Pytania otagowane jako security

W przypadku pytań związanych z kryptografią i bezpieczeństwem IT. Może to być bezpieczeństwo komputera, sieci lub bazy danych.

1
Jakie są najlepsze praktyki zabezpieczania internetowego interfejsu API?
Muszę zbudować interfejs API usługi sieci Web, aby nasza aplikacja mobilna mogła współpracować z naszym serwerem i bazą danych (w ASP.Net MVC 4, ale to nie jest istotne). Jeśli większość działań nie wymaga rejestracji użytkowników w naszym serwisie, chcielibyśmy ograniczyć dostęp tylko do użytkowników naszej aplikacji. Jakie są metody upewnienia …
7
Jakie szczególne uwagi są potrzebne przy projektowaniu baz danych do przechowywania dokumentacji finansowej?
Mam nadzieję, że to pytanie nie jest zbyt ogólne. W przyszłości może być konieczne dodanie niektórych systemów księgowych i finansowych do niektórych aplikacji (głównie aplikacji internetowych, ale moje pytania dotyczą również aplikacji komputerowych). Teraz utworzenie prostego rejestru transakcji finansowych jest teoretycznie łatwe. Jedna tabela bazy danych z kilkoma kolumnami może …
6
W jaki sposób duża firma popełnia błędy debiutanckie, które pozostawiają dziury w bezpieczeństwie? [Zamknięte]
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą fachową, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to pytanie można poprawić i ewentualnie ponownie otworzyć, odwiedź centrum pomocy w …
15 security  qa  mistakes 
2
Jaką odpowiedź HTTP powrócisz do trafienia z czarnej listy ip?
Używam http: BL do blokowania złych adresów IP przed dostępem do mojej witryny. Jeśli złośliwy adres IP (spamujący komentarz) próbuje trafić na stronę, to tylko exitskrypt internetowy, który domyślnie zwraca 200 OKodpowiedź. Inne odpowiedzi, które mógłbym zwrócić: 404 Nie Znaleziono? Jeśli zwrócę 404, być może roboty pomyślą: „To strata czasu, …
15 security 
2
Jak zapobiec traktowaniu mojego pliku wykonywalnego z AV jako zły lub wirus?
Tworzę program, który będzie działał w systemie Windows i będzie działał jak program uruchamiający grę, służąc jako automatyczna aktualizacja i weryfikator plików na komputerze klienckim. Jednej rzeczy nie rozumiem, dlaczego moje oprogramowanie antywirusowe (Avast) uważa mój plik exe za niebezpieczny i nie chce go uruchomić bez pytania o umieszczenie go …
12
Jak ważny jest certyfikat SSL dla strony internetowej?
Ja ładuję swój własny projekt, ma on obszar rejestracji / logowania (poprzez opracowanie z RoR, odpowiednio zaszyfrowany i zasolony oczywiście). Ponieważ korzystam z subdomen i muszę uzyskać do nich dostęp za pomocą ramek iframe (jest to naprawdę uzasadnione!) Potrzebuję jednego z tych drogich certyfikatów obejmujących subdomeny. Ponieważ robię to z …
14 security  ssl 
3
Bezpieczna aplikacja iPhone ↔ komunikacja z serwerem
Jakie byłoby najlepsze podejście do osiągnięcia prywatnej komunikacji między moją aplikacją iOS a jej składnikiem serwera? Czy wystarczy mieć jeden niezmienny „tajny klucz” zapisany w źródle aplikacji, czy też muszę w jakiś sposób dynamicznie konfigurować generacje takich „kluczy uzgadniania”? Sam serwer nie ma dostępu do żadnych wrażliwych danych, więc nawet …
4
Czy wewnętrzny kod powinien być współdzielony z innymi programistami w organizacji?
Tam, gdzie pracuję, mamy wielu programistów i strasznie dużo kodu uruchamiającego nasze zastrzeżone aplikacje, z których korzystają zarówno pracownicy, jak i klienci. Mamy też wielu inteligentnych pracowników pomocy technicznej, którzy lubią rozumieć wewnętrzne działanie naszych systemów, aby lepiej wspierać naszych klientów, a może nawet od czasu do czasu przesyłają łatkę. …
3
Czy to dobra praktyka ustawia parametry połączenia w konfiguracji internetowej?
Niedawno mam dyskusję z kilkoma moimi kolegami z mojej pracy, ponieważ powiedzieli, że lepiej jest mieć w .DLL zaszyfrowane połączenie łańcuchowe. I powiedziałem, dlaczego po prostu nie używać szyfrowanego połączenia zdefiniowanego w pliku web.config? to jest to samo i jest lepsze, ponieważ framework encji, na przykład szuka nazwy połączenia w …
5
Dlaczego potrzebujemy bezpieczeństwa na poziomie metody?
Dlaczego w świecie rzeczywistym musimy wdrażać zabezpieczenia na poziomie metod? Mamy aplikację internetową lub komputerową, w której użytkownik uzyskuje dostęp do interfejsu użytkownika (a zatem bezpośrednio nie może uzyskać dostępu do metody). Gdzie zatem pojawia się bezpośredni dostęp do metod? edytuj: Zadaję to pytanie, ponieważ eksperymentuję z zabezpieczeniami wiosennymi i …
14 security 
1
Czy mikrousługami powinni być użytkownicy?
Staramy się ustalić najlepszy sposób autoryzacji użytkowników w architekturze mikrousług, jednocześnie zapewniając ograniczone uprawnienia mikrousług. Nasza architektura korzysta z centralnej usługi autoryzacji do obsługi wydawania tokenów JWT. Mamy następujące wymagania: Użytkownicy powinni mieć ograniczone możliwości wykonywania określonych ról. np. użytkownik powinien mieć możliwość tworzenia / modyfikowania / czytania treści, które …
4
Co zrobić, gdy Twoja firma nie szyfruje haseł
tło Kontraktowano mnie, aby pomóc firmie w utrzymaniu serwera. Pracuję nad niektórymi mniejszymi projektami PHP, ale również sprawdzam problemy z wydajnością, a ostatnio skanuję dzienniki w poszukiwaniu hakerów. Ci faceci już od jakiegoś czasu pracują nad swoim serwerem i mają to, co nazwałbym starszą aplikacją. Wykorzystuje magiczne cytaty, zmienne globalne …
13 php  apache  security  mysql 
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.