我们注意到我们的日志中有一个不寻常的cookie: PRUM_EPISODES=s=1379338025465&r=http%3A//www.example.com/demo.html 我认为这是我们网站上的第三方控制,它创造了这一点。 有谁知道哪一个?
我有haproxy负载均衡下的任何实例。 我正在使用haproxy cookies来使每个客户端连接到同一台服务器,整个会话。 现在的事情是,我想将haproxy中的maxconnvariables设置为我的服务器可以处理的极限,即1000。 但是,我想确保,如果达到这个限制,它只适用于新的连接,而不适用于已经login系统的人。 这是它的工作方式? 如果没有,我怎么能做到这一点?
我正在尝试整合从S3存储桶获取的CloudFront分配的签名cookie,但获取访问被拒绝的错误消息: <Error> <Code>AccessDenied</Code> <Message>Access Denied</Message> <RequestId>BLAH BLAH</RequestId> <HostId>BLAH BLAH</HostId> </Error> 让我感到困惑的是,一些文件似乎一直工作,而其他人在我的自定义策略允许同一目录使用相同的签名的cookie失败。 例如:我在/projects/index.html上有一个文件,在/projects/src/Runtime.js上有一个文件,它不会使用自定义策略,通过在资源中使用通配符: http : //test.mydomain.com/projects/ * 这两个文件都设置为私人在S3上,我可以想到这两个文件之间的唯一区别是请求/projects/src/Runtime.js文件请求引用test.mydomain.com而不是mydomain.com这是第一个/projects/index.html请求的服务。 我知道这两个请求的cookie都被正确设置,并且这些自定义策略和签名对他们来说是有效的,因为当我弄乱他们并给他们错误的值时,我会得到不同的错误信息。 无论如何! 我的configuration如下: CloudFront设置: i.imgur.com/DMcUeDY.png (服务器默认链接限制,b) 我有一个替代的主机名,这是服务该文件的网站的子域(例如test.mydomain.com)。 它不是一个真正的CNAME条目,我没有它的证书 – 我通过本地/ etc / hosts条目使用该名称引用CloudFront。 CloudFront原点设置: i.imgur.com/ereGJ42.png (服务器默认链接限制,meh) 起源很简单 – 引用我的S3桶的根,我不限制桶,因为它还包含我想保持公开可用的文件。 我修改了default的行为: i.imgur.com/5N2RlxM.png (Serverfault链接限制,呃) 基本上打开了限制查看器访问。 可信签名者是s3存储桶的所有者的根帐户。 其余的CloudFront选项保持不变。 我有一个由亚马逊生成的CloudFront密钥对,我使用它提供给PHP(使用openssl_sign)亚马逊的片段来签署一个自定义策略访问整个目录。 我真的不能真正validation问题的地方在于真正模糊的“访问被拒绝”错误消息,但我敢肯定,它不是我签署cookie的方式。 我试过使用错误的值,并得到不同的错误,如“格式错误的签名”或“格式错误的政策”,所以我假设我的签名检查。 另外,正如我所提到的一些文件的工作。 我已经坚持了几天现在,任何帮助将不胜感激!
在Chrome浏览器上使用ASP.NET应用程序时,我发现Request.Browser.Cookies返回False(尽pipe浏览器支持cookie)。 根据我读到的内容 ,这表示ASP.NET用来查找有关不同UserAgent的信息的数据库存在问题。 返回False这一事实意味着数据库缺lessAndroid版的Chrome,或者数据库无效。 什么是适当的地方来报告这样的IIS问题?
我们希望通过我们的networking应用程序http-only来设置所有cookie。 我只对这样做的好处有一个基本的了解,但是我被安全人员告知,这是一件好事(tm)我们的应用程序运行在JDK1.6.05和WebLogic10.3.0 在深入了解Oracle网站的文档之后,我发现了很好的证据表明WebLogic支持http-only cookies的第一个版本是10.3.1。 通过“支持”,我的意思是cookie-http-only部署描述符元素。 在升级之前,我会很高兴回答这些问题: 1a)WL10.3.1是否是第一个支持http-only cookies的版本,而且我们对10.3.0感到不幸,这是否准确呢? 1b)如果我们确实需要升级,在Windows下有没有这样做容易? 我听说有人提到一个“升级瓶”,你只是坚持在类path中,但我找不到任何这方面的提及。 有一个简单的方法存在,还是我们需要做一个完整的安装新版本? 2)启用cookie-http-only部署描述符元素时会做什么? 它会确保应用程序设置的所有Cookie都具有http-only = true属性吗? 它会做更多还是更less? 有什么我必须做的编程? 3)有什么一般我应该知道的只有http的cookie,让我的networking应用程序利用他们,或其他安全问题?
