Запитання з тегом «security»

Це питання виникло сьогодні під час обговорення з колегою про сторінку "створити обліковий запис" для веб-сайту, над яким ми працюємо. Думка мого колеги полягає в тому, що ми повинні зробити реєстрацію максимально швидкою та безпроблемною, тому нам слід просто попросити у користувача його електронну пошту та подбати про інше. Я …

11 security  passwords 

У мене немає великого досвіду роботи з настільними програмами, але якби мені довелося створити настільний додаток сервера клієнтів, доступ до даних здійснювався б через веб-сервіс. Я вважаю, що доступ до даних через веб-сервіс забезпечує безпеку - мені не потрібно вводити ім’я користувача та пароль db-сервера тощо. Перед веб-сервісами, як це …

11 programming-practices  security 

У мене є цей веб-додаток, який буде використовувати всі технології клієнтів (HTML, CSS, JavaScript / AngularJS тощо). Цей веб-додаток буде взаємодіяти з REST API для доступу та зміни даних. Зараз не визначено, який тип системи аутентифікації REST API буде використовувати. Наскільки я розумію, будь-який тип системи аутентифікації API (API ключі, …

11 web-development  security 

Закрито . Це питання ґрунтується на думці . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб на нього можна було відповісти фактами та цитатами, відредагувавши цю публікацію . Закрито 4 роки тому . Я трохи не погоджуюся з більш досвідченим розробником з цього питання, і мені цікаво, …

11 java  security  exceptions  null 

Закрито . Це питання має бути більш зосередженим . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно зосередило увагу на одній проблемі, лише відредагувавши цю публікацію . Закрито 4 роки тому . Я збираюся написати керівництво компанії щодо того, що ніколи не повинно з’являтися в журналах …

11 security  information 

Як ви вважаєте, це вдала практика впровадити можливість дозволити користувачеві-адміністратору увійти як інший користувач, передаючи пароль? Це може бути реалізовано головним паролем або функцією всередині адміністрації користувача "Увійти як цей користувач". Адміністратори просять, щоб така функція могла спробувати відтворити проблему, про яку повідомлялося, або перевірити, чи грант, наприклад, добре.

11 security  problem-solving 

Поточна RFsocket Websocket вимагає, щоб клієнти websocket маскували всі дані в межах кадрів під час надсилання (але сервер цього не потрібно). Причиною, що протокол був розроблений таким чином, є запобігання зміні даних кадру шкідливими службами між клієнтом та сервером (проксі-сервери тощо). Однак маскуючий ключ досі відомий таким службам (він надсилається …

10 security  protocol  websockets 

Часто те, що відображається користувачеві (наприклад, на веб-сторінці), частково базуватиметься на перевірках безпеки. Зазвичай я вважаю безпеку рівня користувача / ACL частиною бізнес-логіки системи. Якщо представлення явно перевіряє безпеку для умовного відображення елементів інтерфейсу, чи порушує MVC вміст бізнес-логіки?

10 web-development  design-patterns  security  mvc 

У моєму місцевому університеті є невеликий студентський обчислювальний клуб із близько 20 студентів. У клубі є кілька невеликих команд із специфічними напрямками діяльності, такими як мобільний розвиток, робототехніка, розробка ігор та злом / безпека. Я представляю кілька основних гнучких концепцій розробки для декількох команд, такі як історії користувачів, оцінка складності …

10 development-process  security  hacking  sdlc 

Я багато читав на OAuth2, намагаючись обійти його головою, але все ще щось збентежив. Я розумію, що клієнт авторизується з постачальником OAuth (наприклад, Google) і дозволяє Серверу ресурсів мати доступ до даних профілю користувача. Тоді клієнт може відправити маркер доступу на сервер ресурсів і повернути йому ресурс. Але те, що, …

10 security  oauth2 

Я читав деяку літературу про безпеку, зокрема про безпеку / шифрування паролів, і мені було цікаво одне: чи правило 3-удару є ідеальним рішенням щодо захисту пароля? Тобто, якщо кількість спроб пароля буде обмежена якоюсь невеликою кількістю, після чого всі запити автентифікації не будуть задоволені, чи не захистить користувачів від вторгнення? …

10 security 

Я розробляю веб-додаток з сильним акцентом на безпеку. Які заходи можна вжити для того, щоб ті, хто працює над програмою (програмісти, DBA, персонал із забезпечення якості), не захоплювали введені користувачем цінності, які повинні бути добре захищені, такі як паролі, номери соціального страхування тощо?

10 security 

Зачинено. Це питання поза темою . Наразі відповіді не приймаються. Хочете вдосконалити це питання? Оновіть питання, щоб воно було тематичним для обміну стеками програмного забезпечення. Закрито 4 роки тому . Зловмисне програмне забезпечення використовує цікаві прийоми для приховування від програмного забезпечення проти шкідливих програм тощо. Вони можуть «поліморфувати» себе: практично …

10 learning  security 

Я чув про охоронні фірми, які консультуються з питань безпеки клієнтських систем. Усі люди, яких я знаю в цій галузі, - це мережеві інженери, але я знаю, що програмісти також залучаються до безпеки. Що насправді роблять програмісти з безпеки, які виконують аудит / консалтинг? Чи буквально вони проходять через кодову …

10 security  freelancing 

Мені потрібно розробити "віджет", сценарій, який партнери вставлятимуть на свої веб-сайти, щоб відобразити якийсь інтерфейс користувача та здійснити дзвінки до нашого API. В основному він відображатиме наші дані на цих сайтах на основі деяких ідентифікаторів, які вони надають у наших дзвінках API. Чого ми хотіли б уникнути, це те, що …

10 security  api-design  web-api