Запитання з тегом «security»

Я продовжую читати, це погана практика використовувати тег закриття PHP ?>в кінці файлу. Проблема із заголовком здається неактуальною у наступному контексті (і це єдиний добрий аргумент досі): Сучасні версії PHP встановлюють прапор output_buffering у php.ini Якщо вихідний буфер включений, ви можете встановити заголовки та файли HTTP після виведення HTML, оскільки …

373 php  security  http-headers 

Мені потрібен .pfx файл для встановлення https на веб-сайті на IIS. У мене є два окремих файли: сертифікат (.cer чи pem) та приватний ключ (.crt), але IIS приймає лише файли .pfx. Я, очевидно, встановив сертифікат, і він доступний у диспетчері сертифікатів (mmc), але коли я вибираю майстра експорту сертифікатів, я …

363 windows  security  iis  certificate  ssl-certificate 

Ліцензійні ключі є дефакто-стандартом як заходи проти піратства. Якщо чесно, це вражає мене як (в) безпеку через невміння , хоча я справді не маю уявлення про те, як створюються ліцензійні ключі. Який хороший (безпечний) приклад генерації ліцензійних ключів? Які криптографічні примітиви (якщо такі є) вони використовують? Це дайджест повідомлень? Якщо …

361 security  cryptography  license-key 

У мене на одній машині працюють два сервіси HTTP. Мені просто хочеться дізнатися, чи вони діляться файлами cookie чи розрізняє браузер між двома розетками сервера.

355 security  http  cookies 

Я намагаюся отримати сертифікат віддаленого сервера, який я потім можу використовувати, щоб додати до мого магазину ключів і використовувати в моєму додатку Java. Старший розробник (який у відпустки :() повідомив мені, що я можу це запустити: openssl s_client -connect host.host:9999 Щоб отримати вихідний сертифікат, який я зможу скопіювати та експортувати. …

353 linux  security  certificate  openssl  ssl-certificate 

Сьогодні вранці, оновивши браузер Firefox до останньої версії (з 22 до 23), деякі ключові аспекти мого бек-офісу (веб-сайту) перестали працювати. Переглядаючи журнал Firebug, повідомлялося про наступні помилки: Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"` серед інших помилок, спричинених тим, що останні з двох вище не …

350 http  security  firefox  https  mixed-content 

Які найкращі шляхи вирішення для використання INпункту SQL з екземплярами java.sql.PreparedStatement, який не підтримується для кількох значень через проблеми безпеки атаки введення SQL: один ?заповнювач заповнення представляє одне значення, а не список значень. Розглянемо наступний оператор SQL: SELECT my_column FROM my_table where search_column IN (?) По preparedStatement.setString( 1, "'A', 'B', …

343 java  security  jdbc  prepared-statement  in-clause 

Заблокований . Це запитання та його відповіді заблоковано, оскільки це питання поза темою, але має історичне значення. Наразі він не приймає нових відповідей чи взаємодій. Схоже, ми додамо підтримку CAPTCHA до Stack Overflow. Це необхідно для запобігання роботи ботів, спамерів та інших зловмисних сценаріїв. Ми лише хочемо, щоб люди тут …

318 security  language-agnostic  captcha 

Створюючи додатки у стилі SPA, використовуючи такі рамки, як Angular, Ember, React тощо, які люди вважають найкращими методами аутентифікації та управління сеансами? Я можу придумати кілька способів розглянути питання про підхід до проблеми. Лікуйте це не інакше, ніж аутентифікацію за допомогою звичайної веб-програми, припускаючи, що API та UI мають однаковий …

307 security  angularjs  authentication  ember.js  single-page-application 

Якщо я отримую JWT і можу розшифрувати корисну навантаження, як це безпечно? Чи не можу я просто схопити маркер із заголовка, декодувати та змінити інформацію користувача у корисному навантаженні та надіслати її назад із тим же правильним кодованим секретом? Я знаю, що вони повинні бути захищеними, але я просто хотів …

302 security  jwt  express-jwt 

Я намагаюся перенаправити всі небезпечні запити HTTP на своєму сайті (наприклад http://www.example.com) на HTTPS ( https://www.example.com). Я використовую PHP btw. Чи можу я це зробити у .htaccess?

294 security  http  .htaccess  redirect  https 

Чи є хешування паролю двічі перед зберіганням більш-менш безпечним, ніж просто хеш-копіювання одного разу? Про що я говорю, це роблю так: $hashed_password = hash(hash($plaintext_password)); замість цього лише: $hashed_password = hash($plaintext_password); Якщо це менш безпечно, чи можете ви надати хороше пояснення (або посилання на одне)? Також, чи має значення використовувана хеш-функція? …

293 security  hash  passwords  cryptography  password-hash 

Я намагаюся зрозуміти всю проблему з CSRF та відповідні способи її запобігання. (Ресурси, які я читав, розумію і погоджуюсь з: Ознайомлювальний лист OWASP CSRF , Запитання про КСРР .) Як я розумію, вразливість навколо CSRF вводиться припущенням, що (з точки зору веб-сервера) дійсне cookie-сеанс у вхідному HTTP-запиті відображає побажання автентифікованого …

284 security  cookies  web  csrf  owasp 

Порівнюючи HTTP GET з HTTP POST, чим відрізняються точки зору безпеки? Чи один із варіантів вибору за своєю суттю більш безпечний, ніж інший? Якщо так, то чому? Я усвідомлюю, що POST не розкриває інформацію за URL-адресою, але чи є в цьому реальна цінність чи це просто безпека через незрозумілість? Чи …

282 html  security  http 

У Windows Server 2008 із встановленим ASP.NET 4.0 є ціла низка пов’язаних облікових записів користувачів, і я не можу зрозуміти, що з них полягає в тому, як вони відрізняються, а в яких НАДАЛЬНО той, під яким працює моя програма. Ось список: IIS_IUSRS IUSR DefaultAppPool ASP.NET v4.0 NETWORK_SERVICE МІСЬКЕ ОБСЛУГОВУВАННЯ. Що …

282 asp.net  security  iis  user-accounts