Вопросы с тегом «security»

Темы, касающиеся безопасности приложений и атак на программное обеспечение. Пожалуйста, не используйте этот тег в одиночку, что приводит к неоднозначности. Если ваш вопрос не о конкретной проблеме программирования, попробуйте вместо этого задать ее на информационной безопасности SE: https://security.stackexchange.com

5373
Полное руководство по аутентификации веб-сайтов на основе форм [закрыто]

Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 3 года назад . Аутентификация на основе форм для веб-сайтов Мы...

3423
Почему char [] предпочтительнее, чем String для паролей?

В Swing поле пароля имеет метод getPassword()(return char[]) вместо обычного getText()(return String) метода. Точно так же я натолкнулся на предложение не использовать Stringдля обработки паролей. Почему возникает Stringугроза безопасности, когда речь идет о паролях? Это неудобно в использовании...

2773
Как я могу предотвратить внедрение SQL в PHP?

Ответы на этот вопрос - работа сообщества . Отредактируйте существующие ответы, чтобы улучшить этот пост. В настоящее время он не принимает новые ответы или взаимодействия. На этот вопрос есть ответы на Переполнение стека на русском : Каким образом избежать SQL-инъекций в PHP? Если...

1451
Транспортная безопасность заблокировала открытый текст HTTP

Какие настройки мне нужно info.plistвключить, чтобы включить режим HTTP согласно следующему сообщению об ошибке? Безопасность транспорта заблокировала загрузку ресурса HTTP (http: //) в виде открытого текста, поскольку она небезопасна. Временные исключения можно настроить с помощью файла Info.plist...

1344
Как я должен этически подходить к хранению пароля пользователя для последующего получения открытого текста?

Locked . Этот вопрос и его ответы заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Поскольку я продолжаю создавать все больше и больше веб-сайтов и веб-приложений, меня часто просят хранить пароли...

1174
Безопасный хэш и соль для паролей PHP

В настоящее время говорят, что MD5 частично небезопасен. Учитывая это, я хотел бы знать, какой механизм использовать для защиты паролем. Этот вопрос, является ли «двойное хеширование» паролем менее безопасным, чем однократное хеширование? предполагает, что хэширование несколько раз может быть...

1094
Как работает SQL-инъекция из комикса XKCD «Таблицы Бобби»?

Просто смотрю на: (Источник: https://xkcd.com/327/ ) Что делает этот SQL: Robert'); DROP TABLE STUDENTS; -- Я знаю и то, 'и другое --для комментариев, но разве это слово тоже не DROPкомментируется, поскольку оно является частью одной...

829
Рекомендации по защите REST API / веб-службы [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 2 года назад . При разработке REST API или службы существуют ли лучшие рекомендации по...

764
Как избежать обратного инжиниринга файла APK?

Я занимаюсь разработкой приложения для обработки платежей для Android и хочу запретить хакеру доступ к любым ресурсам, ресурсам или исходному коду из файла APK . Если кто-то изменяет расширение .apk на .zip, то он может разархивировать его и легко получить доступ ко всем ресурсам и активам...

660
Достаточно ли подготовленных операторов PDO для предотвращения внедрения SQL?

Допустим, у меня есть такой код: $dbh = new PDO("blahblah"); $stmt = $dbh->prepare('SELECT * FROM users where username = :username'); $stmt->execute( array(':username' => $_REQUEST['username']) ); Документация PDO гласит: Параметры для подготовленных утверждений не должны быть указаны;...

654
Почему у OAuth v2 есть токены доступа и обновления?

Раздел 4.2 проекта протокола OAuth 2.0 указывает, что сервер авторизации может возвращать как access_token(который используется для аутентификации себя с помощью ресурса), так и a refresh_token, который используется исключительно для создания нового access_token:...

644
SQL-инъекция, которая обходит mysql_real_escape_string ()

Есть ли возможность SQL-инъекции даже при использовании mysql_real_escape_string()функции? Рассмотрим этот пример ситуации. SQL построен на PHP следующим образом: $login = mysql_real_escape_string(GetFromPost('login')); $password = mysql_real_escape_string(GetFromPost('password')); $sql = "SELECT *...

628
Создайте нового пользователя в MySQL и предоставьте ему полный доступ к одной базе данных.

Я хочу создать нового пользователя в MySQL и дать ему полный доступ только к одной базе данных, скажем dbTest, которую я создаю с помощью команды like create database dbTest;. Какими будут команды MySQL для...

617
Как bcrypt может иметь встроенные соли?

В статье Coda Hale «Как безопасно хранить пароль» утверждается, что: В bcrypt встроены соли для предотвращения атак с радужного стола. Он цитирует эту статью , в которой говорится, что в реализации OpenBSD bcrypt: OpenBSD генерирует 128-битную соль bcrypt из ключевого потока arcfour (arc4random...

600
Заголовки HTTPS зашифрованы?

Когда я отправляю данные по HTTPS, я знаю, что контент зашифрован, однако я слышу смешанные ответы о том, зашифрованы ли заголовки или какая часть заголовка зашифрована. Сколько HTTPS заголовки будут зашифрованы? Включая URL-адреса запроса GET / POST, файлы cookie и т....

556
SecurityError: заблокирован фрейм с источником от доступа к фрейму кросс-происхождения

Я загружаю <iframe> в свою HTML-страницу и пытаюсь получить доступ к элементам внутри нее, используя Javascript, но когда я пытаюсь выполнить свой код, я получаю следующую ошибку: SecurityError: Blocked a frame with origin "http://www.<domain>.com" from accessing a cross-origin frame....