Запитання з тегом «security»

В одному з проектів, над якими я працюю, наступна закономірність спостерігається досить регулярно: var guid = Guid.NewGuid().ToString(); while (guid == Guid.Empty.ToString()) { guid = Guid.NewGuid().ToString(); } Хоча я розумію, що aa GUID не гарантовано є унікальним, і відповідно до документації MSDN, створений GUID може дорівнювати нулю , чи це практичне …

28 .net  security 

Я хочу переписати свої сценарії для входу для веб-сайтів клієнтів, щоб зробити їх більш безпечними. Я хочу знати, які найкращі практики я можу втілити у цьому. Панелі керування, захищені паролем, мають їх велику кількість, але, здається, мало хто застосовує кращі практики щодо написання коду, швидкості та безпеки. Я буду використовувати …

27 web-development  php  security 

Теоретично, якби я створив програму, яка виділяла всю невикористану пам'ять в системі, і продовжувала запитувати все більше пам’яті, оскільки інші програми звільняли пам'ять, яка їм більше не потрібна, чи можна було б прочитати нещодавно звільнену пам'ять з інших програм ? Або це якось захищено сучасною операційною системою? У мене немає …

26 security  operating-systems  memory 

Ми маємо структуру веб-сервісу asp.net MVC для обслуговування xml / json для людей. Отримуйте запити, але намагаємось знайти найкращий спосіб (швидкий, простий, тривіальний для користувачів, що кодують javascript або мови OO) для автентифікації користувачів. Справа не в тому, що наші дані є чутливими або що-небудь, ми просто хочемо, щоб користувачі …

26 security  api  web  services  rest 

Я заглиблююсь у розробку API RESTful і до цього часу працював з кількома різними рамками для досягнення цього. Звичайно, я зіткнувся з політикою того самого походження, і тепер мені цікаво, як веб-сервери (а не веб-браузери) їх застосовують. З того, що я розумію, здається, що деякі вимоги відбуваються в кінці браузера …

24 web-development  security  ajax  http  xmlhttprequest 

Зачинено. Це питання поза темою . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для обміну стеками програмного забезпечення. Закрито 4 роки тому . Мій роботодавець попросив мене реалізувати функцію, яка вимагатиме зберігання паролів у чистому тексті в базі даних (або за допомогою незрозумілої …

24 security  legal 

Паролі не повинні зберігатися в простому тексті з очевидних причин безпеки: ви повинні зберігати хеші, а також слід ретельно генерувати хеш, щоб уникнути атак на райдужну таблицю. Однак зазвичай у вас є вимога зберігати останні n паролів і забезпечити мінімальну складність і мінімальну зміну між різними паролями (щоб запобігти користувачеві …

23 security  passwords 

Я чула, як люди тут і там читають лекції в Інтернеті про те, що найкраща практика - приховувати публічні ідентифікаційні бази даних у веб-додатках. Я вважаю, що вони мають на увазі в основному форми та URL-адреси, але я ніколи не читав нічого більше, ніж рот на цю тему. EDIT : …

23 web-applications  security 

Це питання було переміщено із переповнення стека, оскільки на нього можна відповісти на Exchange Stack Exchange. Мігрували 8 років тому . У деяких компаніях, в яких я працював, менеджери витратили на це досить багато грошей - консультантів з безпеки. Передусім тому, що вони бояться, що ми отримаємо вихідний код, викрадений …

23 security 

Наразі це питання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення . Закрито …

22 security  ethics 

Як проект з відкритим кодом із загальнодоступним сховищем найкраще обробляє запити на виклик (PR-адреси), які надійно адресують, але ще не публічно розкривають уразливості безпеки? Я беру участь у проекті з відкритим кодом з кількома сотнями учасників. Ми публікуємо повідомлення та вразливості безпеки кілька разів на рік у рамках регулярного планового …

22 open-source  security  github  gitlab 

Інжекція SQL - це дуже серйозна проблема безпеки, значною мірою тому, що це так просто помилитися: очевидний, інтуїтивний спосіб побудови запиту, що включає вхід користувача, залишає вас вразливими, а правильний спосіб його пом'якшення вимагає знати про параметризований спочатку запити та ін'єкція SQL Мені здається, що очевидним способом виправити це було …

22 security  sql  rdbms 

Скажімо, я хочу, щоб деякі частини мого програмного забезпечення були зашифровані. Наприклад, облікові дані для бази даних і т. Д. Мені потрібно зберігати ці значення десь, але робити це в чіткому тексті полегшить зловмисник отримати несанкціонований доступ. Однак якщо я шифрую якийсь чіткий текст, то де я зберігаю ключ? До …

22 security  cryptography 

Це запитання було перенесено із переповнення стека, оскільки на нього можна відповісти на Exchange Stack Exchange. Мігрували 7 років тому . Які аспекти потрібно враховувати при розробці та публікації програмного забезпечення, яке повинно відповідати обмеженням щодо експорту криптографічного програмного забезпечення США? У Вікіпедії сказано, що існують різні категорії, які можна …

21 security  encryption  cryptography 

Я читав у численних джерелах, що вихід rand () PHP передбачуваний як його PRNG, і я здебільшого сприймаю це як факт просто тому, що я його бачив у дуже багатьох місцях. Мене цікавить доказова концепція: як би я пішов про прогнозування виходу rand ()? Прочитавши цю статтю, я зрозумів, що …

21 security  random