Запитання з тегом «security»

Я хочу викрити ресурс в Інтернеті. Я хочу захистити цей ресурс: переконатися, що він доступний лише певним особам. Я міг би встановити якусь автентифікацію на основі пароля . Наприклад, я міг дозволити доступ до ресурсу лише через веб-сервер, який перевіряє вхідні запити на правильні облікові дані (можливо, проти деяких резервних …

128 security  authentication 

Мене хтось найняв на невелику роботу на сайті. Це сайт для великої компанії. Він містить дуже чутливі дані, тому безпека дуже важлива. Проаналізувавши код, я помітив, що він заповнений дірками в безпеці - читайте, багато PHP-файлів, які кидають користувачеві вхід / повідомлення безпосередньо в запити mysql та системні команди. Проблема …

109 php  security  sql-injection 

Я все ще намагаюся знайти найкраще рішення для захисту API REST API, оскільки кількість мобільних додатків та API збільшується з кожним днем. Я спробував різні способи аутентифікації, але все ж має деякі непорозуміння, тому мені потрібна порада когось більш досвідченого. Дозвольте розповісти, як я розумію все це. Якщо я щось …

104 security  rest  api  oauth  https 

Як я можу переконатися, що мій API REST відповідає лише на запити, створені надійними клієнтами, в моєму випадку - моїми власними мобільними додатками? Я хочу запобігти небажаним запитам, які надходять з інших джерел. Я не хочу, щоб користувачі заповнювали серійний ключ чи що завгодно, це повинно відбуватися за кадром, після …

96 security  rest  mobile 

У мене форма електронної пошти на веб-сайті. Я використовую спеціальний CAPTCHA для запобігання спаму від роботів. Незважаючи на це, я все одно отримую спам. Чому? Як роботи перемагають CAPTCHA? Вони використовують якийсь розширений OCR або просто дістають рішення там, де він зберігається? Як я можу запобігти цьому? Чи варто перейти …

84 security  captcha 

Чому сьогодні пірати так легко? Просто здається, що важко повірити, що при всьому нашому технологічному досягненні та мільярдах доларів, витрачених на розробку найнеймовірнішого та найвибагливішого програмного забезпечення, у нас все ще немає іншого способу захисту від піратства, ніж "серійний номер / ключ активації ". Я впевнений, що багато грошей, можливо, …

76 security 

Можливий дублікат: написання веб-додатків "менше сервера" Отже, скажімо, я збираюся створити клон Stack Exchange і вирішую використовувати щось на зразок CouchDB в якості свого бекенда. Якщо я використовую їх вбудовану аутентифікацію та авторизацію на рівні бази даних, чи є якась причина не дозволити клієнтові Javascript писати безпосередньо на загальнодоступному сервері …

62 javascript  architecture  database  security  couchdb 

Як я це бачу, атаки ін'єкцій SQL можна запобігти: Ретельно перевіряйте, фільтруючи, кодуючи вхід (перед вставкою в SQL) Використання підготовлених операторів / параметризованих запитів Я гадаю, що у кожного є плюси і мінуси, але чому номер 2 зняв і став вважатися більш-менш фактичним способом запобігання ін'єкційним атакам? Це просто безпечніше …

59 security  sql  history  hacking  sql-injection 

В моїй освіті мені сказали, що це недосконала ідея викрити користувачеві фактичні первинні ключі (не тільки ключі DB, але й усі первинні аксесуари). Я завжди вважав це проблемою безпеки (тому що зловмисник може намагатися читати речі не свої). Тепер я маю перевірити, чи має право користувач все-таки отримати доступ, тож …

53 design  security  theory 

В Інтернеті існує багато сайтів, які потребують інформації для входу, і єдиний спосіб захисту від повторного використання пароля - це "обіцянка", що паролі хешируються на сервері, що не завжди відповідає дійсності. Тож мені цікаво, як важко зробити веб-сторінку, яка хешить паролі на клієнтському комп'ютері (з Javascript), перш ніж надсилати їх …

46 javascript  security  client-relations  hashing  client-side 

У мене на робочому місці є трохи аргументів, і я намагаюся з’ясувати, хто правий, і що правильно робити. Контекст: веб-додаток інтранет, який користуються нашими клієнтами для бухгалтерського обліку та інших матеріалів ERP. Я вважаю, що повідомлення про помилку, представлене користувачеві (коли аварійне завершення роботи), повинно містити якомога більше інформації, включаючи …

45 security  error-handling 

Я намагаюся зрозуміти властиву компроміс між ролями та дозволами, коли мова йде про контроль доступу (авторизацію). Почнемо із заданого: у нашій системі Permission буде дрібнозернистим блоком доступу (" Редагувати ресурс X ", " Доступ до сторінки інформаційної панелі " тощо). Роль буде набір дозволів 1+. Користувач може мати 1+ ролей. …

44 security  permissions  authorization  access-control  roles 

Припустимо, я переглядаю код, який надсилають претенденти на роботу, щоб підтвердити свою майстерність. Ясна річ, я не хочу запускати виконувані файли, які вони надсилають. Не настільки чітко, я краще не запускатимуть результат компіляції їх коду (просто, наприклад, Java дозволяє приховати виконуваний код у коментарях ). А як скласти їх код? …

41 security  source-code  compiler  vulnerabilities 

Формуючи думки, корисно дотримуватися схоластичної традиції - розмірковуйте настільки сильно, як ви можете проти думки, яку ви дотримуєтесь, і намагайтеся знайти контр-аргументи. Однак, як би я не старався, я просто не можу знайти розумних аргументів на користь антивірусу (і пов'язаних із цим заходів безпеки) на розробних машинах. Аргументів проти антивірусних …

40 security  hardware  development-environment 

Я натрапив на досить багато сайтів, які або обмежують довжину, на яку вони дозволяють створювати паролі, і / або забороняють певні символи. Це обмежує мене, оскільки я хочу розширити і подовжити простір пошуку свого пароля. Це також дає мені незручне відчуття, що вони можуть не поспішати. Чи є вагомі причини …

39 security  passwords