalla laskentateholla. Mikään älykkyys ei salli kenenkään rekonstruoida salaista satunnaisten bittien merkkijonoa, koska sillä ei ole intuitiivista rakennetta.

Salausalgoritmit on keksitty älykkyydestä, ja niillä on suurelta osin yhteiset tavoitteet (suojaa joitain tietoja, toteuta algoritmi edullisesti ...). On hyvä mahdollisuus, että fiksut ihmiset sulautuvat samaan algoritmiin. Toisaalta satunnaisia ​​salaisten bittien merkkijonoja on runsaasti, ja määritelmän mukaan ihmiset eivät keksi samaa satunnaista merkkijonoa¹. Joten jos suunnittelet oman algoritmin, on suuri mahdollisuus, että naapurisi suunnittelee saman. Ja jos jaat algoritmisi kaverisi kanssa ja haluat sitten kommunikoida hänen kanssaan yksityisesti, tarvitset uuden algoritmin. Mutta jos luot salaisen avaimen, se on erilainen kuin naapurisi ja kaverisi. Satunnaisavaimen salassa pitämisellä on varmasti potentiaalista arvoa, mikä ei pidä paikkaan algoritmin salassa pitämisessä.

Toissijainen seikka avainsalaisuudesta on, että se voidaan mitata. Jos luot hyvän satunnaisgeneraattorin, jos luot satunnaisen n-bittisen merkkijonon ja pidät sen salassa, on todennäköisyys 1/2^n, että joku muu löytää sen yhdellä yrityksellä. Jos suunnittelet algoritmin, riskiä, ​​että joku muu ymmärtää sen, ei voida mitata.

RSA -yksityiset avaimet eivät ole yksinkertainen satunnainen merkkijono - niillä on jonkinlainen rakenne, joka on alkulukupari. Entropian määrä - tietyn kokoisten mahdollisten RSA -avainten lukumäärä - on kuitenkin riittävän suuri, jotta se olisi käytännössä mahdoton arvioida. (Mitä tulee siihen, että RSA -avaimia on käytännössä mahdotonta rekonstruoida julkisesta avaimesta ja joukosta selkeitä ja salakirjoitustekstejä, sitä emme voi todistaa matemaattisesti, mutta uskomme näin olevan, koska monet älykkäät ihmiset ovat yrittäneet ja epäonnistuneet. toinen tarina.)

Tämä tietysti yleistää mihin tahansa salausalgoritmiin. Pidä satunnaiset merkkijonot salassa. Julkaise älykkäitä malleja.

Tämä ei tarkoita sitä, että kaikki pitäisi julkaista, lukuun ottamatta pientä osaa, joka on satunnainen nippu. Kerckhoffin periaate ei sano sitä - se sanoo, että mallin turvallisuuden ei pitäisi perustua mallin salaisuuteen. Vaikka salausalgoritmit julkaistaan ​​parhaiten (ja sinun on odotettava vuosikymmen ennen kuin käytät niitä nähdäksesi, onko tarpeeksi ihmisiä epäonnistunut niiden rikkomisessa), on myös muita turvatoimenpiteitä, jotka pidetään parhaiten salassa, erityisesti turvatoimenpiteet, jotka edellyttävät aktiivista selvittämistä selvittää. Esimerkiksi jotkut palomuurisäännöt voivat kuulua tähän luokkaan, mutta palomuuri, joka ei tarjoa suojaa hyökkääjää vastaan, joka tietää säännöt, olisi hyödytön, koska lopulta joku keksii ne.

¹ Vaikka tämä ei pidä paikkaansa matemaattisesti, voit kirjaimellisesti lyödä vetoa siitä.


20 Vastausta 20

Minulla oli tämä ongelma VS 2010: n kanssa, ja se oli yhtä helppoa kuin "WebDev.WebServer40.EXE" -prosessin lopettaminen. Vaikka kuvake ei enää näkynyt ilmaisinalueella, prosessi oli edelleen käynnissä.

Voi olla useita asioita. kokeile näitä (tarkista ensin viimeinen).

