Question

我先对开放式数据库进行了试验,并建立了利用我的开放式数据库账户访问的样本网页。 http://www. openidenabled.com/php-openid/“rel=“nofollow noreferer”>Php OpenID Library by Janrain , 并且与我的谷歌账户合作。稍作研究后,我去了。

......它可能把提出高频和低频发射机要求的装置放在你的PHP服务器上。检查,以确保安装有卡片验证包。

在同一个透镜中,有人与他们的 ,我已部署并成功利用我的谷歌账户。其他问题还有其他定制,以围绕类似问题(,Janrain's PHP-OpenID and Valle/Yahoo,php- openID https://stackoverflow.com/questions/1183788/example-usage-of-ax-in-php-openid/2612816。 PHP OpenID.

我不想太热于安全,因此我问;谁知道为什么不使用这些黑板的版本?

原始图书馆是否通过设计填补了这些黑洞,因此黑板是潜在的安全脆弱性?

在那里是否有合格的密码用户,他们研究了其中的任何解决办法,并做了“By David Chaum s beard!

如果是的话——因此,我应该不使用这些cks子——我会怎样检查我“是否安装了热核素包”。

Answer 1

这里,这些“被打”版本的作者写道:

In particular CURLOPT_SSL_VERIFYPEER and CURLOPT_SSL_VERIFYHOST are true by default: I set them to false and it worked for the test page!

这样做的效果是,利用特别关贸总协定所提供的任何安全优势都受到很大的否定。 HTTPS在开放式数据库中很有用,其首要原因是,它防止在中度发生的人为攻击,即一些坏的gu毒使贵国的英国航天中心能够发送所有<条码>google.com的要求<>>>。有了适当配置的HTTPS,你对连接证书进行了核查,发现该证书是谷歌的 t,并说“如果不相信你所说的任何东西,bad-guys。

当然,除非你不核实任何证书(你制定所有<代码>)。 SSL_VERIFY Options to false,在这种情况下,你的服务器将相信一切bad-guys。说成真的谷歌提供者。你们可以想象,这可能是坏的。

现在,坦率地说,这只是worst。你们可以作出选择,因为这样做不会比仅仅使用吉大港定居地保有权更糟,许多人已经这样做了。 http://stackoverflow.com/questions/2583963/should-i-distinguish-openids-based-on-protocol-prefix-or-not-http-vs-https/2584046#2584046> 如果你表示,如果你不再提供HTTPS级安全,你就会重新提供。

还有大量信息表明,进行基于人的攻击是多么容易,还是很迟,或很容易做到。不管怎样,这确实要求有人攻击你的服务器和谷歌之间的联系,即一般说来比攻击咖啡店用户手提电脑与你的服务器之间的联系更加困难。

但是,实际确定你的购买力平价或CURLSSL配置仍然更好。或者,如果你不这样做,就会警告你们的使用者,他们在签署《关贸总协定》时,如果他们真的想要利用这个开放式数据库,他们就可以选择。

导致您的第二个问题。我认为,如果不知道你使用哪一个服务器平台,那么我所能做的最好事情是把你与 ; see section that states “Get a better/different/newer cert bundle

Answer 2

http://en.wikipedia.org/wiki/Certificate_authority”rel=“nofollow noretinger” 认证机构 :

一家公司发行数字证书,其中含有公共钥匙和所有人的身份。当终端用户试图进入一个未知的URL时,网络浏览器(例如:Ambrow 和Microsoft互联网探索者)将联系C确认URL的公用钥匙。

......因此,CA证书是 Public Key accreditation/a>,用于在https://上进行沟通。您的服务器应在档案系统中有CA证书。如果不是的话,你必须下载“毕业证书”,并打上<代码>。 CURLOPT_CAINFO Persistent to point to its place. 见第条。

http://unitpan.net/blog/2009/05/05/using-curl-in-php-to-access-https-ssltls-protected-sites/

Answer 3

[...] does anyone know of a reason to not use these hacked versions?

此外,他们还重塑了那些最有可能没有证件、无法保证其行为的各种版本?

我可以具体回答,但当你使用快速固定装置和工序的单元时,特别是在你重新处理授权和安全时,就应当有一些警示灯。我认为最好的建议是“自行使用风险”。

我确信,对这个专题有更多了解的人会很快得到更知情的答复。

友情链接