Inżynieria oprogramowania security

7

Cytaty za niewidoczność globalnie unikalnego hasła

Nie zgadzam się z kimś (klientem) w sprawie procesu identyfikacji / uwierzytelnienia użytkownika w systemie. Najważniejsze jest to, że chcą, aby każdy użytkownik miał globalnie unikalne hasło (tzn. Żaden z dwóch użytkowników nie może mieć tego samego hasła). Wyłożyłem wszystkie oczywiste argumenty przeciwko temu (jest to luka w zabezpieczeniach, myli …

20 security passwords

9

Czy „if password == XXXXXXX” wystarcza dla minimalnego bezpieczeństwa?

Jeśli utworzę login dla aplikacji o średnim lub niskim ryzyku bezpieczeństwa (innymi słowy, nie jest to aplikacja bankowa ani nic takiego), czy mogę zweryfikować hasło wprowadzone przez użytkownika, mówiąc tylko: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else DisplayPasswordUnknownMessage(); Wydaje się, że łatwo jest być skutecznym, ale z pewnością nie miałbym nic przeciwko, …

20 security passwords validation

6

Co sprawia, że algorytm mieszający jest „bezpieczny”?

Po przeczytaniu tego interesującego pytania poczułem, że mam dobry pomysł, który niepewny algorytm mieszający użyłbym, gdybym go potrzebował, ale nie mam pojęcia, dlaczego zamiast tego mogę użyć bezpiecznego algorytmu. Jakie jest zatem rozróżnienie? Czy wynik nie jest tylko liczbą losową reprezentującą zaszyfrowaną rzecz? Co sprawia, że niektóre algorytmy mieszające są …

19 security hashing

13

Czy używanie ELSE jest złym programowaniem? [Zamknięte]

Trudno powiedzieć, o co tu pytają. To pytanie jest dwuznaczne, niejasne, niepełne, zbyt szerokie lub retoryczne i na obecną formę nie można w rozsądny sposób odpowiedzieć. Aby uzyskać pomoc w wyjaśnieniu tego pytania, aby można je było ponownie otworzyć, odwiedź centrum pomocy . Zamknięte 7 lat temu . Często spotykam …

18 self-improvement programming-practices security

2

Czy powinienem przechowywać roszczenia użytkowników w tokenie JWT?

Korzystam z tokenów JWT w nagłówkach HTTP do uwierzytelniania żądań do serwera zasobów. Serwer zasobów i serwer uwierzytelniania to dwie osobne role robocze na platformie Azure. Nie mogę się zdecydować, czy mam przechowywać roszczenia w tokenie, czy dołączyć je do żądania / odpowiedzi w inny sposób. Lista roszczeń wpływa na …

18 security http authentication authorization

5

„Forgot Password” - jak sobie z tym poradzić?

Przeczytałem tę odpowiedź i znalazłem komentarz nalegający, aby nie wysyłać hasła e-mailem: hasła nie powinny być możliwe do odzyskania przez e-mail, nienawidzę tego. Oznacza to, że moje hasło jest gdzieś zapisane jako zwykły tekst. należy go zresetować. To nasuwa mi pytanie o obsługę opcji Forgot Password? Za wszelką cenę surowe …

18 programming-practices security email passwords

1

Czy istnieje oficjalny standard dotyczący praktyk przechowywania haseł użytkowników?

Niedawno skorzystałem z usługi rządowej, z której miałem konto od lat temu. Nie mogłem zapamiętać mojego hasła do usługi, więc skorzystałem z linku „zapomniałem hasła” i byłem zaskoczony, że ta rządowa witryna wysłała moje hasło na mój adres e-mail zwykłym tekstem. Jestem osobiście świadomy tego, jak radzić sobie z hasłami …

17 security standards passwords

2

Czy ładunki danych UDP powinny zawierać CRC?

W firmie, w której kiedyś pracowałem, musiałem zaimplementować odbiornik gniazdowy, który przeważnie pobierał dane w postaci UDP przez połączenie lokalne z jakiegoś specjalistycznego sprzętu czujnikowego. Dane, o których mowa, były dobrze uformowanym pakietem UDP, ale co ciekawe, ładunek danych zawsze kończył się sumą kontrolną CRC16 utworzoną przy użyciu reszty danych. …

16 security networking data-integrity

1

Zabezpieczenia interfejsu API REST: HMAC / skrót hash vs JWT

Właśnie przeczytałem ten artykuł, który ma kilka lat, ale opisuje sprytny sposób zabezpieczenia interfejsów API REST. Głównie: Każdy klient ma unikalną parę kluczy publiczny / prywatny Tylko klient i serwer znają klucz prywatny; nigdy nie jest przesyłany za pośrednictwem drutu Przy każdym żądaniu klient pobiera kilka danych wejściowych (całe samo …

16 security rest authentication keys hmac

4

Dlaczego niektóre witryny zapobiegają spacjom w hasłach?

Wydaje się to mniej powszechne w przypadku nowszych witryn, ale wiele witryn, na których potrzebuję konta (np. Do płacenia rachunków itp.), Uniemożliwia mi utworzenie hasła ze spacjami. To tylko utrudnia zapamiętywanie i nie jestem świadomy żadnych ograniczeń bazy danych lub programowania dotyczących spacji w hasłach, zaszyfrowanych lub (wbrew niebiosom) w …

16 security login privacy

6

Co by się naprawdę stało, gdyby java.lang.String nie były ostateczne?

Jestem długoletnim programistą Java i wreszcie, po ukończeniu studiów, mam czas na przyzwoite przestudiowanie go, aby przystąpić do egzaminu certyfikacyjnego ... Jedną z rzeczy, które zawsze mnie niepokoiły, jest to, że String jest „ostateczny”. Rozumiem to, kiedy poczytam o kwestiach bezpieczeństwa i pokrewnych rzeczach ... Ale, na serio, czy ktoś …

16 java security

9

Ile dostępu do bazy danych powinni mieć programiści? [Zamknięte]

Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post . Zamknięte 5 lat temu . Pracowałem więc w wielu różnych miejscach pracy jako programista i mój poziom dostępu do bazy …

16 database security access

7

Dlaczego SSL / TLS nie jest wbudowany w nowoczesne systemy operacyjne?

Wiele podstawowych protokołów sieciowych tworzących infrastrukturę Internetu jest wbudowanych w większość głównych systemów operacyjnych. Na przykład, TCP, UDP i DNS są wbudowane w Linux, UNIX i Windows i są udostępniane programiście za pośrednictwem interfejsów API niskiego poziomu. Ale jeśli chodzi o SSL lub TLS, należy zwrócić się do biblioteki innej …

16 security operating-systems protocol ssl

6

Jak zapewnić użytkownikom, że witryna i hasła są bezpieczne [zamknięte]

Zamknięte . To pytanie jest oparte na opiniach . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było na nie odpowiedzieć faktami i cytatami, edytując ten post . Zamknięte 4 lata temu . Na niezawodnych stronach internetowych zawsze widzę oświadczenia, takie jak „Wszystkie dane są szyfrowane” …

15 security ethics encryption passwords hashing

4

Jak bezpiecznie wdrożyć automatyczne logowanie

Przeczytałem wiele, wiele, wiele postów o tym, jak „prawdopodobnie źle przechowujesz hasła”. Zawsze odnoszą się do przechowywania haseł na serwerze, na którym loguje się użytkownik; w zasadzie odmieniają (zamierzone słowa) wszechobecne porady, takie jak upewnij się, że słone hasła itp. itp. Jednak nigdy nie widziałem artykułu na temat najlepszych praktyk …

15 security login

Pytania otagowane jako security