  • Poista IPv6 käytöstä
  • Varmista, että localhostin isäntätiedostossa ei ole muokkausta
  • Tarkista palomuurin/viruksen asetukset salliaksesi yhteydet devenv.exe -tiedostoon
  • Jos voit esikatsella selaimessa, varmista, että selaimen URL -osoite käyttää samaa portin numeroa kuin ASP.NET dev -palvelimen tehtäväpalkin kuvakkeessa näkyvä portin numero.
  • Kokeile asettaa kiinteä, ennalta määritetty portti projektin ominaisuuksiin

Sain nämä pari foorumia muualta, toivottavasti ne voivat auttaa. Onnea. Kerro meille, mikä toimii ja jotkut muut ympäristöstäsi (palomuuri, virustorjunta jne.) Voivat myös auttaa.

Kokeile projektiasetuksissa määrittää toinen portti, kuten esimerkiksi 64773. Olen törmännyt tähän ongelmaan monta kertaa ja se on aina toiminut minulle.

Se aiheuttaa jo sen, että projektiporttipalvelin on käynnissä nykyisessä säikeessä. Sinun on lopetettava prosessi tehtävienhallinnan avulla.

Pres Ctrl+Alt+Delete (Tehtävienhallinta)

etsi asp.net -palvelin, kuten WebDev.WebServer40.exe VS2010: lle, ja paina lopeta prosessi.

Jatka nyt vs2010 -käynnistyspainiketta

Menin projektitiedostoon ja muutin kehityspalvelinportin arvoksi 1504. No 1504 työskenteli minulle toisen projektin parissa, joten menin sen kanssa. Toivottavasti tämä auttaa.

Olen kokeillut kaikkia edellä mainittuja ratkaisuja ja myös muita verkkosivustoja, mutta ilman onnea.

Minulle toimi sovellusnostotiedoston nimeäminen tai poistaminen:

C: Users User Documents IISExpress config applicationhost & lt nimetä uudelleen tai poistaa.

Se on hyvin outoa! Inhoan ehdottaa jotain niin yksinkertaista kuin Visual Studion uudelleenkäynnistys. mutta se kuulostaa parhaalta alustalta. Tarkista myös projektisi asetukset. Kuten sanoit, latasit tämän ja yritit suorittaa sen. ehkä ratkaisua/projektia ei ole määritetty käyttämään Visual Studion mukana toimitettua Casini -palvelinta?

  1. "Verkkosivusto" -valikko visuaalisessa studiossa ide.
  2. valitse Käynnistä -asetukset
  3. ota käyttöön Käytä mukautettua palvelinta -valintanappi.
  4. Anna haluamasi URL -osoite, joka on samanlainen kuin "http: // localhost: 8010/MyApp"

Huomautus 1: voit käyttää mitä tahansa portin numeroa paitsi '8010', mutta ei nimettyjä porttinumeroita, kuten 8080 (tcpip), 25 (smtp), 21 (ftp) jne.,

Huomautus 2: voit käyttää mitä tahansa nimeä paitsi "MyApp"

Tämä ratkaisu toimii varmasti, ellei WebDev.Webserver.exe ole fyysisesti vioittunut.

Virhe 1) Asp.net -kehityspalvelimen yhdistäminen ei onnistu? Vastaus: Virheelle ei löydy keinoa

Kokeile 1) Vaihe 1: Valitse VS: n tai Visual Web Developerin "Työkalut-> Ulkoiset työkalut" -valikkovaihtoehto. Tämän avulla voit määrittää ja lisätä uusia valikkokohteita Työkalut -valikkoosi.

verkkopalvelin, jonka VS yleensä suorittaa automaattisesti).

ja valitse sitten tämä valikkovaihtoehto käynnistääksesi verkkopalvelimen, jolla on juurisivusto porttiin 8010 (tai mihin tahansa muuhun porttiin, jota haluat) projektille.

itse web-palvelin. Voit tehdä tämän valitsemalla Web-projektisi ratkaisututkimuksessa, napsauttamalla hiiren kakkospainiketta ja valitsemalla "Ominaisuussivut". Valitse "Käynnistysvaihtoehdot" -asetus vasemmalta ja

vaihda palvelimen alla oleva valintanapin arvo oletusasetuksesta (joka käyttää sisäänrakennettua verkkopalvelinta) arvoksi "Käytä mukautettua palvelinta". Aseta sitten perus -URL -arvon arvoksi:

Kehityspalvelin ei ole käytettävissä, koska se on jo toisen verkkopalvelimen käytössä.


