Tag: security

接受用于填充`url_for`方法的URL参数是否安全？: 我正在使用Ruby on Rails 4.1.1，我想接受直接传递给url_for方法的参数（通过URL查询字符串），这样： # URL in the browser http://www.myapp.com?redirect_to[controller]=users&redirect_to[action]=show&redirect_to[id]=1 # Controller … redirect_to url_for(params[:redirect_to].merge(:only_path => true)) 采用上述方法，可以在执行操作后重定向用户。但是，我认为人们可以输入可能导致安全问题的任意params … 接受用于填充url_for方法的URL参数是否安全？什么是陷阱？在最坏的情况下会发生什么？通过在对我的应用程序的请求期间记录params ，我注意到Rails 总是添加:controller和action参数。也许确认url_for可以使用上面的方式，因为它在内部受到保护并且像Rails一样工作。

我必须使用什么加密程序通过HTTP协议发送加密的“电子邮件”和“密码”值？: 我正在使用Ruby on Rails 3，我希望通过HTTP协议发送’email’和’password’值（我知道，我不应该，但我需要它）。我需要将用户凭据从我的客户端应用程序发送到我的服务应用程序*。我可以使用公共私有RSA密钥来实现这一点，但如果是这样，我必须不通过HTTP将公钥发送给收件人，否则黑客可以窃取密钥并解密内容。另一方面，HMAC加密（如果我理解的话）仅用于validation数据的完整性和消息的真实性。我听说过AES …… 这对我的目的有好处吗？如果是这样，我可以在哪里找到关于如何在Ruby \ Ruby on Rails上使用它的教程？我“只是”需要在客户端加密用户凭据并在服务器端解密。 PS I：如果我写错了，请告诉我。 PS II：如果您建议其他方法，请告诉我！更新我 *客户端是Web应用程序（站点Web，例如’www.site1.com），服务器是另一个Web应用程序（另一个站点Web，例如’www.site2.com）。更新II 使用RSA加密…… 客户端I服务步骤：客户生成公钥\私钥巴黎我（一个真人）手动将公钥从客户端复制粘贴到服务客户端向服务发送包含加密用户凭证的消息（客户端不发送\将公钥附加到HTTP请求）使用公钥（只有服务知道）的服务，解密用户凭证并继续登录用户现在，如果我发送公钥而不是执行第2步，那么客户端必须通过HTTP协议在步骤3中发送公钥，黑客可以拦截消息拿公钥解密用户凭据并窃取它们那么，如果我将公钥发送到服务，是否应该使用RSA加密来加密用户凭证（那些是重要和私人信息）？

我该如何处理APP_KEY和APP_SECRET（Dropbox API）: 我使用Dropbox API编写了一段简单的代码，这意味着使用我的应用程序的APP_KEY和APP_SECRET。我们假设有人想要使用我的应用程序。我创建了一个github repo，推送代码等等，但是，当然，我没有把APP_KEY和APP_SECRET 值放在一起。用户是否必须注册自己的应用程序实例？还有其他方式可以处理吗？也许共享APP_KEY和APP_SECRET足够安全，让它成为那样？换句话说，Dropbox禁止使用用户名 – 密码对进行身份validation（虽然他们自己的官方应用确实如此），但我希望（例如）为KDE的Dolphin制作插件，以便从上下文菜单和用户获取文件的公共链接甚至不应该知道所有这些秘密，钥匙等。我该怎么办？