Запитання з тегом «security»

Більшість загроз безпеці, про які я чув, виникали через помилку в програмному забезпеченні (наприклад, весь ввід не перевірено належним чином, переповнення стека тощо). Тож якщо ми виключимо всі соціальні злому, чи всі загрози безпеці через помилки? Іншими словами, якби не було помилок, чи не було б загроз безпеці (знову ж …

13 security  bug  hacking 

Я знайшов основну дірку в безпеці на одному з громадських сайтів моєї компанії. Це наш перший загальнодоступний веб-сайт, який був перетворений з інтранет-сайту. Я поставив це питання своєму начальнику, і він, по суті, відмовився від нього, сказавши, що для реконструкції сайту знадобиться велика робота, щоб зробити його безпечним. Це мене …

13 security  ethics 

Все, що я бачив на ін'єкціях SQL-ін'єкцій, схоже, говорить про те, що параметризовані запити, особливо в збережених процедурах, є єдиним способом захисту від таких атак. Поки я працював (ще в темні століття) зберігаються процедури розглядалися як погана практика, головним чином тому, що вони розглядалися як менш рентабельні; менш випробуваний; сильно …

13 design  security  sql  sql-injection 

Наразі це запитання не підходить для нашого формату запитань. Ми очікуємо, що відповіді будуть підкріплені фактами, посиланнями або експертними знаннями, але це питання, ймовірно, вимагатиме дискусій, аргументів, опитувань чи розширеної дискусії. Якщо ви вважаєте, що це питання можна вдосконалити та, можливо, знову відкрити, відвідайте довідковий центр для ознайомлення . Закрито …

13 security  passwords  authorization  risk  permissions 

Зачинено. Це питання поза темою . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для обміну стеками програмного забезпечення. Закрито 6 років тому . Більшість популярних програм сьогодні потребують активації акаунта електронною поштою. Я ніколи не робив це з розробленими програмами, тому я пропускаю …

13 security  email 

Ми працюємо над новим проектом, ми є двома провідними розробниками і потрапили на перехрестя, як використовувати маркер для забезпечення зв'язку між сервером і клієнтом. Перша пропозиція: (Одноразовий маркер AKA Static Token) клієнт запитує основний маркер, надсилаючи ім'я користувача та пароль та current_time (ця змінна буде збережена в базі даних сервера …

13 security  api 

Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно зосередило увагу на одній проблемі, лише відредагувавши цю публікацію . Закрито 4 роки тому . Існує багато ризиків для безпеки, пов’язаних із тісним контактом з обладнанням, на відміну від …

13 c  security  low-level  vulnerabilities 

Я хочу впровадити більш надійний сервіс аутентифікації і jwtє великою частиною того, що я хочу зробити, і я розумію, як написати код, але у мене виникають невеликі проблеми з розумінням різниці між зарезервованими issта audпретензіями. Я розумію, що один визначає сервер, який видає маркер, а другий стосується програми, призначеної для …

13 security  authentication  authorization  jwt 

Близько 10 років я працював над різними внутрішніми настільними клієнтськими програмами із сховищами даних SQL Server. Рідко я запускав ці проекти - більшість - це роботи з перевезення. Одне, що здавалося незмінним скрізь, - це те, що існує один глобальний обліковий запис користувача SQL Server, який використовував цей додаток, який …

12 database  security 

Будучи автором програми, ви, мабуть, перебуваєте в кращому становищі, ніж хто-небудь, щоб знати про вразливості безпеки та потенційні хаки. Якщо ви знаєте про вразливість системи, про яку ви писали, це знак, що підвищена безпека ОБОВ'ЯЗКОВО додаватись до випуску, чи це слід оцінювати у кожному конкретному випадку для визначення ступеня вираженості …

12 security  release 

Сьогодні я отримав запитання від свого менеджера, в якому запитував свої міркування щодо того, що вважається прийнятним дизайном для автентифікації програми веб-форми, особливо щодо характеру багатьох популярних браузерів "Запам'ятати пароль" для ваших типових полів для входу пароля для імені користувача . У мене виникають труднощі зі створенням відповіді, яку я …

12 web-applications  security  browser  authentication 

Я створюю новий веб-сервіс RESTful і мені потрібно надати модель управління доступом на основі ролей . Мені потрібно створити архітектуру, яка дозволить користувачам надати своє ім’я користувача та пароль, щоб отримати доступ до служб, а потім обмежити, як вони можуть користуватися послугами (які сервіси вони можуть використовувати, читати проти читання …

12 web-development  design-patterns  security  web-services  rest 

Якщо ви додаєте значення солі до хеш-значень для чогось типу пароля, який не може бути збережений у простому тексті, яке найкраще місце для отримання значень солі? Для контексту, припустимо, це стосується паролів для входу на веб-сторінку.

12 security  hashing 

Чи є вхід для реєстрації за допомогою електронної пошти кращою ідеєю, ніж ім'я користувача для ідентифікації користувача?

12 security  user-interface  front-end 

Якщо паролі зберігаються хеш-пам'ять, як комп'ютер дізнається, що ваш пароль схожий на останній, якщо ви спробуєте скинути пароль? Чи не будуть два паролі абсолютно різними, оскільки один хеширується і не може бути повернутий назад?

11 database  security  hashing  passwords