5 Vastausta 5

Yleensä ei ole olemassa yhtä virallista mallia, jonka voisit vain omaksua - ja hyvästä syystä. Oikean kulunvalvontarakenteen on oltava riippuvainen sovelluksesi erityispiirteistä, joten ei ole yhtä kaikille sopivaa vastausta.

Yleensä kulunvalvonnan määritteleminen edellyttää muutaman kysymyksen tarkastelua:

Mitä resursseja minun on suojeltava? Mitkä resurssit ovat kriittisimpiä turvallisuudelle? Tämä riippuu sovelluksestasi, mutta se voi olla esimerkiksi yksittäisiä blogiviestejä, blogiviestin kommentteja tai tietyn blogin teema/asettelu.

Mitä toimia näillä resursseilla voidaan tehdä? Määritä seuraavaksi toiminnot tai toimet, jotka joku saattaa haluta suorittaa näille resursseille. Usein nämä ovat perusasioita, kuten katsella (lukea), muokata (kirjoittaa), luoda ja poistaa.

Ketkä ovat henkilöitä, jotka saattavat haluta suorittaa tällaisen toiminnon tällaisella resurssilla? Kulunvalvonnan kielellä näitä kutsutaan joskus "päämiehiksi". Tämä voi esimerkiksi olla joukko käyttäjiä, joilla on tilejä sivustossasi (jokainen käyttäjä on päämies). Voit myös määrittää ryhmiä (esim. Kaikki järjestelmänvalvojat, kaikki tietyn blogin käyttäjät) tai sallia sivustosi käyttäjien määrittää ryhmiä.

Mitä rajoituksia haluan asettaa näille toimille? Voit määrittää suojauskäytännön. Yksi tapa määritellä tietoturvapolitiikka on määrittää kunkin resurssin osalta, mitä toimintoja kukin päämies voi suorittaa kyseiselle resurssille. Tätä voidaan kuvata tiiviimmin ryhmissä (esim. Kuka tahansa järjestelmänvalvoja voi muokata mitä tahansa blogiviestiä). Voit päättää, sopiiko yksi kiinteä tietoturvakäytäntö sovelluksellesi vai onko hyödyllisempää antaa käyttäjien määrittää suojauskäytäntö. Usein on aivan liikaa odottaa käyttäjien kirjoittavan kaikki sallitut yhdistelmät (pää-, toiminta-, resurssi), joten sinun on pohdittava, mitkä ovat yhteiset käytännöt, jotka voivat olla järkeviä sovelluksellesi, jotta se olisi helpompaa käyttäjille.

Muutama muu kommentti.

Ehdotan, että tarkastelet joitain muita esimerkkisovelluksia, jotka ovat samankaltaisia ​​kuin haluat rakentaa, nähdäksesi kuinka ne käyttävät pääsyä. On monia blogialustoja, miksi et katso kuinka ne sallivat blogin ylläpitäjien ja bloggaajien hallita pääsyä blogiin? Katso, mistä pidät ja mistä et, ja mikä näyttää toimivan hyvin käyttäjille ja mikä ei, ja opi siitä.

Haluan myös esitellä teille käyttäjälähtöisen kulunvalvonnan käsitteen, jossa sen sijaan, että te (ohjelmistokehittäjä/järjestelmänvalvoja) yrittäisitte asettaa tietosuojakäytännön sivustollenne, annatte käyttäjien määrittää oman suojauskäytäntönsä omien Toiminnot. Esimerkiksi jokaisessa blogikirjoituksessa voi olla oma "view" -linkki, jonka käyttäjät voivat jakaa muiden kanssa, jos jaat tämän linkin Alicen kanssa, niin Alice voi tarkastella blogitekstiä. Voit sisällyttää tähän linkkiin satunnaisen arvaamattoman tunnuksen, ja sitten URL -osoitteen tuntemus on kaikki mitä blogikirjoituksen tarkasteluun tarvitaan. Toisena esimerkkinä jokaisessa blogikirjoituksessa voi olla "muokkaus" -linkki, jonka blogin omistaja voi jakaa jonkun muun kanssa, jotta hän voi muokata blogiviestiä yhdessä. Ajattele esimerkiksi, kuinka voit jakaa Google -dokumentit -asiakirjan jonkun muun kanssa. Tässä mallissa jokainen näistä linkeistä on ominaisuus, joka antaa luvan suorittaa tietty toiminto tietylle resurssille tai resurssikokoelmalle. Joissakin olosuhteissa tämä lähestymistapa voi olla hyödyllinen, koska se tarjoaa käyttäjille joustavuutta määrittää omat suojatut jakomallit.


