Запитання з тегом «security»

Теми, що стосуються безпеки додатків та атак на програмне забезпечення. Будь ласка, не використовуйте цей тег поодинці, це призводить до неоднозначності. Якщо ваше питання не стосується конкретної проблеми програмування, будь ласка, попросіть задати його в Інформаційній безпеці SE: https://security.stackexchange.com

6
Як запобігти Android робити знімок екрана, коли моя програма переходить на другий план?
Додаток, який я зараз будую, вимагає, щоб програма забороняла ОС робити знімок екрана, коли його з міркувань безпеки відсувають на задній план. Таким чином, він не зможе побачити останній активний екран при переключенні між додатками. Я планую розмістити цю функціональність у методі onPause класу додатків, але спочатку мені потрібно з’ясувати, …
4
Найкращі практики: засолювання та перець паролів?
Я натрапив на дискусію, в якій дізнався, що те, що я робив, насправді не солив паролі, а перекладав їх, і з тих пір я почав виконувати обидві функції: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Ігнорування обраного алгоритму хешу (я хочу, щоб це було обговоренням солей та перців, а не конкретних алгоритмів, але я …
5
Фіксація / викрадення сеансу PHP
Я намагаюся зрозуміти більше про виправлення та викрадення сеансів PHP та про те, як запобігти цим проблемам. Я читав наступні дві статті на веб-сайті Кріса Шифлетта: Фіксація сесії Викрадання сесії Однак я не впевнений, що я все розумію правильно. Щоб запобігти фіксації сеансу, достатньо зателефонувати session_regenerate_id (true); після успішного входу …
2
Як віджети Google+ +1 вириваються із рамки кадрів?
Як-небудь, наведення курсор миші на віджет Google+ плюс один може ввести угоду типу підказки, яка явно більша за <iframe>елемент, в якому він міститься. Я перевірив DOM, щоб підтвердити це. * Так: Що? Як !? Це не є масовою можливістю для джойкерів, якщо їх застосовують зловмисно? (Уявіть, що хтось робить MITM …
9
Як дозволити вміст http у iframe на веб-сайті https
Я завантажую деякий HTML в iframe, але коли для файлу, на який посилається, використовується http, а не https, я отримую таку помилку: [заблоковано] Сторінка на {current_pagename} запускає незахищений вміст від {referenced_filename} Чи є спосіб вимкнути це чи будь-який спосіб його обійти? У iframe немає srcатрибуту, а вміст встановлюється за допомогою: …
145 html  security  http  iframe  https 
3
Розміщення міждоменної форми
Я бачив статті та публікації по всій цій темі (включаючи ТАК), і переважаючий коментар полягає в тому, що політика одного і того ж походження перешкоджає надсилати форму POST для всіх доменів. Єдине місце , де я бачив хто - то припустити , що ті ж походження політик не застосовується для …
11
Гра в Android продовжує хакнути [закрито]
Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб він зосередив увагу на одній проблемі лише редагуючи цю публікацію . Закрито 2 роки тому . Удосконаліть це питання Тож ми вже кілька разів переживали це, ми випускаємо гру (для …
11
Тестування блоку за допомогою Spring Security
Моя компанія проводила оцінку Spring MVC, щоб визначити, чи варто використовувати її в одному з наших наступних проектів. Поки я люблю побачене, і зараз я дивлюся на модуль Spring Security, щоб визначити, чи це ми можемо / мусимо використати. Наші вимоги безпеки є досить основними; користувач просто повинен мати можливість …
9
Різниця між хешированием пароля і шифруванням його
Поточний голосуючий цього питання визначає: Інший, який не так вже й є проблемою безпеки, хоча це пов'язано із безпекою, є повним і не допускає вирішення різниці між хешуванням пароля та шифруванням . Найчастіше зустрічається в коді, де програміст намагається надати небезпечну функцію "Нагадати мій пароль". У чому саме ця різниця? …
11
Чи використовує застарілий компілятор C ризик безпеки?
У виробництві є декілька систем побудови, про які ніхто не піклується, і ці машини працюють за давніми версіями GCC, як GCC 3 або GCC 2. І я не можу переконати керівництво оновити його до більш недавнього: вони кажуть, "якщо не зламаються, не виправляйте". Оскільки ми підтримуємо дуже стару базу коду …
139 c  security  gcc 
18
Чи можу я захиститись від інжекцій SQL, уникаючи одноцитатних та оточуючих введення користувачем за допомогою одних лапок?
Я усвідомлюю, що параметризовані SQL-запити є оптимальним способом оздоровити введення користувачів під час створення запитів, що містять введення користувача, але мені цікаво, що не так у прийнятті вводу користувача та уникненні будь-яких єдиних лапок та оточення цілої рядки одинарними лапками. Ось код: sSanitizedInput = "'" & Replace(sInput, "'", "''") & …
6
Чи є спосіб ввести шкідливий код у регулярний вираз?
Я хочу додати можливість регулярного пошуку виразів на своїй публічній веб-сторінці. Окрім HTML, що кодує вихід, чи потрібно мені щось робити, щоб захистити від зловмисного введення користувача? Пошуки Google переповнюються людьми, що вирішують зворотну проблему - використовуючи регулярні вирази для виявлення шкідливого введення - що мене не цікавить. У моєму …
138 regex  security 
14
Секрети OAuth у мобільних додатках
Під час використання протоколу OAuth вам потрібна секретна рядок, отримана від служби, якій потрібно делегувати. Якщо ви робите це у веб-додатку, ви можете просто зберігати секрет у вашій базі даних або у файловій системі, але який найкращий спосіб обробити його в мобільному додатку (або настільному додатку з цього питання)? Зберігання …
3
Як працюють ключі API та секретні ключі? Чи буде це безпечно, якщо я повинен передати свій API та секретні ключі до іншої програми?
Я тільки починаю думати про те, як працюють ключі api та секретні ключі. Буквально 2 дні тому я зареєструвався на Amazon S3 і встановив плагін S3Fox . Вони попросили мене як ключ доступу, так і секретний ключ доступу, обидва з яких вимагають від мене входу для доступу. Тож мені цікаво, …
6
Як отримати об’єкт, який представляє поточного користувача в Symfony2?
Я використовую налаштування безпеки Symfony. Все працює добре, але я не знаю, як зробити одну важливу річ: У гілочку я можу отримати інформацію про поточного користувача, виконавши: Welcome, {{ app.user.username }} або подібне Як отримати доступ до цієї ж інформації в Контролері? Зокрема, я хочу отримати поточну сутність користувача, щоб …
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.