Запитання з тегом «security»

У мене виникають незгоди з кимось (клієнтом) щодо процесу ідентифікації / аутентифікації користувача для системи. Суть у тому, що вони хочуть, щоб кожен користувач мав глобально унікальний пароль (тобто жоден користувач не може мати однаковий пароль). Я висунув усі очевидні аргументи проти цього (це вразливість безпеки, вона плутає ідентифікацію з …

20 security  passwords 

Якщо я створю логін для програми, що має середній та низький ризик безпеки (іншими словами, це не банківська програма чи що-небудь інше), чи прийнятно я перевірити пароль, введений користувачем, просто сказавши щось на кшталт: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); Здається, це легко бути ефективним, але я, звичайно, не заперечував …

20 security  passwords  validation 

Прочитавши це цікаве запитання, мені здалося, що я добре уявив, який алгоритм невпевненого хешування я використовую, якщо мені потрібен, але поняття, чому я можу використовувати захищений алгоритм замість цього. То в чому відмінність? Чи не вихід є лише випадковим числом, що представляє хешовану річ? Що робить деякі алгоритми хешування безпечними?

19 security  hashing 

Важко сказати, про що тут питають. Це питання є неоднозначним, розпливчастим, неповним, надто широким або риторичним і не може бути обґрунтованим відповіді в його теперішній формі. Для уточнення цього питання, щоб його можна було знову відкрити, відвідайте довідковий центр . Закрито 7 років тому . Я часто стикався з помилками, …

18 self-improvement  programming-practices  security 

Я використовую маркери JWT у заголовках HTTP для автентифікації запитів на сервері ресурсів. Сервер ресурсів і сервер auth - це дві окремі робочі ролі в Azure. Я не можу вирішити, чи варто зберігати претензії в токені чи додавати їх до запиту / відповіді іншим способом. Список претензій впливає на надання …

18 security  http  authentication  authorization 

Я прочитав цю відповідь і знайшов коментар із наполяганням не надсилати пароль електронною поштою: паролі не повинні бути отримані електронною поштою, я ненавиджу це. Це означає, що мій пароль десь зберігається у простому тексті. його слід скидати лише. Це викликає у мене питання щодо використання параметра Забутий пароль? При будь-якій …

18 programming-practices  security  email  passwords 

Нещодавно я користувався службою уряду, на яку у мене був обліковий запис ще років тому. Я не міг запам'ятати свій пароль для сервісу, тому я використав посилання "забутий пароль" і здивовано побачив, що цей урядовий веб-сайт надіслав свій пароль на свою електронну адресу в простому тексті. Мені особисто відомо, як …

17 security  standards  passwords 

Для компанії, в якій я працював, мені довелося реалізувати приймач сокет, який здебільшого приймав дані у формі UDP через локальне з'єднання з деяких спеціалізованих апаратних датчиків. Дані, про які йдеться, були добре сформованим пакетом UDP, але що цікаво, корисне навантаження даних завжди закінчувалося контрольною сумою CRC16, сформованою з використанням решти …

16 security  networking  data-integrity 

Я щойно прочитав цю статтю, якій вже кілька років, але описує розумний спосіб забезпечення ваших REST API. По суті: У кожного клієнта є унікальна пара відкритих та приватних ключів Тільки клієнт і сервер знають приватний ключ; він ніколи не надсилається по дроту З кожним запитом клієнт приймає кілька входів (сам …

16 security  rest  authentication  keys  hmac 

Це здається менш поширеним із новішими веб-сайтами, але багато веб-сайтів, у яких мені потрібен обліковий запис (наприклад, для оплати рахунків тощо), не дозволяють мені створити пароль із пробілами в ньому. Це лише ускладнює запам’ятовування , і я знаю, що немає баз даних або обмежень програмування пробілів у паролях, зашифрованих або …

16 security  login  privacy 

Я тривалий час розробник Java, і нарешті, після закінчення спеціальності, встигаю гідно її вивчити, щоб скласти іспит на сертифікацію ... Одне, що мене завжди турбувало, - це те, що "Строка" є "остаточною". Я розумію це, коли читаю про проблеми безпеки та пов'язані з цим речі ... Але, серйозно, чи має …

16 java  security 

Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно зосередило увагу на одній проблемі, лише відредагувавши цю публікацію . Закрито 5 років тому . Тому я працював на багатьох різних робочих місцях як розробник, і мій рівень доступу …

16 database  security  access 

Більшість основних мережевих протоколів, що складають інфраструктуру Інтернету, вбудовані в більшість основних операційних систем. Наприклад, TCP, UDP і DNS всі вбудовані в Linux, UNIX та Windows і надаються програмісту через системні API низького рівня. Але якщо мова йде про SSL або TLS, потрібно звернутися до сторонніх бібліотек, таких як OpenSSL …

16 security  operating-systems  protocol  ssl 

Закрито . Це питання ґрунтується на думці . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб на нього можна було відповісти фактами та цитатами, відредагувавши цю публікацію . Закрито 4 роки тому . На надійних веб-сайтах я завжди бачу твердження, такі як "Усі дані зашифровані" або "Усі …

15 security  ethics  encryption  passwords  hashing 

Я читав багато, багато, багатьох дописів про те, як "ви, мабуть, неправильно зберігаєте паролі". Вони завжди мають на увазі збереження паролів на сервері, на який користувач здійснює вхід; вони в основному переспівують всюдисущі поради (наприклад, переконайтеся, що соліть паролі тощо). Однак я ніколи не бачив статті про найкращі практики зберігання …

15 security  login