Pytania otagowane jako security

Tematy związane z bezpieczeństwem aplikacji i atakami na oprogramowanie. Nie używaj tego tagu sam, ponieważ powoduje to niejednoznaczność. Jeśli twoje pytanie nie dotyczy konkretnego problemu programistycznego, rozważ je zamiast tego w Information Security SE: https://security.stackexchange.com

6
Jak zapobiec wykonywaniu zrzutu ekranu przez Androida, gdy moja aplikacja działa w tle?
Aplikacja, którą obecnie tworzę, ma wymaganie, aby aplikacja uniemożliwiła systemowi operacyjnemu wykonanie zrzutu ekranu aplikacji, gdy jest ona umieszczana w tle ze względów bezpieczeństwa. W ten sposób nie będzie mógł zobaczyć ostatniego aktywnego ekranu podczas przełączania się między aplikacjami. Planuję umieścić tę funkcjonalność w metodzie onPause klasy aplikacji, ale najpierw …
4
Sprawdzone metody: solenie i pieprzanie haseł?
Natknąłem się na dyskusję, w której dowiedziałem się, że to, co robię, nie jest w rzeczywistości soleniem haseł, ale ich pieprzeniem, i od tego czasu zacząłem robić obie funkcje takie jak: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] Ignorując wybrany algorytm skrótu (chcę, aby było to omówienie soli i papryki, a nie konkretnych algorytmów, …
5
Naprawianie / przechwytywanie sesji PHP
Próbuję dowiedzieć się więcej o naprawianiu sesji PHP i przechwytywaniu oraz o sposobach zapobiegania tym problemom. Czytałem następujące dwa artykuły na stronie Chrisa Shifletta: Utrwalanie sesji Session Hijacking Jednak nie jestem pewien, czy dobrze rozumiem. Aby zapobiec utrwalaniu sesji, wystarczy wywołać session_regenerate_id (true); po pomyślnym zalogowaniu się kogoś? Myślę, że …
2
W jaki sposób widżety Google+ +1 wyłamują się z ramek iframe?
W jakiś sposób umieszczenie kursora myszy nad widżetem Google+ plus jeden może wprowadzić umowę typu podpowiedź, która jest wyraźnie większa niż <iframe>element, w którym się znajduje. Sprawdziłem DOM, aby to potwierdzić. * Więc: Co? W jaki sposób!? Czy nie jest to ogromna okazja do przechwytywania kliknięć, jeśli jest używana złośliwie? …
9
Jak zezwolić na zawartość http w elemencie iframe w witrynie https
Ładuję kod HTML do elementu iframe, ale gdy plik, do którego się odwołuje, używa protokołu http, a nie https, pojawia się następujący błąd: [zablokowano] Strona pod adresem {current_pagename} zawiera niezabezpieczone treści z {referenced_filename} Czy jest jakiś sposób, aby to wyłączyć lub jak to obejść? Element iframe nie ma srcatrybutu, a …
145 html  security  http  iframe  https 
3
POSTING formularza między domenami
Widziałem artykuły i posty (w tym SO) na ten temat, a dominującym komentarzem jest to, że polityka tego samego pochodzenia zapobiega wysyłaniu formularza POST w różnych domenach. Jedyne miejsce, w którym ktoś sugerował, że polityka tego samego pochodzenia nie dotyczy postów formularzy, jest tutaj . Chciałbym otrzymać odpowiedź z bardziej …
11
Gra na Androida ciągle się atakuje [zamknięty]
Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post . Zamknięte 2 lata temu . Popraw to pytanie Więc już kilka razy przez to przechodziliśmy, wypuszczamy grę (za tanią), a …
11
Testowanie jednostkowe za pomocą Spring Security
Moja firma oceniała Spring MVC, aby określić, czy powinniśmy go użyć w jednym z naszych następnych projektów. Jak dotąd podoba mi się to, co widziałem, a teraz przyglądam się modułowi Spring Security, aby określić, czy jest to coś, czego możemy / powinniśmy użyć. Nasze wymagania dotyczące bezpieczeństwa są dość podstawowe; …
9
Różnica między haszowaniem hasła a szyfrowaniem go
Obecnie najwięcej głosów na to pytanie brzmi: Kolejna, która nie jest tak bardzo kwestią bezpieczeństwa, chociaż jest związana z bezpieczeństwem, jest kompletna i skrajna porażka zrozumieć różnicę między haszowaniem hasła a jego szyfrowaniem . Najczęściej spotykane w kodzie, w którym programista próbuje udostępnić niebezpieczną funkcję „Przypomnij mi moje hasło”. Na …
7
Ujawnianie identyfikatorów baz danych - zagrożenie bezpieczeństwa?
Słyszałem, że ujawnianie identyfikatorów baz danych (na przykład w adresach URL) jest zagrożeniem dla bezpieczeństwa, ale nie rozumiem, dlaczego. Jakieś opinie lub linki na temat tego, dlaczego jest to ryzyko lub dlaczego tak nie jest? EDYCJA: oczywiście dostęp jest ograniczony, np. Jeśli nie widzisz zasobu foo?id=123, pojawi się strona błędu. …
140 database  security 
18
Czy mogę zabezpieczyć się przed wstrzyknięciem SQL, unikając apostrofów i otaczających dane wejściowe użytkownika apostrofami?
Zdaję sobie sprawę, że sparametryzowane zapytania SQL są optymalnym sposobem oczyszczenia danych wejściowych użytkownika podczas tworzenia zapytań zawierających dane wejściowe użytkownika, ale zastanawiam się, co jest złego w przyjmowaniu danych wejściowych użytkownika i unikaniu pojedynczych cudzysłowów i otaczaniu całego ciągu pojedynczymi cudzysłowami. Oto kod: sSanitizedInput = "'" & Replace(sInput, "'", …
6
Czy istnieje sposób umieszczenia złośliwego kodu w wyrażeniu regularnym?
Chcę dodać możliwość wyszukiwania wyrażeń regularnych do mojej publicznej strony internetowej. Czy oprócz kodowania danych wyjściowych w formacie HTML muszę robić cokolwiek, aby zabezpieczyć się przed wprowadzaniem danych przez złośliwego użytkownika? Wyszukiwania Google są zalewane przez ludzi rozwiązujących odwrotny problem - używając wyrażeń regularnych do wykrywania złośliwych danych wejściowych - …
138 regex  security 
14
Sekrety OAuth w aplikacjach mobilnych
Korzystając z protokołu OAuth, potrzebujesz tajnego ciągu znaków uzyskanego z usługi, do której chcesz delegować. Jeśli robisz to w aplikacji internetowej, możesz po prostu przechowywać sekret w swojej bazie danych lub w systemie plików, ale jaki jest najlepszy sposób obsługi tego w aplikacji mobilnej (lub aplikacji komputerowej)? Przechowywanie ciągu znaków …
3
Jak działają klucze API i tajne klucze? Czy byłoby bezpieczne, gdybym musiał przekazać moje API i tajne klucze do innej aplikacji?
Właśnie zaczynam myśleć o tym, jak działają klucze API i tajne klucze. Zaledwie 2 dni temu zarejestrowałem się w Amazon S3 i zainstalowałem wtyczkę S3Fox . Poprosili mnie o mój klucz dostępu i tajny klucz dostępu, które wymagają zalogowania się, aby uzyskać dostęp. Zastanawiam się więc, jeśli proszą mnie o …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.