Вопросы с тегом «security»

По вопросам, связанным с криптографией и информационной безопасностью. Это может быть безопасность компьютера, сети или базы данных.

1
Во время создания учетной записи, лучше ли автоматически генерировать пароль и отправлять его пользователю или позволить пользователю создать свой собственный пароль?
Этот вопрос возник сегодня, когда мы обсуждали с коллегой страницу «Создать учетную запись» для веб-сайта, над которым мы работаем. Мое коллега считает, что мы должны сделать регистрацию максимально быстрой и беспроблемной, поэтому мы должны просто попросить пользователя отправить его электронное письмо и позаботиться обо всем остальном. Я согласен с намерением, …

3
Как настольные приложения взаимодействовали с удаленным сервером до веб-сервисов?
У меня нет большого опыта работы с настольными приложениями, но если бы мне пришлось создавать настольное приложение клиент-сервер, доступ к данным осуществлялся бы через веб-сервис. Я считаю, что доступ к данным через веб-сервис обеспечивает безопасность - мне не нужно передавать имя пользователя и пароль на сервере db и т. Д. …

3
Надежное хранение секретных данных в клиентском веб-приложении
У меня есть это веб-приложение, которое будет полностью на стороне клиента (HTML, CSS, JavaScript / AngularJS и т. Д.). Это веб-приложение будет взаимодействовать с REST API для доступа и изменения данных. В настоящее время неясно, какой тип системы аутентификации будет использовать REST API. Насколько я понимаю, любой тип системы аутентификации …

10
Должны ли ограничения безопасности привести к тому, что служба вернет ноль или выдаст исключение? [закрыто]
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 4 года назад . Я немного не согласен с более опытным разработчиком по этому вопросу, и мне …

7
Какая информация никогда не должна появляться в журналах? [закрыто]
Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 4 года назад . Я собираюсь написать руководство компании о том, что никогда не должно …

5
Разрешить пользователям с правами администратора входить в систему как другие пользователи
Считаете ли вы хорошей практикой реализовать возможность разрешить пользователю с правами администратора входить в систему как другой пользователь, минуя пароль? Это может быть реализовано с помощью мастер-пароля или функции внутри администрации пользователя «Войти как этот пользователь». Администраторы запрашивают такую ​​функцию, чтобы попытаться воспроизвести сообщенную проблему или проверить, например, в порядке …

2
Действительно ли маскировка необходима при отправке из клиента Websocket?
В соответствии с действующим RFC для Websocket, клиенты Websocket при отправке маскируют все данные внутри фреймов (но сервер не обязан). Причина, по которой протокол был разработан таким образом, заключается в том, чтобы предотвратить изменение данных фрейма вредоносными службами между клиентом и сервером (прокси и т. Д.). Однако маскирующий ключ все …

7
Является ли использование условий безопасности в представлении нарушением MVC?
Часто то, что отображается пользователю (например, на веб-странице), будет частично основано на проверках безопасности. Обычно я считаю, что безопасность на уровне пользователя / ACL является частью бизнес-логики системы. Если представление явно проверяет безопасность для условного отображения элементов пользовательского интерфейса, нарушает ли оно MVC, сдерживая бизнес-логику?

5
Каковы уникальные аспекты жизненного цикла программного обеспечения атаки / инструмента на уязвимость программного обеспечения?
В моем местном университете есть небольшой студенческий компьютерный клуб, насчитывающий около 20 студентов. В клубе есть несколько небольших команд с особыми сферами деятельности, такими как разработка мобильных приложений, робототехника, разработка игр и взлом / безопасность. Я знакомлю вас с некоторыми основными концепциями гибкой разработки, такими как пользовательские истории, оценка сложности …

3
Поток OAuth2 - проверяет ли сервер с сервером аутентификации?
Я много читал об OAuth2, пытаясь разобраться в этом, но я все еще что-то путаю. Я понимаю, что клиент авторизуется у поставщика OAuth (например, Google) и позволяет серверу ресурсов иметь доступ к данным профиля пользователя. Затем клиент может отправить токен доступа на сервер ресурсов и получить его обратно. Но то, …
10 security  oauth2 

2
Слабые стороны 3-Strike Security
Я читал некоторую литературу по безопасности, в частности по безопасности паролей / шифрованию, и мне было интересно одно: правило 3-го удара - идеальное решение для защиты паролем? То есть, если количество попыток ввода пароля ограничено небольшим числом, после которого все запросы на проверку подлинности не будут выполняться, не защитит ли …
10 security 

2
Как я могу запретить программистам захватывать данные, введенные пользователями?
Я разрабатываю веб-приложение с упором на безопасность. Какие меры могут быть приняты, чтобы не дать тем, кто работает с приложением (программистам, администраторам баз данных, персоналу по обеспечению качества), захватывать введенные пользователем значения, которые должны быть надежно защищены, такие как пароли, номера социального страхования и т. Д.?
10 security 

4
Могут ли разработчики чему-то научиться, изучая вредоносное ПО? [закрыто]
Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения стека Exchange. Закрыто 4 года назад . Вредоносные программы используют интересные методы, позволяющие скрыться от антивирусных программ и многого другого. Они могут «полиморфировать» …

3
Что делают программисты в охранных фирмах?
Я слышал о фирмах безопасности, которые консультируют по вопросам безопасности систем клиентов. Все, кого я знаю в этой области, являются сетевыми инженерами, но я знаю, что программисты также участвуют в обеспечении безопасности. Что на самом деле делают программисты, которые проводят аудит / консалтинг? Проходят ли они буквально через кодовую базу …

2
Как избежать несанкционированного использования API?
Мне нужно разработать «виджет», скрипт, который партнеры будут вставлять на свои веб-сайты для отображения некоторого пользовательского интерфейса и выполнения вызовов нашего API. В основном он будет отображать наши данные на этих сайтах на основе некоторых идентификаторов, которые они предоставляют в наших вызовах API. Чего мы хотели бы избежать, так это …

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.