Pytania otagowane jako security

W przypadku pytań związanych z kryptografią i bezpieczeństwem IT. Może to być bezpieczeństwo komputera, sieci lub bazy danych.

7
Czy prywatne, niemożliwe do odczytania adresy URL są równoważne z uwierzytelnianiem za pomocą hasła?
Chcę udostępnić zasób w sieci. Chcę chronić ten zasób: aby upewnić się, że jest on dostępny tylko dla niektórych osób. Mogę skonfigurować uwierzytelnianie oparte na haśle . Na przykład mogłem zezwolić na dostęp do zasobu tylko za pośrednictwem serwera WWW, który sprawdza przychodzące żądania poprawnych danych uwierzytelniających (być może w …
7
Jesteś zatrudniony, aby naprawić mały błąd w witrynie wymagającej dużych zabezpieczeń. Patrząc na kod, jest wypełniony dziurami w zabezpieczeniach. Co robisz? [Zamknięte]
Zostałem zatrudniony przez kogoś do drobnych prac na stronie. To strona dla dużej firmy. Zawiera bardzo wrażliwe dane, więc bezpieczeństwo jest bardzo ważne. Po przeanalizowaniu kodu zauważyłem, że jest on wypełniony lukami w zabezpieczeniach - czytaj, wiele plików PHP rzuca dane wejściowe użytkownika bezpośrednio do żądań mysql i poleceń systemowych. …
3
Zabezpieczenia interfejsu API REST Przechowywany token vs JWT vs OAuth
Wciąż próbuję znaleźć najlepsze rozwiązanie bezpieczeństwa do ochrony interfejsu API REST, ponieważ liczba aplikacji mobilnych i interfejsu API rośnie z każdym dniem. Próbowałem różnych sposobów uwierzytelniania, ale nadal mam pewne nieporozumienia, dlatego potrzebuję porady kogoś bardziej doświadczonego. Pozwól mi powiedzieć, jak rozumiem te wszystkie rzeczy. Jeśli coś rozumiem źle, daj …
104 security  rest  api  oauth  https 
8
Jak zabezpieczyć interfejs API REST tylko dla zaufanych aplikacji mobilnych
Jak mogę się upewnić, że mój interfejs API REST odpowiada tylko na żądania generowane przez zaufanych klientów, w moim przypadku moje własne aplikacje mobilne? Chcę zapobiec niechcianym żądaniom pochodzącym z innych źródeł. Nie chcę, aby użytkownicy wpisywali klucz szeregowy lub cokolwiek innego, powinno to nastąpić za kulisami, podczas instalacji i …
96 security  rest  mobile 
7
Jak roboty mogą pokonać CAPTCHA?
Mam formularz e-mail strony internetowej. Używam niestandardowego CAPTCHA, aby zapobiec spamowi robotów. Mimo to nadal otrzymuję spam. Dlaczego? W jaki sposób roboty pokonują CAPTCHA? Czy używają jakiegoś zaawansowanego OCR, czy po prostu szukają rozwiązania z miejsca, w którym są przechowywane? Jak mogę temu zapobiec? Czy powinienem przejść na inny rodzaj …
84 security  captcha 
17
Jak można chronić oprogramowanie przed piractwem?
Dlaczego piractwo wydaje się takie łatwe? Wydaje się trochę trudno uwierzyć, że przy wszystkich naszych postępach technologicznych i miliardach dolarów wydanych na opracowanie najbardziej niewiarygodnego i oszałamiającego oprogramowania, nadal nie mamy innych sposobów ochrony przed piractwem niż „numer seryjny / klucz aktywacyjny” „. Jestem pewien, że mnóstwo pieniędzy, może nawet …
76 security 
15
Czy jest jakiś powód, aby nie przechodzić bezpośrednio z kodu JavaScript po stronie klienta do bazy danych?
Możliwa duplikat: pisanie internetowych aplikacji „bez serwera” Powiedzmy, że zbuduję klon Stack Exchange i zdecyduję się użyć czegoś takiego jak CouchDB jako mojego sklepu z zapleczem. Jeśli korzystam z wbudowanego uwierzytelniania i autoryzacji na poziomie bazy danych, to czy jest jakiś powód, aby nie pozwalać skryptowi JavaScript po stronie klienta …
14
Dlaczego mechanizm zapobiegania iniekcji SQL ewoluował w kierunku używania sparametryzowanych zapytań?
