Запитання з тегом «security»

Мені важко зрозуміти JAAS. Все це здається складнішим, ніж мало б бути (особливо підручники з Sun). Мені потрібен простий підручник або приклад того, як реалізувати безпеку (автентифікація + авторизація) у програмі java на основі Struts + Spring + Hibernate за допомогою користувацького сховища користувачів. Може бути реалізований за допомогою ACEGI.

83 java  security  spring  spring-security  jaas 

Для того, щоб створити 32-символьний маркер для доступу до нашого API, ми зараз використовуємо: $token = md5(uniqid(mt_rand(), true)); Я читав, що цей метод не є криптографічно безпечним, оскільки він базується на системних годинниках, і це openssl_random_pseudo_bytesбуло б кращим рішенням, оскільки важче було б передбачити. Якщо це так, як би виглядав …

83 php  security  openssl  token 

Я створюю веб-службу, яка використовує виключно JSON для своїх запитів та вмісту відповідей (тобто, ніяких корисних навантажень, закодованих у формі). Чи є веб-служба вразливою до атак CSRF, якщо наведене нижче відповідає дійсності? Будь-який POSTзапит без об'єкта JSON найвищого рівня, наприклад, {"foo":"bar"}буде відхилено за допомогою 400. Наприклад, POSTзапит із вмістом 42буде …

82 http  security  csrf 

Мені потрібно відобразити зовнішні ресурси, завантажені через міждоменні запити, і переконатися, що відображається лише " безпечно" " вміст. Можна використовувати String # stripScripts прототипу для видалення скриптових блоків. Але обробники, такі як onclickабоonerror все ще існують. Чи є якась бібліотека, яка хоча б може зняти блоки сценаріїв, вбивати обробники DOM, …

82 javascript  html  security  html-sanitizing 

Як би ви змоделювали систему, яка обробляє дозволи на виконання певних дій усередині програми?

82 security  permissions  action  modeling 

Я працюю над додатком в ASP.NET, і мені було цікаво, як я можу реалізувати Password Resetфункцію, якщо я хочу прокрутити свою власну. У мене є такі запитання: Який хороший спосіб створення унікального ідентифікатора, який важко зламати? Чи повинен бути прикріплений до нього таймер? Якщо так, то як довго це має …

81 c#  asp.net  asp.net-mvc  security 

У мене є програма, яка реєструє траси винятків, і я хотіла, щоб ці траси стека включали імена файлів та номери рядків під час розгортання у виробництві. Я розібрався, як розгорнути символи налагодження зі збіркою, але в процесі дослідження проблеми я зіткнувся з цим питанням , що означає, що недобре включати …

81 .net  security  production  debug-symbols 

Закрито . Це питання має бути більш сфокусованим . Наразі відповіді не приймаються. Хочете покращити це питання? Оновіть питання, щоб воно зосереджувалось на одній проблемі, лише відредагувавши цю публікацію . Закрито 2 роки тому . Удосконалюйте це питання Я будую багатосторінковий адміністративний інтерфейс для внутрішньої корпоративної програмної платформи. Подумайте про …

80 security  node.js  design-patterns  express  authorization 

В даний час моя компанія розробляє веб-додаток Java. Кілька наших клієнтів мають внутрішні сервери SAML (постачальники ідентифікаторів?) І попросили нас інтегрувати з ними. Тож нещодавно я читав це і бавився з OpenAM. Приблизно через 3 дні цього я загально розумію це, але все ще є певні прогалини в моїх знаннях. …

80 security  authentication  saml 

Я розумію це strlcpyі strlcatбув розроблений як безпечна заміна для strncpyі strncat. Однак деякі люди досі дотримуються думки, що вони невпевнені в собі і просто спричиняють інший тип проблем . Чи може хтось навести приклад того, як використання strlcpyабо strlcat(тобто функції, яка завжди закінчує свої рядки нулем) може призвести до …

80 c  security  strncpy  strlcpy 

У нас є програма, яка має два типи користувачів. Залежно від способу входу користувача, ми хочемо, щоб він мав доступ до різних частин програми. Як ми реалізуємо модель безпеки, щоб запобігти користувачам бачити речі, до яких вони не мають доступу? Чи робимо ми безпеку частиною реалізації кожного маршруту? Проблема полягає …

79 security  node.js  express 

Якщо припустити, що я намагаюся отримати з RESTful API, який використовує базову автентифікацію / основні сертифікати, який найкращий спосіб зберегти це ім'я користувача та пароль у моїй програмі? Зараз це просто сидить там у відкритому тексті. UsernamePasswordCredentials creds = new UsernamePasswordCredentials("myName@myserver","myPassword1234"); Чи є якийсь спосіб зробити це, що більше стосується …

79 java  security  authentication 

Я розробляю веб-API JSON / REST, для якого я спеціально хочу, щоб веб-сайти сторонніх розробників могли телефонувати до моєї служби через AJAX. Отже, моя служба надсилає відомий заголовок CORS: Access-Control-Allow-Origin: * Що дозволяє стороннім сайтам телефонувати до моєї служби через AJAX. Поки що все добре. Однак підрозділ мого веб-API не …

79 ajax  web-services  security  cross-domain  cors 

Це питання стосується спроби зрозуміти ризики безпеки, пов’язані з впровадженням aauth на мобільній платформі, як Android. Припущення полягає в тому, що у нас є програма для Android, яка має ключ / секрет споживача, вбудований у код. Якщо припустити, що споживча таємниця була скомпрометована, і хакер її здобув, які наслідки від …

79 android  security  oauth 

Підробку міжсайтових запитів (CSRF), як правило, запобігають одним із таких методів: Реферер чека - НАДІЙНИЙ, але ненадійний вставити маркер у форму та зберегти маркер у сеансі сервера - насправді RESTful загадкові одноразові URI - не RESTful з тієї ж причини, що і маркери надсилати пароль вручну для цього запиту (не …

78 security  http  rest  authorization  csrf