缺陷使用非www域的规范? 我喜欢在www.example.com上使用像example.com这样简洁,干净的URL,当然,无论使用哪一个,都应该redirect到另一个。 但是,随着时间的推移我研究了这个问题,我得出的结论是,如果在不增加传输大小的情况下将非静态内容托pipe在单独的域上,那么使用非www url作为规范的url是一个负担与cookies。 非www域名共享它是所有子域的cookie 换句话说,如果http://example.com是您的规范url,那么它很可能会包含cookie。 由于cookie设置的方式,这些cookie将与所有子域共享,例如users.example.com,dev.example.com,www.example.com,最重要的是,images.example.com或files.example .COM。 因此,如果您想从一个单独的子域提供静态文件内容,则最终将与主站点一起捆绑cookie,并增加http请求的传输大小。 在这种情况下,为了防止将静态内容传递给cookie,您需要购买完全独立的url(例如examplefiles.com)。 www域保持其cookies分隔 相反,如果您将www.example.com设置为规范url,我相信该cookie只适用于该www。 网站,而不是任何其他子域名。 在这种情况下,您可以节省自己购买和维护第二个url的需求,避免向您的静态内容提供Cookie,您只需确保将files.example.com或images.example.com等configuration为-not-提供cookies。 任何缓解因素? 这个分析是否正确? 这个问题是不是使用了一个简短的,非www的url作为你的规范url,这个规范性的url在这个小的,但是可能非常重要的下线方法中是微不足保证的呢? 是否有其他缓解因素,我缺less一个方法,以确保cookie只设置为规范非www短url?
应用程序错误导致我们设置一个太大的cookie。 客户得到一个错误,发生在我们的应用程序正在执行(mod_python)之前。 在apache中有没有可调节的限制,可以有多大的cookie头? 在apache错误日志中,我看到: request failed: error reading the headers
我正在运行Exchange 2007 SP3,它只通过HTTPS公开Outlook Web访问。 但是,服务器提供的sessionid cookie没有设置secure标志。 尽pipe我没有打开80端口,但在中间人攻击的情况下,这个cookie仍然很容易被80端口盗取。 这也会导致PCI-DSS故障 有谁知道我是否可以说服Web服务器/应用程序设置安全标志?
以下是由Google Chrome和Apple的Safari使用的WebKit开发工具中的一个错误造成的。 我已经与CrBug做了一个错误报告 ,然后在WebKit Changeset 116952中find这个回归。 我要感谢@Grumpy和@Matthieu Cormier他们的帮助正在跟踪这一个。 我不能等待Chrome Canary的下一个版本:)。 我在我的服务器上安装了nginx和PHP-FPM,在创build一个新的网站期间,尽可能快地尝试Google Chrome的审计工具。 其中一些错误给了我这个。 Leverage proxy caching (10) The following publicly cacheable resources contain a Set-Cookie header. This security vulnerability can cause cookies to be shared by multiple users. 所以我想知道的是,为了不为这个域设置一个Set-Cookie头,我必须添加下面的语句。 然后,我会采取这些信息,并将其应用到CSS,IMG等子域,以便它可以正确caching的浏览器。 server { gzip on; gzip_static on; listen 80; server_name img.domain.tld; root /www/domain/tld; index index.php index.htm […]
我想使用Varnish来caching某些页面,即使存在cookie。 有三种可能性,我需要照顾: 匿名用户正在查看某个页面 login的用户正在用光定制查看某个页面。 这些自定义都存储在一个signed-cookie中,并由Javascriptdynamic填充。 不同的cookie http头没有设置。 login的用户正在使用数据库中的自定义数据查看某个页面。 不同的cookie http头被设置。 预期的行为将是: caching页面。 这是Varnish处理的最基本的情况。 caching页面,不要删除cookie,因为一些Javascript逻辑需要它。 永远不要caching这个页面,因为不同的cookie正在传递cookie的内容会影响这个页面的输出。 我已经阅读了一些关于Varnish的文档,我不知道这是默认行为,还是在VCL中需要做一些设置才能实现。