Abstrakti

Viimeaikaiset taloudelliset ja ympäristörajoitukset pakottavat toimitusketjun hallintajärjestelmät omaksumaan suljetun silmukan toimitusketjun toimintatavat, joiden on vastattava hyvin monimutkaisiin ongelmiin, mukaan lukien loppukäyttäjien palvelujen laatu, ympäristönäkökohdat ja päivittäiset kuljetusaikavaihtelut. Asiaankuuluvat ja haastavat tutkimusalueet edellyttävät asianmukaista koordinointia tietojen toimittajan ohjelmiston (liikenteenhallintaohjelmisto) ja matkan määrittelystä vastaavan operatiivisen tutkimusvälineen välillä.

Tässä asiakirjassa ehdotetaan ajoneuvojen reititysongelmaan sovellettua päätöksenteon tukijärjestelmää, joka pystyy käsittelemään erittäin suuria tapauksia tosielämän rajoituksilla. Meidän panoksemme on ehdottaa arkkitehtuuria, joka käsittelee sekä staattista resoluutiota ennen reittien valmistumista että päivittää ne dynaamisessa kontekstissa niiden valmistumisen aikana. Tämä toteutetaan REST-pohjaisen sovellusliittymän kautta käyttäen lukuisia uusimpia operatiivisia tutkimusmenetelmiä. Lisäksi Mapotempo -yhtiö on käyttänyt tätä järjestelmää käytännössä.


Hakemiston läpikäynti: Miten tämä vaikuttaa '? ' ja '. ' URL -osoitteeseen?

Esitin kysymyksen juuri tällä sivustolla - En voinut ymmärtää, miksi verkkosovellus on altis hakemiston läpivientihyökkäykselle, jossa minulle annettiin raportti, jossa todettiin, että verkkosovellukseni oli haavoittuva.
Lähetin raportista muutamia näytteitä, kuten Testauspolku: http://127.0.0.1:80/??/etc/issue & lt- HAAVA! , nyt minulta kysyttiin, mitä nuo kaksi /?? ovat julkaistussa URL -osoitteessa.

Tein muutaman testin:
http://127.0.0.1:80/??/etc/issue palauttaa kotisivun.
http://127.0.0.1:80/.?/etc/issue palauttaa kotisivun.
http://127.0.0.1:80/?./etc/issue palauttaa kotisivun.

Joten alla oleva malli palauttaa kotisivun:
http://127.0.0.1:80/Position1Position2Anything/Anythingcouldbehere, missä
Jos asema 1 =? , kotisivu palautetaan sijainnin 2 sisällöstä riippumatta.

Jos asema 1 =. sitten aseman 2 täytyy olla? , etusivulle.
Mikä tahansa voi olla myös tyhjä merkkijono.

Kaikki mikä ei vastaa yllä olevaa mallia, palauttaa arvon 400/404.
Ja suoritin yllä olevan security.stackexchange.com/ -testin, ja sekin palautti saman tuloksen (noudatti samaa mallia. Ja?) Ja palautti kotisivunsa selaimessa.

Selittäkää rooli? ja. URL -osoitteissa.

MUOKATA:
Vain tämä malli (yllä oleva, ja? Ja.) Tekee web-sovelluksesta haavoittuvan Directory Traversal -hyökkäykseen kynän testaajien lähettämän raportin mukaisesti.


Mikä on paras menettelytapa tai ohjelma luodakseni asetuksiini sopivan realistisen maailmankartan?

