Вопросы с тегом «security»

Большинство угроз безопасности, о которых я слышал, возникли из-за ошибки в программном обеспечении (например, все входные данные не проверены должным образом, переполнения стека и т. Д.). Итак, если мы исключим все социальные взломы, все ли угрозы безопасности связаны с ошибками? Другими словами, если бы не было ошибок, не было бы …

13 security  bug  hacking 

Я обнаружил серьезную дыру в безопасности на одном из публичных сайтов моей компании. Это наш первый общедоступный сайт, который был преобразован из интрасети. Я довел эту проблему до своего босса, и они, по сути, отмахнулись от него, сказав, что потребуется много усилий, чтобы изменить архитектуру сайта, чтобы сделать его безопасным. …

13 security  ethics 

Все, что я видел в атаках с использованием SQL-инъекций, показывает, что параметризованные запросы, особенно хранимые процедуры, являются единственным способом защиты от таких атак. Пока я работал (еще в темные века), хранимые процедуры считались плохой практикой, главным образом потому, что их считали менее обслуживаемыми; менее проверяемый; сильно связанный; и заблокировал систему …

13 design  security  sql  sql-injection 

В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и, возможно, вновь открыть, обратитесь за …

13 security  passwords  authorization  risk  permissions 

Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения стека Exchange. Закрыто 6 лет назад . В настоящее время большинство популярных приложений требуют активации учетной записи по электронной почте. Я никогда не …

13 security  email 

Мы работаем над новым проектом, мы являемся двумя ведущими разработчиками и попали на перекресток о том, как использовать токен для защиты связи между сервером и клиентом. Первое предложение: (Одноразовый токен AKA Static Token) клиент запрашивает первичный токен, отправляя имя пользователя и пароль, а также current_time (эта переменная будет сохранена в …

13 security  api 

Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 4 года назад . Существует множество угроз безопасности, возникающих из-за тесного контакта с оборудованием, а …

13 c  security  low-level  vulnerabilities 

Я хочу реализовать более надежную службу аутентификации, и jwtэто большая часть того, что я хочу сделать, и я понимаю, как писать код, но у меня возникли небольшие проблемы с пониманием различий между зарезервированными issи audутверждениями. Я понимаю, что один определяет сервер, который выдает токен, а другой относится к приложению, которое …

13 security  authentication  authorization  jwt 

Около 10 лет я работал над различными внутренними клиентскими приложениями для настольных компьютеров с хранилищами данных SQL Server. Редко я начинал эти проекты - большинство из них занимаются поглощением. Одна вещь, которая везде казалась постоянной, заключалась в том, что существовала единственная глобальная учетная запись пользователя SQL Server, которая использовалась этим …

12 database  security 

Будучи создателем программы, вы, вероятно, в лучшем положении, чем кто-либо, знаете об уязвимостях безопасности и потенциальных взломах. Если вы знаете об уязвимости в написанной вами системе, это ДОЛЖЕН быть добавлен признак того, что повышенная безопасность должна быть выпущена до выпуска, или это следует оценивать в каждом конкретном случае для определения …

12 security  release 

Я получил сегодня вопрос от моего менеджера, спрашивающего меня о том, что считается приемлемым дизайном для аутентификации приложения веб-формы, особенно в связи с тем, что многие популярные браузеры используют «Запомнить пароль» для ваших типичных полей имени пользователя и пароля для входа в систему. , У меня возникли проблемы с получением …

12 web-applications  security  browser  authentication 

Я настраиваю новый веб-сервис RESTful и мне нужно предоставить модель управления доступом на основе ролей . Мне нужно создать архитектуру, которая позволит пользователям предоставлять свое имя пользователя и пароль для получения доступа к сервисам, а затем ограничивать использование ими сервисов (какие сервисы они могут использовать, чтение против чтения / записи …

12 web-development  design-patterns  security  web-services  rest 

При добавлении солт-значений к хеш-значению для чего-то вроде пароля, который не может быть сохранен в виде простого текста, из чего лучше всего получать солт-значения? Для контекста, давайте предположим, что это для паролей на странице входа в систему.

12 security  hashing 

Является ли регистрация входа по электронной почте лучше, чем имя пользователя, чтобы идентифицировать пользователя?

12 security  user-interface  front-end 

Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль? Разве два пароля не будут совершенно разными, поскольку один хешируется и не может быть восстановлен?

11 database  security  hashing  passwords