Вопросы с тегом «security»

Я хочу выставить ресурс в сети. Я хочу защитить этот ресурс: убедиться, что он доступен только определенным лицам. Я мог бы установить некоторую аутентификацию на основе пароля . Например, я мог бы разрешить доступ к ресурсу только через веб-сервер, который проверяет входящие запросы на правильность учетных данных (возможно, по какой-либо …

128 security  authentication 

Я был нанят кем-то, чтобы сделать небольшую работу на сайте. Это сайт для большой компании. Он содержит очень конфиденциальные данные, поэтому безопасность очень важна. Проанализировав код, я заметил, что он заполнен дырами в безопасности - читай, много PHP-файлов, бросающих пользовательский ввод get / post непосредственно в запросы mysql и системные …

109 php  security  sql-injection 

Я все еще пытаюсь найти лучшее решение для защиты API REST, потому что количество мобильных приложений и API растет с каждым днем. Я пробовал разные способы аутентификации, но все еще есть некоторые недоразумения, поэтому мне нужен совет кого-то более опытного. Позвольте мне рассказать, как я понимаю все эти вещи. Если …

104 security  rest  api  oauth  https 

Как мне убедиться, что мой REST API отвечает только на запросы, сгенерированные доверенными клиентами, в моем случае мои собственные мобильные приложения? Я хочу предотвратить нежелательные запросы, поступающие из других источников. Я не хочу, чтобы пользователи вводили серийный ключ или что-то еще, это должно происходить негласно, после установки и без какого-либо …

96 security  rest  mobile 

У меня есть форма электронной почты на сайте. Я использую собственную CAPTCHA для предотвращения спама от роботов. Несмотря на это, я все еще получаю спам. Почему? Как роботы побеждают CAPTCHA? Используют ли они какой-нибудь продвинутый OCR или просто получают решение, где оно хранится? Как я могу предотвратить это? Должен ли …

84 security  captcha 

Почему сегодня так легко пиратствовать? Просто немного трудно поверить, что при всех наших технологических достижениях и миллиардах долларов, потраченных на разработку самого невероятного и умопомрачительного программного обеспечения, у нас все еще нет других средств защиты от пиратства, кроме «серийного номера / ключа активации». ». Я уверен, что куча денег, возможно, …

77 security 

Возможное дублирование: написание веб-приложений «без сервера» Итак, допустим, я собираюсь создать клон Stack Exchange и решил использовать что-то вроде CouchDB в качестве своего внутреннего хранилища. Если я использую их встроенную аутентификацию и авторизацию на уровне базы данных, есть ли какая-либо причина не разрешать клиентскому Javascript писать напрямую на общедоступный сервер …

62 javascript  architecture  database  security  couchdb 

На мой взгляд, атаки с использованием SQL-инъекций можно предотвратить с помощью: Тщательный скрининг, фильтрация, кодирование ввода (перед вставкой в ​​SQL) Использование подготовленных операторов / параметризованных запросов Я предполагаю, что у каждого есть свои плюсы и минусы, но почему №2 взлетел и стал более или менее де-факто способом предотвращения инъекционных атак? …

59 security  sql  history  hacking  sql-injection 

В моем образовании мне говорили, что ошибочно предлагать пользователю фактические первичные ключи (не только ключи БД, но и все первичные средства доступа). Я всегда думал, что это проблема безопасности (потому что злоумышленник может попытаться прочитать что-то не свое). Теперь я должен проверить, разрешен ли пользователю доступ в любом случае, так …

53 design  security  theory 

В Интернете существует множество сайтов, которым требуется информация для входа в систему, и единственным способом защиты от повторного использования пароля является «обещание», что пароли хешируются на сервере, что не всегда верно. Поэтому мне интересно, насколько сложно создать веб-страницу, которая хэширует пароли на клиентском компьютере (с Javascript), прежде чем отправлять их …

46 javascript  security  client-relations  hashing  client-side 

У меня есть небольшой спор на рабочем месте, и я пытаюсь выяснить, кто прав, и что делать правильно. Контекст: веб-приложение для внутренней сети, которое наши клиенты используют для учета и других ERP-приложений. Я считаю, что сообщение об ошибке, представляемое пользователю (когда происходит сбой), должно включать как можно больше информации, включая …

45 security  error-handling 

Я пытаюсь понять присущий компромисс между ролями и разрешениями, когда дело доходит до контроля доступа (авторизации). Давайте начнем с данного: в нашей системе Разрешение будет детализированной единицей доступа (« Редактировать ресурс X », « Доступ к странице панели инструментов » и т. Д.). Роль будет набор разрешений 1+. Пользователь может …

45 security  permissions  authorization  access-control  roles 

Предположим, я проверяю код, который соискатели посылают для подтверждения своих навыков. Очевидно, я не хочу запускать исполняемые файлы, которые они отправляют. Не очень ясно, что я бы предпочел не запускать результат компиляции их кода (например, Java позволяет скрыть исполняемый код в комментариях ). Как насчет компиляции их кода? Я хочу …

41 security  source-code  compiler  vulnerabilities 

При формировании мнений рекомендуется придерживаться схоластической традиции - стараться как можно сильнее против своего мнения и пытаться найти контраргументы. Однако, как бы я ни старался, я просто не могу найти разумных аргументов в пользу антивируса (и связанных с ним мер безопасности) на машинах разработки. Аргументы против антивируса (AV) в разработке …

40 security  hardware  development-environment 

Я встречал довольно много сайтов, которые либо ограничивают длину паролей и / или запрещают определенные символы. Это ограничивает меня, так как я хочу расширить и увеличить пространство поиска моего пароля. Это также дает мне неприятное ощущение, что они могут не хэшироваться. Есть ли веские причины для установки верхней длины или …

39 security  passwords