Minulla on melko suoraviivainen vaihtoehtoinen nykyajan maapallon asetus, hieman samanlainen kuin Ace Combat's Strangereal tai "America", joka nähdään Rockstar Northin GTA-sarjassa (tosielämä, sarjanumerot jätetty pois).

Haluaisin ottaa vastapuolen maat jne. Ja sijoittaa ne kartalle, joka muistuttaa maapalloa - samanlaiset osuudet vettä maasta, jäätä metsään jne. - mutta joka ei heijasta kotiplaneettamme mantereen tai maan asettelua.

Olisi mukavaa ottaa huomioon (jopa karkeasti) toimenpiteet, kuten eroosio, sateenvarjot, tektoniset levyliikkeet jne. Tämän maailman / maailmankartan tuotannossa, mutta valitettavasti en ole geologi / tektoninen insinööri.

Se on hieman suurenmoinen kysymys, mutta. Onko olemassa keino automatisoida enimmäkseen tarkan uuden planeetan rakentamisprosessi? Voitko suositella ohjelmistoa, verkkosovellusta tai opasta, jota voin seurata maapalloni rakentamisessa?

Tämä mielikuvituksellinen harjoitus on minulle aivan uusi - ehdotuksia otetaan mielellään vastaan! Kiitos!


En luvannut mitään! Yllä olevan apinalaastarin laajentaminen tee stdoutiin ja stderriin jätetään harjoitukseksi lukijalle tynnyri täynnä vapaa-aikaa. ("Se en ole minä, kulta.") [Linkit meemimateriaaliin YouTubessa]

Juhli karhun kirjoittamisen odottamatonta mahtavuutta:
[. ]
Joten mikä on hieronta, muru?
[. ]
Jos haluat estää hyväntahtoisia (mutta valitettavasti pienimuotoisia) työtovereita poistamasta tyypin tarkistusta, jonka olet lisännyt hiljaa viime perjantain kofeiinilisäisen illan jälkeen geriatriseen perintöön Django-verkkosovellukseesi, tyyppitarkistuksen on oltava nopea. Niin nopeasti, ettei kukaan huomaa sen olevan siellä, kun lisäät sen kertomatta kenellekään. Teen tätä koko ajan! Lopeta tämän lukeminen, jos olet työtoveri.
[. ]
Vain koska. Tervetuloa kirjoittamaan karhu.


Oikea tapa käsitellä verkkopalvelimen tietoturvauhkia budjetilla [suljettu]

Haluatko parantaa tätä kysymystä? Päivitä kysymys niin, että se keskittyy vain yhteen ongelmaan muokkaamalla tätä viestiä.

Vuosittaisessa turvallisuusarvioinnissani minulle tuli mieleen tapaus, joka tapahtui aiemmin tänä vuonna, kun saimme uhan organisaatiomme verkkopalvelimelle. Se ylitti organisaatiokäytännön ja uhkasi DDoS -sivustoamme. Onneksi siitä ei tullut mitään pahaa ja se osoittautui tyhjäksi uhkaukseksi. Ilmoitimme kuitenkin edelleen tietohallintojohtajalle, CSO: lle ja toimitusjohtajalle sekä isännöintipalveluntarjoajallemme välittömästi, jotka suosittelivat vastaustamme. Organisaatiomme luonteesta johtuen (koulutuksessa) ennakoiva vastaus sisälsi monia ihmisiä, mukaan lukien koordinointi paikallisen lainvalvonnan kanssa.

Vaikka vastauksemme oli riittävä tyhjälle uhalle, se saa minut ymmärtämään, kuinka vähän hyökkäyksen suunnittelua verkkosovellus on kokenut. Tällä hetkellä kokoonpano on:

  • Linode VPS, joka ei ole yrityksen palomuurin takana (tämän takana on pitkä tarina, jota ei kannata selittää)
  • PostgreSQL DB samassa palvelimessa, joka sallii vain paikalliset yhteydet
  • Nginx -palvelin, jonka suojauksen parhaillaan noudatamme parhaita käytäntöjä [1]
  • SSH -käyttöoikeus, jota siirrämme varmenteen todennukseen
  • Varmuuskopioitu VPS, jossa on kaikki uusimmat palvelinasetukset ja joka tarvitsee vain uusimman version koodista ja tietokannan asetukset siirretään (käytetään tällä hetkellä testipalvelimena, mutta myös hahmoteltu vaihtoehtona)

