Запитання з тегом «security»

Як в Firefox зробити еквівалент --disable-web-securityу Chrome. Це було розміщено багато, але правдивої відповіді ніколи не було. Більшість - це посилання на додатки (деякі з яких не працюють в останній Firefox або взагалі не працюють) та "вам просто потрібно включити підтримку на сервері". Це тимчасове випробування. Я знаю наслідки для …

108 security  firefox  cross-domain  cors 

Чи є спосіб видалити заголовок відповіді "Сервер" з IIS7? Є кілька статей, які показують, що за допомогою HttpModules ми можемо досягти того ж самого. Це буде корисно, якщо ми не маємо права адміністратора на сервер. Також я не хочу писати фільтр ISAPI. Я маю права адміністратора на своєму сервері. Тому …

107 security  iis-7  header  response 

Заблокований . Це питання та його відповіді заблоковано, оскільки це питання поза темою, але має історичне значення. Наразі він не приймає нових відповідей чи взаємодій. Існує новий бот з покерним кодом з відкритим кодом під назвою PokerPirate . Мене цікавлять будь-які творчі способи, за допомогою яких веб-додаток може виявити / …

107 security  artificial-intelligence  poker 

Боб використовує веб-додаток, щоб чогось досягти. І: Його браузер діє на дієті, тому він не підтримує файли cookie . Веб-додаток є популярним, він має справу з великою кількістю користувачів в даний момент - він повинен добре масштабуватися . Поки збереження сеансу накладе обмеження на кількість одночасних підключень , і, звичайно, …

107 security  authentication  session-cookies  stateless  cookieless 

Я хочу зашифрувати двійковий файл. Моя мета полягає в тому, щоб не допустити будь-кого читати файл, у якого немає пароля. Яке краще рішення - AES або Blowfish з однаковою довжиною ключа? Можна припустити, що зловмисник має великі ресурси (програмне забезпечення, знання, гроші) для злому файлу.

106 security  encryption  aes  blowfish 

Я роблю додаток для Windows, в яке потрібно спочатку увійти. Дані облікового запису складаються з імені користувача та пароля, і їх потрібно зберігати локально. Це лише питання безпеки, тому інші люди, що використовують той же комп'ютер, не можуть бачити особисті дані кожного. Який найкращий / найбезпечніший спосіб збереження цих даних? …

106 c#  security  local 

Я пишу сценарій оболонки, який повинен бути дещо захищеним, тобто не передає захищені дані через параметри команд і, бажано, не використовує тимчасові файли. Як я можу передати змінну stdin команди? Або, якщо це неможливо, як правильно використовувати тимчасові файли для такого завдання?

105 security  bash  stdin 

Я намагаюся використовувати одноразові паролі, які можна створити за допомогою програми Google Authenticator . Що робить Google Authenticator В основному, Google Authenticator реалізує два типи паролів: HOTP - одноразовий пароль на основі HMAC, який означає, що пароль змінюється під час кожного дзвінка відповідно до RFC4226 та TOTP - одноразовий пароль …

104 python  security  authentication  one-time-password  google-authenticator 

Це питання стосується захисту лише від атак на підписи між веб-сайтами. Йдеться саме про те, чи захист через заголовок Origin (CORS) такий же хороший, як захист через маркер CSRF? Приклад: Аліса входить у систему (за допомогою файлу cookie) за допомогою свого браузера на " https://example.com ". Я припускаю, що вона …

103 javascript  security  cors  csrf 

У книзі, яку я читаю, написано, що printfз одним аргументом (без специфікаторів перетворення) застаріла. Рекомендує замінити printf("Hello World!"); з puts("Hello World!"); або printf("%s", "Hello World!"); Може хтось скаже мені, чому printf("Hello World!");це неправильно? У книзі написано, що вона містить вразливості. Які ці вразливості?

102 c  security  printf  format-specifiers  puts 

Я працюю над створенням RESTful API для одного із додатків, які підтримую. Зараз ми хочемо створити в ньому різні речі, які потребують більш контрольованого доступу та безпеки. Досліджуючи, як іти щодо забезпечення API, я знайшов кілька різних думок щодо того, яку форму використовувати. Я бачив, як деякі ресурси говорять про …

101 security  api  restful-authentication 

Я займався деякими дослідженнями PHP Session Handling і натрапив на session.gc_maxlifetimeзначення 1440 секунд. Мені було цікаво, чому стандартне значення - 1440 і як воно обчислюється? Що є підставою для цього розрахунку? Як довго має сенс тримати сеанси? Які мінімальні та максимальні значення для session.gc_maxlifetime ви б рекомендували? Чим вище значення, …

101 php  security  session 

Чим більше я дізнався про силу java.lang.reflect.AccessibleObject.setAccessible, тим більше я здивований тим, що вона може зробити. Це адаптовано з моєї відповіді на питання ( Використання відображення для зміни статичного остаточного File.separatorChar для тестування одиниць ). import java.lang.reflect.*; public class EverythingIsTrue { static void setFinalStatic(Field field, Object newValue) throws Exception { …

100 java  security  reflection 

Я розумію, що специфікація OAuth нічого не вказує про походження коду ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret або Verifier, але мені цікаво, чи є найкращі практики створення значно захищених жетонів (особливо Token / Таємні комбінації). Як я бачу, існує декілька підходів до створення жетонів: Просто використовуйте випадкові байти, зберігайте в БД, …

100 security  encryption  oauth  hash 

На роботі у нас є дві конкуруючі теорії солей. Продукти, над якими я працюю, використовують щось, наприклад, ім’я користувача або номер телефону для соління хешу. По суті, це щось, що відрізняється для кожного користувача, але воно нам доступне. Інший продукт випадковим чином генерує сіль для кожного користувача та змінюється щоразу, …

99 security  encryption  hash  brute-force