Pytania otagowane jako security

Tematy związane z bezpieczeństwem aplikacji i atakami na oprogramowanie. Nie używaj tego tagu sam, ponieważ powoduje to niejednoznaczność. Jeśli twoje pytanie nie dotyczy konkretnego problemu programistycznego, rozważ je zamiast tego w Information Security SE: https://security.stackexchange.com

7
Wyłącz zabezpieczenia internetowe między domenami w przeglądarce Firefox
W przeglądarce Firefox, jak zrobić odpowiednik --disable-web-securityw przeglądarce Chrome. To było często publikowane, ale nigdy nie jest to prawdziwa odpowiedź. Większość z nich to linki do dodatków (z których niektóre nie działają w najnowszym Firefoksie lub nie działają w ogóle) i „wystarczy włączyć obsługę na serwerze”. To jest tymczasowe do …
20
Usuń nagłówek odpowiedzi serwera IIS7
Czy istnieje sposób na usunięcie nagłówka odpowiedzi „Server” z usług IIS7? Jest kilka artykułów pokazujących, że używając HttpModules możemy osiągnąć to samo. Będzie to pomocne, jeśli nie mamy uprawnień administratora do serwera. Nie chcę też pisać filtru ISAPI. Mam uprawnienia administratora do mojego serwera. Więc nie chcę robić powyższych rzeczy. …
12
Pokonanie pokerowego bota
Zamknięte . To pytanie i odpowiedzi na nie są zablokowane, ponieważ pytanie jest niezwiązane z tematem, ale ma znaczenie historyczne. Obecnie nie przyjmuje nowych odpowiedzi ani interakcji. Pojawił się nowy pokerowy bot Open Source o nazwie PokerPirate . Interesują mnie wszelkie kreatywne sposoby, w jakie aplikacja internetowa mogłaby wykryć / …
2
Jak przeprowadzić uwierzytelnianie bezstanowe (bez sesji) i bez plików cookie?
Bob używa aplikacji internetowej, aby coś osiągnąć. I: Jego przeglądarka jest na diecie, dlatego nie obsługuje plików cookie . Aplikacja internetowa jest popularna, w danym momencie obsługuje wielu użytkowników - musi się dobrze skalować . Tak długo, jak utrzymywanie sesji nałożyłoby ograniczenie na liczbę jednoczesnych połączeń i oczywiście przyniosłoby znaczący …
7
AES vs Blowfish do szyfrowania plików
Chcę zaszyfrować plik binarny. Moim celem jest uniemożliwienie odczytania pliku każdemu, kto nie ma hasła. Które rozwiązanie jest lepsze, AES czy Blowfish z tą samą długością klucza? Można założyć, że atakujący ma duże zasoby (oprogramowanie, wiedzę, pieniądze) na złamanie pliku.
5
Jak bezpiecznie zapisać nazwę użytkownika / hasło (lokalnie)?
Tworzę aplikację Windows, do której musisz się najpierw zalogować. Szczegóły konta składają się z nazwy użytkownika i hasła i muszą być zapisane lokalnie. To tylko kwestia bezpieczeństwa, więc inne osoby korzystające z tego samego komputera nie widzą danych osobowych wszystkich. Jaki jest najlepszy / najbezpieczniejszy sposób zapisywania tych danych? Nie …
106 c#  security  local 
3
Funkcja skrótu w Pythonie 3.3 zwraca różne wyniki między sesjami
Zaimplementowałem BloomFilter w Pythonie 3.3 i otrzymałem różne wyniki podczas każdej sesji. Analiza tego dziwnego zachowania doprowadziła mnie do wewnętrznej funkcji hash () - zwraca ona różne wartości skrótu dla tego samego ciągu w każdej sesji. Przykład: >>> hash("235") -310569535015251310 ----- otwieranie nowej konsoli Pythona ----- >>> hash("235") -1900164331622581997 Dlaczego …
9
Jak przekazać wartość zmiennej na stdin polecenia?
Piszę skrypt powłoki, który powinien być nieco bezpieczny, tj. Nie przekazuje bezpiecznych danych przez parametry poleceń i najlepiej nie używa plików tymczasowych. Jak mogę przekazać zmienną do wejścia standardowego polecenia? A jeśli nie jest to możliwe, jak poprawnie wykorzystać pliki tymczasowe do takiego zadania?
105 security  bash  stdin 
2
Implementacja Google Authenticator w Pythonie
Próbuję użyć haseł jednorazowych, które można wygenerować za pomocą aplikacji Google Authenticator . Co robi Google Authenticator Zasadniczo Google Authenticator implementuje dwa typy haseł: HOTP - jednorazowe hasło oparte na HMAC, co oznacza, że ​​hasło jest zmieniane przy każdym połączeniu, zgodnie z RFC4226 , oraz TOTP - jednorazowe hasło czasowe, …
2
Ochrona CSRF z nagłówkiem CORS Origin vs. token CSRF
To pytanie dotyczy tylko ochrony przed atakami typu Cross Site Request Forgery. Chodzi w szczególności o: Czy ochrona za pośrednictwem nagłówka Origin (CORS) jest tak dobra, jak ochrona za pośrednictwem tokenu CSRF? Przykład: Alicja jest zalogowana (używając pliku cookie) w swojej przeglądarce na „ https://example.com ”. Zakładam, że korzysta z …
11
Dlaczego printf z jednym argumentem (bez specyfikatorów konwersji) jest przestarzały?
W książce, którą czytam, jest napisane, że printfpojedynczy argument (bez specyfikatorów konwersji) jest przestarzały. Zaleca się zastąpić printf("Hello World!"); z puts("Hello World!"); lub printf("%s", "Hello World!"); Czy ktoś może mi powiedzieć, dlaczego printf("Hello World!");się myli? W książce jest napisane, że zawiera luki. Co to za luki?
2
Klucze API a uwierzytelnianie HTTP vs OAuth w RESTful API
Pracuję nad zbudowaniem RESTful API dla jednej z aplikacji, które zarządzam. Obecnie szukamy różnych elementów, które wymagają bardziej kontrolowanego dostępu i bezpieczeństwa. Badając, jak zabezpieczyć API, znalazłem kilka różnych opinii na temat tego, jakiej formy użyć. Widziałem niektóre zasoby, które mówią, że HTTP-Auth jest drogą do zrobienia, podczas gdy inne …
2
Dlaczego standardowy czas trwania sesji wynosi 24 minuty (1440 sekund)?
Zrobiłem trochę badań na temat obsługi sesji PHP i znalazłem session.gc_maxlifetimewartość 1440 sekund. Zastanawiałem się, dlaczego standardowa wartość to 1440 i jak jest obliczana? Jaka jest podstawa tego obliczenia? Jak długo warto utrzymywać sesje? Jakie wartości min / max dla session.gc_maxlifetime byś polecił? Powiedziałbym, że im wyższa wartość, tym bardziej …
101 php  security  session 
3
Jak ograniczyć setAccessible tylko do „legalnych” zastosowań?
Im więcej poznawałem moc java.lang.reflect.AccessibleObject.setAccessible, tym bardziej jestem zdumiony tym, co on potrafi. Jest to zaadaptowane z mojej odpowiedzi na pytanie ( Używanie odbicia do zmiany statycznego pliku końcowego File.separatorChar do testowania jednostkowego ). import java.lang.reflect.*; public class EverythingIsTrue { static void setFinalStatic(Field field, Object newValue) throws Exception { field.setAccessible(true); …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.