Вопросы с тегом «security»

Я продолжаю читать, это плохая практика использовать закрывающий тег PHP ?>в конце файла. Проблема заголовка кажется неактуальной в следующем контексте (и пока это единственный хороший аргумент): Современные версии PHP устанавливают флаг output_buffering в php.ini. Если включена выходная буферизация, вы можете установить HTTP-заголовки и куки-файлы после вывода HTML-кода, поскольку возвращаемый код …

374 php  security  http-headers 

Мне нужен файл .pfx для установки https на веб-сайте IIS. У меня есть два отдельных файла: сертификат (.cer или pem) и закрытый ключ (.crt), но IIS принимает только файлы .pfx. Я, очевидно, установил сертификат, и он доступен в диспетчере сертификатов (mmc), но когда я выбираю мастер экспорта сертификатов, я не …

363 windows  security  iis  certificate  ssl-certificate 

Лицензионные ключи являются стандартом де-факто в качестве меры борьбы с пиратством. Честно говоря, это выглядит как (в) Security Through Obscurity , хотя я действительно не знаю, как генерируются лицензионные ключи. Что является хорошим (безопасным) примером генерации лицензионного ключа? Какой криптографический примитив (если есть) они используют? Это дайджест сообщения? Если да, …

361 security  cryptography  license-key 

У меня есть две HTTP-службы, работающие на одной машине. Я просто хочу знать, разделяют ли они свои куки или браузер различает два серверных сокета.

355 security  http  cookies 

Я пытаюсь получить сертификат удаленного сервера, который затем могу использовать для добавления в хранилище ключей и использования в моем приложении Java. Старший разработчик (который в отпуске :() сообщил мне, что я могу запустить это: openssl s_client -connect host.host:9999 Чтобы получить необработанный сертификат, который я могу затем скопировать и экспортировать. Я …

354 linux  security  certificate  openssl  ssl-certificate 

Сегодня утром, после обновления моего браузера Firefox до последней версии (с 22 до 23), некоторые из ключевых аспектов моего бэк-офиса (веб-сайта) перестали работать. Глядя на журнал Firebug, сообщалось о следующих ошибках: Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"` среди других ошибок, вызванных последним из двух …

350 http  security  firefox  https  mixed-content 

Каковы наилучшие обходные пути для использования предложения SQL INс экземплярами java.sql.PreparedStatement, которое не поддерживается для нескольких значений из-за проблем безопасности атаки SQL-инъекцией: один ?заполнитель представляет одно значение, а не список значений. Рассмотрим следующий оператор SQL: SELECT my_column FROM my_table where search_column IN (?) Использование preparedStatement.setString( 1, "'A', 'B', 'C'" );по …

343 java  security  jdbc  prepared-statement  in-clause 

Locked . Этот вопрос и его ответы заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Похоже, мы добавим поддержку CAPTCHA в Stack Overflow. Это необходимо для предотвращения действий ботов, спамеров и других вредоносных скриптов. Мы только хотим, …

318 security  language-agnostic  captcha 

При создании приложений в стиле SPA с использованием таких фреймворков, как Angular, Ember, React и т. Д., Что люди считают лучшими практиками для аутентификации и управления сеансами? Я могу подумать о нескольких способах решения проблемы. Относитесь к этому не иначе, как к аутентификации с помощью обычного веб-приложения, предполагая, что API …

309 security  angularjs  authentication  ember.js  single-page-application 

Если я получу JWT и смогу декодировать полезную нагрузку, насколько это безопасно? Разве я не могу просто извлечь токен из заголовка, декодировать и изменить информацию о пользователе в полезной нагрузке и отправить ее обратно с тем же правильным закодированным секретом? Я знаю, что они должны быть в безопасности, но мне …

302 security  jwt  express-jwt 

Я пытаюсь перенаправить все незащищенные HTTP-запросы на моем сайте (например http://www.example.com) в HTTPS ( https://www.example.com). Я использую PHP, кстати. Могу ли я сделать это в .htaccess?

294 security  http  .htaccess  redirect  https 

Является ли хеширование пароля дважды перед хранением более или менее безопасным, чем простое хеширование? То, о чем я говорю, делает это: $hashed_password = hash(hash($plaintext_password)); вместо этого: $hashed_password = hash($plaintext_password); Если это менее безопасно, можете ли вы дать хорошее объяснение (или ссылку на него)? Кроме того, используемая хэш-функция имеет значение? Есть …

293 security  hash  passwords  cryptography  password-hash 

Я пытаюсь понять всю проблему с CSRF и соответствующие способы предотвратить это. (Ресурсы, которые я прочитал, понимаю и с которыми согласен: Шпаргалка по профилактике OWASP CSRF , Вопросы о CSRF .) Насколько я понимаю, уязвимость вокруг CSRF вводится в предположении, что (с точки зрения веб-сервера) действительный файл cookie сеанса во …

284 security  cookies  web  csrf  owasp 

В Windows Server 2008 с установленным ASP.NET 4.0 существует целый ряд связанных учетных записей пользователей, и я не могу понять, какая из них, чем они отличаются, и какая действительно является той, под которой работает мое приложение. Вот список: IIS_IUSRS IUSR DefaultAppPool ASP.NET v4.0 NETWORK_SERVICE МЕСТНЫЙ СЕРВИС. Что есть что?

284 asp.net  security  iis  user-accounts 

При сравнении HTTP GET с HTTP POST, какие различия с точки зрения безопасности? Является ли один из вариантов по своей сути более безопасным, чем другой? Если так, то почему? Я понимаю, что POST не раскрывает информацию об URL, но есть ли в этом реальная ценность или это просто безопасность через …

282 html  security  http