Z mojego punktu widzenia atakom wstrzykiwania SQL można zapobiec poprzez: Dokładne przeglądanie, filtrowanie, kodowanie danych wejściowych (przed wstawieniem do SQL) Korzystanie z przygotowanych instrukcji / sparametryzowanych zapytań Przypuszczam, że każdy ma swoje zalety i wady, ale dlaczego numer 2 wystartował i został uznany za mniej więcej faktyczny sposób zapobiegania atakom …
9
Dlaczego nie ujawnić klucza podstawowego
W mojej edukacji powiedziano mi, że wadliwym pomysłem jest udostępnianie użytkownikowi rzeczywistych kluczy podstawowych (nie tylko kluczy DB, ale wszystkich głównych akcesorów). Zawsze myślałem, że to problem z bezpieczeństwem (ponieważ osoba atakująca może próbować czytać rzeczy, które nie są ich własnością). Teraz muszę sprawdzić, czy użytkownik może mimo to uzyskać …
8
Dlaczego prawie nie ma hashów stron internetowych w kliencie przed przesłaniem (i zaszyfrowaniem ich ponownie na serwerze), aby „chronić” przed ponownym użyciem hasła?
Istnieje wiele witryn w Internecie, które wymagają danych logowania, a jedynym sposobem ochrony przed ponownym użyciem hasła jest „obietnica”, że hasła są mieszane na serwerze, co nie zawsze jest prawdziwe. Zastanawiam się więc, jak trudno jest stworzyć stronę internetową, która haszy hasła na komputerze klienckim (z Javascriptem), zanim wyśle ​​je …
7
Czy ślad stosu powinien znajdować się w komunikacie o błędzie przedstawionym użytkownikowi?
Mam kłótnię w miejscu pracy i staram się dowiedzieć, kto ma rację i co należy zrobić. Kontekst: intranetowa aplikacja internetowa, której nasi klienci używają do księgowości i innych rzeczy ERP. Uważam, że komunikat o błędzie wyświetlany użytkownikowi (gdy wystąpi awaria) powinien zawierać jak najwięcej informacji, w tym ślad stosu. Oczywiście …
2
Kontrola dostępu oparta na rolach a uprawnieniami
Próbuję zrozumieć nieodłączny kompromis między rolami i uprawnieniami, jeśli chodzi o kontrolę dostępu (autoryzację). Zacznijmy od danego: w naszym systemie pozwolenie będzie drobnoziarnistą jednostką dostępu („ Edytuj zasób X ”, „ Uzyskaj dostęp do strony panelu kontrolnego ” itp.). Rola będzie zbiorem 1+ uprawnienia. Użytkownik może mieć 1+ role. Wszystkie …
13
Jak bezpieczne jest kompilowanie fragmentu kodu źródłowego od przypadkowego nieznajomego? [Zamknięte]
Załóżmy, że sprawdzam kod, który wysyłają kandydaci, aby udowodnić swoje umiejętności. Oczywiście nie chcę uruchamiać plików wykonywalnych, które wysyłają. Nie tak wyraźnie, wolałbym nie uruchamiać wyniku kompilacji ich kodu (na przykład Java pozwala ukryć kod wykonywalny w komentarzach ). A co ze skompilowaniem ich kodu? Chcę ostrzeżenia kompilatora, jeśli w …
9
Poszukuję mocnego argumentu przemawiającego za oprogramowaniem antywirusowym na komputerach programistycznych [zamknięte]
Formułując opinie, dobrym zwyczajem jest podążanie za tradycją scholastyczną - uważaj, jak możesz, wbrew posiadanej opinii i staraj się znaleźć kontrargumenty. Jednak bez względu na to, jak bardzo się staram, po prostu nie mogę znaleźć rozsądnych argumentów przemawiających za programem antywirusowym (i powiązanymi środkami bezpieczeństwa) na komputerach programistycznych. Argumenty przeciwko …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.