Запитання з тегом «security»

Теми, що стосуються безпеки додатків та атак на програмне забезпечення. Будь ласка, не використовуйте цей тег поодинці, це призводить до неоднозначності. Якщо ваше питання не стосується конкретної проблеми програмування, будь ласка, попросіть задати його в Інформаційній безпеці SE: https://security.stackexchange.com

12
Остаточний посібник для автентифікації веб-сайтів на основі форм [закрито]
Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно зосередило увагу на одній проблемі, лише відредагувавши цю публікацію . Закрито 3 роки тому . Аутентифікація на основі форм для веб-сайтів Ми вважаємо, що переповнення стека має бути не …

7
Чому Google надає попередній час (1); на їх відповіді JSON?
Чому Google надає while(1);їм відповіді (приватні) JSON? Наприклад, ось відповідь під час увімкнення та вимкнення календаря в Календарі Google : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Я б припустив, що це не дозволяє …
4074 javascript  json  ajax  security 

17
Чому для паролів char [] віддається перевагу над String?
У Swing поле пароля має getPassword()(повертає char[]метод) замість звичайного getText()(повертає Stringметод). Так само я натрапив на пропозицію не використовувати Stringдля обробки паролів. Чому це Stringстворює загрозу безпеці, якщо мова йде про паролі? Це відчуває незручність у використанні char[].
3422 java  string  security  passwords  char 

28
Як я можу запобігти ін'єкції SQL у PHP?
Відповіді на це запитання - це зусилля громади . Відредагуйте наявні відповіді, щоб покращити цю публікацію. Наразі не приймає нових відповідей чи взаємодій. На цей питання є відповіді на Stack Overflow на російському : Чим просто уникати SQL-ін'єкцій у PHP? Якщо введення користувача вставляється без змін у запит SQL, програма …

26
Як я повинен етично підходити до зберігання паролів користувача для подальшого пошуку простого тексту?
Заблокований . Це запитання та його відповіді заблоковано, оскільки це питання поза темою, але має історичне значення. Наразі не приймає нових відповідей чи взаємодій. Оскільки я продовжую створювати все більше веб-сайтів та веб-додатків, мене часто просять зберігати паролі користувачів таким чином, щоб їх можна було отримати, якщо / коли у …

14
Захистіть хеш-сіль для PHP-паролів
Наразі кажуть, що MD5 частково небезпечний. Враховуючи це, я хотів би знати, який механізм використовувати для захисту паролем. Це питання: чи "подвійне хешування" пароль менш безпечний, ніж просто його хеш-раз? припускає, що хешування декількох разів може бути хорошою ідеєю, тоді як як застосувати захист паролем для окремих файлів? пропонує використовувати …



18
Найкращі практики забезпечення API / веб-сервісу REST [закрито]
Закрито . Це питання ґрунтується на думці . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб на нього можна було відповісти фактами та цитатами, відредагувавши цю публікацію . Закрито 2 роки тому . При розробці API або послуги REST чи існують якісь встановлені найкращі практики по роботі …

30
Як уникнути зворотної інженерії файлу APK?
Я розробляю додаток для обробки платежів для Android, і хочу запобігти доступу хакера до будь-яких ресурсів, активів або вихідного коду з файлу APK . Якщо хтось змінить розширення .apk на .zip, він може розпакувати його та легко отримати доступ до всіх ресурсів і активів програми, а за допомогою dex2jar та …

7
Чи готові заяви PDO, щоб запобігти введенню SQL?
Скажімо, у мене такий код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документація PDO говорить: Параметри підготовлених висловлювань не потрібно цитувати; водій обробляє це за вас. Це справді все, що мені потрібно зробити, щоб уникнути ін'єкцій SQL? Невже …

14
Чому OAuth v2 має як маркер доступу, так і оновлення?
Розділ 4.2 проекту протоколу OAuth 2.0 вказує, що сервер авторизації може повернути як access_token(який використовується для автентифікації себе з ресурсом), так і a refresh_token, який використовується виключно для створення нового access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Чому обоє? Чому б просто не зробити access_tokenостаннього до тих пір, як refresh_tokenі не мати refresh_token?

4
Інжекція SQL, яка охоплює mysql_real_escape_string ()
Чи існує можливість ін'єкції SQL навіть при використанні mysql_real_escape_string()функції? Розглянемо цю вибіркову ситуацію. SQL побудований у PHP так: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Я чув, як численні люди говорять мені, що такий код все ще небезпечний і його можна …


4
Як може bcrypt має вбудовані солі?
У статті Coda Hale "Як безпечно зберігати пароль" стверджується, що: bcrypt має вбудовані солі для запобігання атак на веселковий стіл. Він цитує цей документ , в якому йдеться про те, що у впровадженні OpenBSD bcrypt: OpenBSD генерує 128-бітну криптовалютну сіль з ключового потоку arcfour (arc4random (3)), засіяний випадковими даними, які …

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.