Pytania otagowane jako security

W przypadku pytań związanych z kryptografią i bezpieczeństwem IT. Może to być bezpieczeństwo komputera, sieci lub bazy danych.

4
Nieudane próby logowania ujawniają hasła
Rozpocząłem rejestrowanie nieudanych prób logowania na mojej stronie za pomocą komunikatu typu Failed login attempt by qntmfred Zauważyłem, że niektóre z tych dzienników wyglądają Failed login attempt by qntmfredmypassword Zgaduję, że niektórzy ludzie mieli nieudane logowanie, ponieważ wpisali swoją nazwę użytkownika i hasło w polu nazwy użytkownika. Hasła są haszowane …
5
Jak łatwo włamać się do JavaScript (w przeglądarce)?
Moje pytanie dotyczy bezpieczeństwa JavaScript. Wyobraź sobie system uwierzytelniania, w którym używasz środowiska JavaScript, takiego jak Backbone lub AngularJS , i potrzebujesz bezpiecznych punktów końcowych. To nie jest problem, ponieważ serwer zawsze ma ostatnie słowo i sprawdzi, czy masz uprawnienia do robienia tego, co chcesz. Ale co, jeśli potrzebujesz trochę …
14
Co zrobić, jeśli znajdziesz lukę w witrynie konkurenta?
Pracując nad projektem dla mojej firmy, musiałem zbudować funkcjonalność, która pozwoli użytkownikom importować / eksportować dane do / z witryny naszego konkurenta. Robiąc to, odkryłem bardzo poważny exploit bezpieczeństwa, który w skrócie mógłby wykonać dowolny skrypt na stronie internetowej konkurenta. Moim naturalnym odczuciem jest zgłoszenie im problemu w duchu dobrej …
14
Co jeśli klient potrzebuje możliwości odzyskania haseł?
Obecnie odziedziczyłem aplikację w pracy i ku mojemu zdziwieniu zdałem sobie sprawę, że hasła użytkowników przechowywane w bazie danych są szyfrowane przy użyciu wewnętrznej funkcji szyfrowania, która obejmuje również możliwość deszyfrowania. Więc wszystko, co naprawdę trzeba zrobić, to skopiować tabelę użytkowników i skopiować zestaw szyfrowania (każdy z dostępem do produkcji …
6
Jaka jest dobra praktyka bezpieczeństwa przy przechowywaniu krytycznej bazy danych na laptopach programistów?
Mamy kilka danych: Programiści potrzebują repliki produkcyjnej bazy danych na swoich komputerach. Programiści mają hasło do wspomnianej bazy danych w plikach App.config. Nie chcemy, aby dane we wspomnianej bazie danych były zagrożone. Kilka sugerowanych rozwiązań i ich wady: Szyfrowanie całego dysku. To rozwiązuje wszystkie problemy, ale obniża wydajność laptopa, a …
6
Jak bezpieczne jest przechowywanie lokalne?
Pytanie mówi wszystko naprawdę. Chcę świadczyć usługę, ale nie chcę samodzielnie przechowywać żadnych danych w bazie danych. Biorąc pod uwagę wszystkie najnowsze wiadomości o hakowaniu itp., Wydaje mi się, że milej jest, gdy klienci mają pełną kontrolę nad swoimi danymi. Problem polega na tym, że przechowywane dane są potencjalnie wrażliwe. …
6
Aktualizacja skrótu hasła bez wymuszania nowego hasła dla istniejących użytkowników
Utrzymujesz istniejącą aplikację z ustaloną bazą użytkowników. Z czasem zdecydowano, że obecna technika haszowania haseł jest nieaktualna i wymaga aktualizacji. Ponadto, z powodów UX, nie chcesz, aby istniejący użytkownicy byli zmuszani do aktualizacji swojego hasła. Cała aktualizacja skrótu hasła musi odbywać się za ekranem. Załóżmy „uproszczony” model bazy danych dla …
5
Najlepsze praktyki wykonywania niezaufanego kodu
Mam projekt, w którym muszę pozwolić użytkownikom na uruchamianie na moim serwerze dowolnego, niezaufanego kodu Pythona ( trochę takiego ). Jestem całkiem nowy w Pythonie i chciałbym uniknąć błędów, które wprowadzają luki w zabezpieczeniach lub inne luki w systemie. Czy są dostępne najlepsze praktyki, zalecane lektury lub inne wskazówki, które …
14
Czy nauczanie nastolatków o wirusach programowych jest etyczne? [Zamknięte]
Zgłosiłem się na ochotnika, aby poinstruować klub komputerowy po szkole w gimnazjum mojego syna. Odnotowano duże zainteresowanie wirusami komputerowymi. Myślałem o pokazaniu im, jak stworzyć prostego wirusa plików wsadowych, który zainfekuje inne pliki wsadowe w tym samym katalogu. Pokaż także, w jaki sposób utworzenie pliku wsadowego o tej samej nazwie, …
31 security  ethics 
3
JSON Web Token - dlaczego ładunek jest publiczny?
Nie rozumiem powodu, dla którego oświadczenia / ładunek JWT są publicznie widoczne po odkodowaniu go przez base64. Czemu? Wydaje się, że znacznie bardziej przydatne byłoby zaszyfrowanie go sekretem. Czy ktoś może wyjaśnić, dlaczego lub w jakiej sytuacji upublicznienie tych danych jest przydatne?
3
Serwery sieciowe w trybie jądra: sprytna optymalizacja czy koszmar bezpieczeństwa?
Czytałem wątek Hacker News, w którym jeden użytkownik publikuje link z 2011 roku, wyjaśniając, że IIS jest znacznie szybszy niż większość innych serwerów (* nix). Inny użytkownik odpowiada, wyjaśniając, że IIS uzyskuje tę korzyść dzięki modułowi jądra o nazwie HTTP.sys . Według mojej wiedzy większość innych popularnych serwerów internetowych w …
1
Jeśli specyfikacja jest wadliwa, czy nadal należy jej przestrzegać?
Zostałem przydzielony do opracowania integracji jednej z aplikacji mojego pracodawcy z zewnętrznym systemem opracowanym przez naszego klienta. Specyfikacja naszego klienta dotycząca integracji, która ma pewne rażące wady związane z bezpieczeństwem. Usterki umożliwiłyby nieautoryzowanemu użytkownikowi dostęp do systemu w celu przeglądania ograniczonych danych. Zwróciłem uwagę na wady i potencjalne zagrożenia dla …
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.