Вопросы с тегом «security»

В одном из проектов, над которым я работаю, следующая картина видится довольно регулярно: var guid = Guid.NewGuid().ToString(); while (guid == Guid.Empty.ToString()) { guid = Guid.NewGuid().ToString(); } Хотя я понимаю, что GUID не гарантированно является уникальным, и в соответствии с документацией MSDN сгенерированный GUID может быть равен нулю , это практическое …

28 .net  security 

Я хочу переписать свои сценарии входа для сайтов клиентов, чтобы сделать их более безопасными. Я хочу знать, какие лучшие практики я могу применить в этом. Защищенные паролем панели управления имеются в изобилии, но очень немногие, по-видимому, применяют лучшие практики с точки зрения написания кода, скорости и безопасности. Я буду использовать …

27 web-development  php  security 

Теоретически, если бы я создал программу, которая бы выделяла всю неиспользуемую память в системе и продолжала запрашивать все больше и больше памяти, поскольку другие приложения освобождали память, которая им больше не нужна, было бы возможно читать недавно освобожденную память из других приложений ? Или это как-то защищено современной операционной системой? …

26 security  operating-systems  memory 

У нас есть платформа веб-службы MVC asp.net для предоставления xml / json людям. Получайте запросы, но изо всех сил пытаемся найти лучший способ (быстрый, простой, тривиальный для пользователей, кодирующих на языках javascript или OO) для аутентификации пользователей. Дело не в том, что наши данные конфиденциальны или что-то в этом роде, …

26 security  api  web  services  rest 

Я углубляюсь в разработку RESTful API и до сих пор работал с несколькими различными средами для достижения этой цели. Конечно, я столкнулся с политикой того же происхождения, и теперь мне интересно, как веб-серверы (а не веб-браузеры) применяют ее. Из того, что я понимаю, кажется, что какое-то принуждение происходит в конце …

24 web-development  security  ajax  http  xmlhttprequest 

Закрыто. Этот вопрос не по теме . В настоящее время не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения в стеке. Закрыто 4 года назад . Мой работодатель попросил меня реализовать функцию, которая потребовала бы хранения паролей в виде открытого текста в базе …

24 security  legal 

Пароли не следует хранить в виде простого текста по очевидным причинам безопасности: вам нужно хранить хэши, а также тщательно генерировать хэши, чтобы избежать атак радужных таблиц. Однако обычно у вас есть требование хранить последние n паролей и обеспечивать минимальную сложность и минимальное изменение между различными паролями (чтобы пользователь не мог …

23 security  passwords 

Я слышал, как люди читают лекции здесь и там в Интернете, что лучше скрывать открытые идентификаторы баз данных в веб-приложениях. Я предполагаю, что они в основном означают в формах и в URL, но я никогда не читал ничего больше, чем полный рот на эту тему. РЕДАКТИРОВАТЬ : Конечно, теперь, когда …

23 web-applications  security 

Этот вопрос был перенесен из переполнения стека, потому что на него можно ответить в Software Engineering Stack Exchange. Мигрировал 8 лет назад . В некоторых компаниях, в которых я работал, менеджеры потратили немало денег на ИТ-консультантов по безопасности. Прежде всего потому, что они боятся, что мы получим исходный код, украденный …

23 security 

В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и, возможно, вновь открыть, обратитесь за …

22 security  ethics 

Как проект с открытым исходным кодом с общедоступным репозиторием лучше всего обрабатывает запросы извлечения (PR), которые устраняют уязвимости безопасности, о которых сообщалось, но еще не опубликованные? Я участвую в проекте с открытым исходным кодом с несколькими сотнями участников. Мы публикуем уведомления о безопасности и уязвимости несколько раз в год в …

22 open-source  security  github  gitlab 

Внедрение SQL - это очень серьезная проблема безопасности, во многом потому, что ее легко понять неправильно: очевидный, интуитивно понятный способ создания запроса, включающего пользовательский ввод, делает вас уязвимым, а правильный путь для его смягчения требует, чтобы вы знали о параметризации запросы и SQL-инъекция в первую очередь. Мне кажется, что очевидный …

22 security  sql  rdbms 

Скажем, я хочу, чтобы некоторые части моего программного обеспечения были зашифрованы. Например, учетные данные для базы данных и т. Д. Мне нужно где-то хранить эти значения, но при этом в открытом тексте злоумышленнику будет легко получить несанкционированный доступ. Однако если я зашифрую какой-нибудь открытый текст, то где мне хранить ключ? …

22 security  cryptography 

Этот вопрос был перенесен из переполнения стека, потому что на него можно ответить в Software Engineering Stack Exchange. Мигрировал 7 лет назад . Какие аспекты мне необходимо учитывать при разработке и публикации программного обеспечения, которое должно соответствовать ограничениям на экспорт криптографического программного обеспечения из США? В Википедии сказано, что существуют …

21 security  encryption  cryptography 

Я читал в многочисленных источниках, что вывод PHP rand () предсказуем как PRNG, и я в основном принимаю это как факт просто потому, что видел его во многих местах. Я заинтересован в проверке концепции: как бы я мог предсказать вывод rand ()? Прочитав эту статью, я понимаю, что случайное число …

21 security  random