Вопросы с тегом «security»

Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег в одиночку, что приводит к неоднозначности. Если ваш вопрос не о конкретной проблеме программирования, попробуйте вместо этого задать ее на информационной безопасности SE: https://security.stackexchange.com

12
Полное руководство по аутентификации веб-сайтов на основе форм [закрыто]
Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 3 года назад . Аутентификация на основе форм для веб-сайтов Мы считаем, что переполнение стека …

7
Почему Google работает в то время как (1); на их ответы JSON?
Почему Google предпочитает while(1);свои (личные) ответы JSON? Например, вот ответ при включении и выключении календаря в Календаре Google : while (1); [ ['u', [ ['smsSentFlag', 'false'], ['hideInvitations', 'false'], ['remindOnRespondedEventsOnly', 'true'], ['hideInvitations_remindOnRespondedEventsOnly', 'false_true'], ['Calendar ID stripped for privacy', 'false'], ['smsVerifiedFlag', 'true'] ]] ] Я бы предположил, что это для того, чтобы …
4080 javascript  json  ajax  security 

17
Почему char [] предпочтительнее, чем String для паролей?
В Swing поле пароля имеет метод getPassword()(return char[]) вместо обычного getText()(return String) метода. Точно так же я натолкнулся на предложение не использовать Stringдля обработки паролей. Почему возникает Stringугроза безопасности, когда речь идет о паролях? Это неудобно в использовании char[].
3423 java  string  security  passwords  char 

28
Как я могу предотвратить внедрение SQL в PHP?
Ответы на этот вопрос - работа сообщества . Отредактируйте существующие ответы, чтобы улучшить этот пост. В настоящее время он не принимает новые ответы или взаимодействия. На этот вопрос есть ответы на Переполнение стека на русском : Каким образом избежать SQL-инъекций в PHP? Если пользовательский ввод вставляется без изменения в запрос …

26
Как я должен этически подходить к хранению пароля пользователя для последующего получения открытого текста?
Locked . Этот вопрос и его ответы заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Поскольку я продолжаю создавать все больше и больше веб-сайтов и веб-приложений, меня часто просят хранить пароли пользователей таким образом, чтобы их можно …

14
Безопасный хэш и соль для паролей PHP
В настоящее время говорят, что MD5 частично небезопасен. Учитывая это, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, является ли «двойное хеширование» паролем менее безопасным, чем однократное хеширование? предполагает, что хэширование несколько раз может быть хорошей идеей, тогда как как реализовать защиту паролем для отдельных файлов? …


13
Как работает SQL-инъекция из комикса XKCD «Таблицы Бобби»?
Просто смотрю на: (Источник: https://xkcd.com/327/ ) Что делает этот SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю и то, 'и другое --для комментариев, но разве это слово тоже не DROPкомментируется, поскольку оно является частью одной строки?

18
Рекомендации по защите REST API / веб-службы [закрыто]
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 2 года назад . При разработке REST API или службы существуют ли лучшие рекомендации по работе с …

30
Как избежать обратного инжиниринга файла APK?
Я занимаюсь разработкой приложения для обработки платежей для Android и хочу запретить хакеру доступ к любым ресурсам, ресурсам или исходному коду из файла APK . Если кто-то изменяет расширение .apk на .zip, то он может разархивировать его и легко получить доступ ко всем ресурсам и активам приложения, а с помощью …

7
Достаточно ли подготовленных операторов PDO для предотвращения внедрения SQL?
Допустим, у меня есть такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документация PDO гласит: Параметры для подготовленных утверждений не должны быть указаны; водитель справится с этим за вас. Это действительно все, что мне нужно сделать, чтобы …

14
Почему у OAuth v2 есть токены доступа и обновления?
Раздел 4.2 проекта протокола OAuth 2.0 указывает, что сервер авторизации может возвращать как access_token(который используется для аутентификации себя с помощью ресурса), так и a refresh_token, который используется исключительно для создания нового access_token: https://tools.ietf.org/html/rfc6749#section-4.2 Почему есть оба? Почему бы просто не сделать access_tokenпоследний до тех пор, пока refresh_tokenи не иметь refresh_token?

4
SQL-инъекция, которая обходит mysql_real_escape_string ()
Есть ли возможность SQL-инъекции даже при использовании mysql_real_escape_string()функции? Рассмотрим этот пример ситуации. SQL построен на PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT * FROM table WHERE login='$login' AND password='$password'"; Я слышал, как многие люди говорят мне, что подобный код все еще опасен и его можно …


4
Как bcrypt может иметь встроенные соли?
В статье Coda Hale «Как безопасно хранить пароль» утверждается, что: В bcrypt встроены соли для предотвращения атак с радужного стола. Он цитирует эту статью , в которой говорится, что в реализации OpenBSD bcrypt: OpenBSD генерирует 128-битную соль bcrypt из ключевого потока arcfour (arc4random (3)), заполненного случайными данными, которые ядро ​​собирает …

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.