Вопросы с тегом «security»

Я понимаю, что спецификация OAuth ничего не указывает о происхождении кода ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret или Verifier, но мне любопытно, есть ли какие-либо передовые методы создания значительно безопасных токенов (особенно Token / Секретные комбинации). На мой взгляд, есть несколько подходов к созданию токенов: Просто используйте случайные байты, храните в …

100 security  encryption  oauth  hash 

У меня есть сайт ASP.NET 4.0 IIS7.5, который мне нужно защитить с помощью заголовка X-Frame-Options. Мне также нужно включить iframe для страниц моего сайта из моего домена и из моего приложения facebook. В настоящее время на моем сайте настроен сайт с заголовком: Response.Headers.Add("X-Frame-Options", "ALLOW-FROM SAMEDOMAIN, www.facebook.com/MyFBSite") Когда я просматривал свою …

100 asp.net  security  iis-7  header  internet-explorer-9 

В работе у нас есть две конкурирующие теории солей. В продуктах, над которыми я работаю, используется что-то вроде имени пользователя или номера телефона для добавления хэша. По сути, то, что отличается для каждого пользователя, но легко доступно для нас. Другой продукт случайным образом генерирует соль для каждого пользователя и изменяется …

99 security  encryption  hash  brute-force 

Время от времени я сталкиваюсь с комментариями или ответами , в которых категорически утверждается, что работать pipпод управлением sudo«неправильно» или «плохо», но бывают случаи (в том числе то, как у меня настроена куча инструментов), когда это либо намного проще, либо даже необходимо запустить его таким образом. Каковы риски , связанные …

99 python  security  pip  sudo 

Я пытаюсь повысить безопасность форм на моем веб-сайте. Одна из форм использует AJAX, а другая представляет собой простую форму «свяжитесь с нами». Я пытаюсь добавить токен CSRF. Проблема, с которой я сталкиваюсь, заключается в том, что токен только иногда появляется в «значении» HTML. В остальное время значение пустое. Вот код, …

98 php  security  session  csrf 

Я вижу, что эти два термина довольно часто используются (особенно в веб-сценариях, но я полагаю, что это не ограничивается этим), и мне было интересно, есть ли разница. Мне кажется, что оба они означают, что вам разрешено делать то, что вы делаете. Так это просто номенклатура или есть принципиальная разница в …

97 security 

Любая переменная, которой может управлять пользователь, также может контролировать злоумышленник и, следовательно, является источником атаки. Это называется "испорченной" переменной и небезопасно. При использовании $_SERVERможно управлять многими переменными. PHP_SELF, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR, HTTP_ACCEPT_LANGUAGEИ многие другие являются частью заголовка запроса HTTP , посланного клиентом. Кто-нибудь знает о «безопасном списке» или незапятнанном списке $_SERVERпеременных?

97 php  security 

Я хочу сгенерировать идентификатор забытого пароля. Я читал, что могу сделать это, используя метку времени с mt_rand (), но некоторые люди говорят, что метка времени может не быть уникальной каждый раз. Так что я здесь немного запутался. Могу ли я сделать это с использованием отметки времени? Вопрос Как лучше всего …

96 php  security  random  timestamp  token 

Чтобы использовать google drive api, мне нужно поиграть с аутентификацией с помощью OAuth2.0. И у меня есть несколько вопросов по этому поводу. Идентификатор клиента и секрет клиента используются для определения моего приложения. Но они должны быть жестко запрограммированы, если это клиентское приложение. Итак, каждый может декомпилировать мое приложение и извлечь …

95 security  oauth  google-api  oauth-2.0 

У меня проблемы с настройкой SSL на 32-битном сервере Debian 6.0. Я относительно новичок в использовании SSL, так что терпите меня. Я включаю столько информации, сколько могу. Примечание. Настоящее доменное имя было изменено для защиты идентичности и целостности сервера. Конфигурация Сервер работает с использованием nginx. Он настроен следующим образом: ssl_certificate …

95 security  ssl  https  openssl  ssl-certificate 

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы на него можно было ответить с помощью фактов и цитат, отредактировав этот пост . Закрыт 5 дней назад . Уточните этот вопрос Я пишу небольшой скрипт Python, который …

95 python  security  encryption 

Я читал о более старом эксплойте против GDI + в Windows XP и Windows Server 2003, который называется JPEG смерти для проекта, над которым я работаю. Эксплойт подробно описан в следующей ссылке: http://www.infosecwriters.com/text_resources/pdf/JPEG.pdf По сути, файл JPEG содержит раздел под названием COM, содержащий (возможно, пустое) поле комментария и двухбайтовое значение, …

94 c++  security  memcpy  malware 

Я пытаюсь создать хешированный пароль для Laravel. Теперь кто-то сказал мне использовать хэш-помощник Laravel, но я не могу его найти или смотрю в неправильном направлении. Как создать хешированный пароль laravel? И где? Изменить: я знаю, что это за код, но я не знаю, где и как его использовать, поэтому он …

94 php  security  laravel  hash  passwords 

Как я могу установить файлы cookie в моем PHP appsкак HttpOnly cookies?

93 php  security  cookies  xss  httponly 

Я разрабатываю функцию, которая может получать / устанавливать ресурс из SD, и если он не найден из SD, то беру его из Asset и, если возможно, записывает актив обратно в SD Эта функция может проверять вызовом метода, если SD установлен и доступен ... boolean bSDisAvalaible = Environment.getExternalStorageState().equals(Environment.MEDIA_MOUNTED); Моя разработанная функция …

93 android  security  permissions  runtime