Вопросы с тегом «security»

Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег в одиночку, что приводит к неоднозначности. Если ваш вопрос не о конкретной проблеме программирования, попробуйте вместо этого задать ее на информационной безопасности SE: https://security.stackexchange.com

6
JAAS для людей
Мне трудно понять JAAS. Все кажется более сложным, чем должно быть (особенно учебники Sun). Мне нужен простой учебник или пример того, как реализовать безопасность (аутентификация + авторизация) в Java-приложении на основе Struts + Spring + Hibernate с настраиваемым пользовательским репозиторием. Может быть реализовано с использованием ACEGI.
5
Уязвимы ли веб-сервисы JSON для атак CSRF?
Я создаю веб-службу, которая использует исключительно JSON для своего содержимого запроса и ответа (т.е. полезные нагрузки, не закодированные в форме). Уязвима ли веб-служба для атаки CSRF, если верно следующее? Любой POSTзапрос без объекта JSON верхнего уровня, например, {"foo":"bar"}будет отклонен с 400. Например, POSTзапрос с содержимым 42будет таким образом отклонен. Любой …
82 http  security  csrf 
9
Очистить / перезаписать HTML на стороне клиента
Мне нужно отображать внешние ресурсы, загруженные через междоменные запросы, и убедиться, что отображается только « безопасный » контент. Можно использовать Prototype String # stripScripts для удаления блоков скрипта. Но такие обработчики как onclickили onerrorвсе еще существуют. Есть ли какая-нибудь библиотека, которая может хотя бы убрать блоки сценария, убить обработчики DOM, …
7
Как осуществить сброс пароля?
Я работаю над приложением в ASP.NET, и мне было интересно, как я могу реализовать Password Reset функцию, если бы я хотел свернуть свою собственную. В частности, у меня есть следующие вопросы: Каков хороший способ создания уникального идентификатора, который трудно взломать? Должен ли быть к нему привязан таймер? Если да, то …
7
Почему strlcpy и strlcat считаются небезопасными?
Я понимаю это strlcpyи strlcatбыли разработаны как безопасная замена для strncpyи strncat. Однако некоторые люди по-прежнему считают, что они небезопасны, и просто вызывают проблемы другого типа . Может ли кто-нибудь привести пример того, как использование strlcpyили strlcat(то есть функция, которая всегда завершает свои строки нулевым значением) может привести к проблемам …
80 c  security  strncpy  strlcpy 
1
Как заставить CRL и OSCP Checking работать на iOS?
Я не могу заставить CRL работать на iOS. Я создал два теста. У меня есть действующий сертификат, выданный центром сертификации. У меня есть еще один действительный сертификат, выданный ЦС, но ЦС добавил этот сертификат в свой CRL. Затем я настраиваю политику отзыва, которая включает проверку CRL и требует, чтобы она …
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.