Вопросы с тегом «security»

Я начал регистрировать неудачные попытки входа на свой веб-сайт с помощью сообщения вроде Failed login attempt by qntmfred Я заметил, что некоторые из этих журналов выглядят как Failed login attempt by qntmfredmypassword Я предполагаю, что у некоторых людей был неудачный вход в систему, потому что они напечатали свое имя пользователя …

38 web-development  security 

Мой вопрос касается безопасности JavaScript. Представьте себе систему аутентификации, в которой вы используете среду JavaScript, такую ​​как Backbone или AngularJS , и вам нужны защищенные конечные точки. Это не проблема, поскольку сервер всегда имеет последнее слово и проверит, авторизованы ли вы делать то, что вы хотите. Но что, если вам …

37 javascript  security  browser  hacking 

Работая над проектом для моей компании, мне нужно было создать функциональность, позволяющую пользователям импортировать / экспортировать данные на сайт нашего конкурента. При этом я обнаружил очень серьезную уязвимость в безопасности, которая, в общем, может выполнить любой скрипт на веб-сайте конкурента. Мое естественное чувство - сообщить им о проблеме в духе …

37 business  security  ethics  vulnerabilities 

Стоит ли еще защищать наше программное обеспечение от пиратства? Существуют ли достаточно эффективные способы предотвращения или, по крайней мере, затруднения пиратства?

37 security 

В настоящее время я унаследовал приложение на работе и, к своему ужасу, понял, что пароли пользователей, хранящиеся в базе данных, зашифрованы с использованием внутренней функции шифрования, которая также включает в себя возможность дешифрования. Поэтому все, что кому-то действительно нужно сделать, это скопировать таблицу пользователей и скопировать сборку шифрования (любой, у …

34 security  client-relations  passwords 

У нас есть несколько подарков: Разработчикам нужна копия производственной базы данных на их машинах. Разработчики имеют пароль к указанной базе данных в файлах App.config. Мы не хотим, чтобы данные в указанной базе данных были скомпрометированы. Несколько предложенных решений и их недостатки: Полный диск-шифрование. Это решает все проблемы, но ухудшает производительность …

33 database  security 

Вопрос говорит все это действительно. Я хочу предоставить услугу, но я не хочу самостоятельно хранить какие-либо данные в базе данных. Со всеми последними новостями о взломе и т. Д. Мне кажется, что лучше, когда клиенты имеют полный контроль над своими данными. Проблема в том, что хранимые данные потенциально чувствительны. Я …

33 javascript  security 

При работе с ресурсным сайтом (таким как приложение MVC или служба REST) ​​у нас есть два основных варианта, когда клиент пытается GETиспользовать ресурс, к которому у него нет доступа: 403 , в котором говорится, что клиент не авторизован ; или 404 , который говорит, что ресурс не существует (или не …

33 web-development  web-applications  security  web-services  privacy 

Вы поддерживаете существующее приложение с установленной базой пользователей. Со временем было решено, что текущая техника хеширования паролей устарела и нуждается в обновлении. Кроме того, по причинам UX, вы не хотите, чтобы существующие пользователи были вынуждены обновить свой пароль. Все обновление хэширования паролей должно происходить за экраном. Предположим «упрощенную» модель базы …

32 security  language-agnostic  passwords 

У меня есть проект, в котором мне нужно разрешить пользователям запускать произвольный ненадежный код Python ( примерно так ) на моем сервере. Я довольно новичок в python, и я хотел бы избежать ошибок, которые могут привести к дырам в системе безопасности или другим уязвимостям в системе. Существуют ли передовые практики, …

31 python  security  web-services 

Я вызвался инструктировать компьютерный клуб после школы в средней школе моего сына. Был большой интерес к компьютерным вирусам. Я думал показать им, как создать простой вирус пакетного файла, который будет заражать другие пакетные файлы в том же каталоге. Также покажите, как создание пакетного файла с тем же именем, но ближе …

31 security  ethics 

Я не могу понять причины, по которым заявления / полезные данные JWT становятся публично видимыми после их декодирования в base64. Зачем? Кажется, было бы гораздо полезнее зашифровать его с помощью секрета. Может кто-нибудь объяснить, почему или в какой ситуации полезно хранить эти данные?

30 security  json  authentication  jwt 

Я читал ветку Hacker News, где один пользователь публикует ссылку с 2011 года, объясняющую, что IIS намного быстрее, чем большинство других (* nix) веб-серверов. Другой пользователь отвечает, объясняя, что IIS получает это преимущество, имея модуль ядра с именем HTTP.sys . Насколько мне известно, большинство других популярных веб-серверов в 2015 году …

28 security  operating-systems  iis  web-servers  apache2 

Мне было поручено разработать интеграцию для одного из приложений моего работодателя с внешней системой, разработанной нашим клиентом. Спецификация нашего клиента для интеграции, которая имеет некоторые явные недостатки, связанные с безопасностью. Недостатки позволят несанкционированному доступу пользователя к системе для просмотра ограниченных данных. Я указал на недостатки и их потенциальные угрозы безопасности, …

28 architecture  security  ethics  specifications 

Закрыто . Этот вопрос основан на мнении . В настоящее время не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 6 лет назад . Проверка ввода данных всегда была для меня довольно внутренней борьбой. На грани добавления реальной …

28 development-process  language-agnostic  security  data  validation