Luulen, että kysymykseni voidaan luultavasti keskittyä siihen, mitä muita toimenpiteitä minun pitäisi tehdä palvelimen lukitsemiseksi ja suojaamiseksi DDoS: lta? Haluamme mielellämme käyttää Cloudflare Businessia heidän DDoS -suojauksensa kanssa, mutta emme aina tarvitse sitä ja 200 dollaria kuukaudessa on hieman jyrkkä organisaatiolle. Tarvitsenko tätä edes? Onko olemassa ratkaisu, joka sallii tilapäisen DDoS -suojauksen? Jos ei, mikä on paras tapa säilyttää vakaus hyökkäyksen aikana/sen jälkeen? Lopuksi, mitä puunkorjuuta tulisi toteuttaa, jotta voimme auttaa lainvalvontaa hyökkäyksen sattuessa?


Miten toimia yrityksen kanssa, joka ei korjaa (potentiaalisia) haavoittuvuuksia verkkosovelluksessaan?

Noin kaksi viikkoa sitten törmäsin verkkosovellukseen, jota kuntosalit voivat käyttää jäsentensä tietojen hallintaan. Tämä sisältää tietoja, kuten nimen, laskutusosoitteen, syntymäajan ja sairaushistorian. Myös kuntosali, jolla käyn (Euroopassa), käyttää tätä sovellusta, joten katsoin sovellusta tarkemmin. En kaivannut kovin syvälle välttääkseni oikeudellisia kysymyksiä, mutta nämä ovat joitain löytämiäni "ongelmia":

  • Kirjautuminen mahdollistaa loputtomat yritykset
  • Taustaohjelman JSON -vastaus sisältää tietoja siitä, onko käyttäjänimi tai salasana virheellinen
  • Käyttäjän salasana tallennetaan paikalliseen tallennustilaan pelkkänä tekstinä
  • Profiilikuville voidaan ladata rajoittamattomasti tiedostoja
  • Käytössä on vanha PHP -versio
  • On olemassa useita taustaohjelmia, jotka heittävät poikkeuksia (näin voisin selvittää, mitä PHP -kehystä he käyttävät)
  • Istunnon tunnukset voidaan korvata (istunnon korjaus)
  • Näyttää siltä, ​​että syötteen vahvistusta ei ole. He käyttävät Reactia, joten XSS ei ole niin helppoa, mutta silti mahdollista

Kaikki nämä eivät vaikuta minusta erittäin kriittisiltä, ​​ellei joku todella vie aikaa ja yritä hyödyntää näitä mahdollisia haavoittuvuuksia. Mitä voin kertoa, heidän tietokantaansa on tallennettu vähintään 20 000 asiakasta. Näyttää myös siltä, ​​että kaikki asiakastiedot on tallennettu yhteen suureen taulukkoon kaikille eri sovelluksille.

Asiakkaista tallennettavat tiedot näyttävät olevan hyvin henkilökohtaisia, eikä niiden pitäisi olla väärissä käsissä. Joten otin yhteyttä tähän yritykseen nimettömästi ja kerroin heille huolenaiheistani. He vastasivat minulle muutama päivä sitten ja sanoivat korjaavansa kaiken - kuitenkin tarkistin sen ja periaatteessa mikään ei muuttunut tässä verkkosovelluksessa (edelleen samat haavoittuvuudet).

Tässä siis kysymykseni: Miten minun pitäisi edetä? Pitäisikö minun antaa heille toinen mahdollisuus tai ottaa yhteyttä johonkin tietosuojaviranomaiseen? Ja pidätkö näitä ongelmia/haavoittuvuuksia kriittisinä? (kuten jo sanoin: en kaivanut liian syvälle, mutta vaikka minulla on vain vähän tietoturvaa, uskon, että voisin saada suurimman osan käyttäjätiedoista käsiini muutaman päivän kuluessa)