Вопросы с тегом «security»

97
Какие переменные $ _SERVER безопасны?

Любая переменная, которой может управлять пользователь, также может контролировать злоумышленник и, следовательно, является источником атаки. Это называется "испорченной" переменной и небезопасно. При использовании $_SERVERможно управлять многими переменными. PHP_SELF, HTTP_USER_AGENT,...

96
Лучшая практика для генерации случайного токена для забытого пароля

Я хочу сгенерировать идентификатор забытого пароля. Я читал, что могу сделать это, используя метку времени с mt_rand (), но некоторые люди говорят, что метка времени может не быть уникальной каждый раз. Так что я здесь немного запутался. Могу ли я сделать это с использованием отметки времени?...

95
Мне нужно безопасно хранить имя пользователя и пароль в Python, каковы мои варианты? [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы на него можно было ответить с помощью фактов и цитат, отредактировав этот пост . Закрыт 5 дней назад . Уточните этот вопрос Я пишу небольшой скрипт Python,...

95
секрет клиента в OAuth 2.0

Чтобы использовать google drive api, мне нужно поиграть с аутентификацией с помощью OAuth2.0. И у меня есть несколько вопросов по этому поводу. Идентификатор клиента и секрет клиента используются для определения моего приложения. Но они должны быть жестко запрограммированы, если это клиентское...

95
Ошибка SSL: невозможно получить сертификат местного эмитента

У меня проблемы с настройкой SSL на 32-битном сервере Debian 6.0. Я относительно новичок в использовании SSL, так что терпите меня. Я включаю столько информации, сколько могу. Примечание. Настоящее доменное имя было изменено для защиты идентичности и целостности сервера. Конфигурация Сервер...

94
Как включить ведение журнала для Spring Security?

Я настраиваю Spring Security для обработки входа пользователей в систему. Я вошел в систему как пользователь и после успешного входа в систему попадаю на страницу с ошибкой «Доступ запрещен». Я не знаю, какие роли на самом деле были назначены моему пользователю, или правила, которое вызывает отказ...

94
Как работает уязвимость JPEG of Death?

Я читал о более старом эксплойте против GDI + в Windows XP и Windows Server 2003, который называется JPEG смерти для проекта, над которым я работаю. Эксплойт подробно описан в следующей ссылке: http://www.infosecwriters.com/text_resources/pdf/JPEG.pdf По сути, файл JPEG содержит раздел под...

94
Как создать хешированный пароль laravel

Я пытаюсь создать хешированный пароль для Laravel. Теперь кто-то сказал мне использовать хэш-помощник Laravel, но я не могу его найти или смотрю в неправильном направлении. Как создать хешированный пароль laravel? И где? Изменить: я знаю, что это за код, но я не знаю, где и как его использовать,...

93
Как ограничить изменение данных Firebase?

Firebase предоставляет серверную часть базы данных, чтобы разработчики могли сосредоточиться на коде на стороне клиента. Так что, если кто-то возьмет мой firebase uri (например, https://firebaseinstance.firebaseio.com), то разработайте его локально . Затем смогут ли они создать другое приложение...

93
Как можно проверить разрешение во время выполнения, не выбрасывая SecurityException?

Я разрабатываю функцию, которая может получать / устанавливать ресурс из SD, и если он не найден из SD, то беру его из Asset и, если возможно, записывает актив обратно в SD Эта функция может проверять вызовом метода, если SD установлен и доступен ... boolean bSDisAvalaible =...

93
Зачем использовать ключ и секрет API?

Я встречал множество API, которые предоставляют пользователю как ключ API, так и секрет . Но мой вопрос: в чем разница между ними? На мой взгляд, одного ключа может хватить. Скажем, у меня есть ключ, который знают только я и сервер. Я создаю хеш HMAC с этим ключом и выполняю вызов API. На сервере...

92
Каковы лучшие методы защиты административной части веб-сайта? [закрыто]

Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow. Закрыт 8 лет назад . Уточните этот вопрос Я хотел бы знать, что люди считают лучшей практикой для защиты разделов администрирования...

92
Как создать собственные методы для использования в аннотациях языка выражений безопасности Spring

Я хотел бы создать класс, который добавляет настраиваемые методы для использования в языке выражений безопасности Spring для авторизации на основе методов с помощью аннотаций. Например, я хотел бы создать собственный метод, такой как customMethodReturningBoolean, чтобы использовать его как-то так:...

92
Какие механизмы безопасности есть в Meteor? [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы на него можно было ответить с помощью фактов и цитат, отредактировав этот пост . Закрыт 7 лет назад . Уточните этот вопрос Все мы знаем, что Meteor предлагает...

92
Как защитить вызовы REST API?

Я разрабатываю успокаивающее веб-приложение, использующее какую-нибудь популярную веб-структуру на бэкэнде, скажем (rails, sinatra, flask, express.js). В идеале я хочу разработать клиентскую часть с помощью Backbone.js. Как разрешить только моей стороне клиента javascript взаимодействовать с этими...

91
Непонимание SSL и посредника

Я прочитал массу документации, связанной с этой проблемой, но все еще не могу собрать все воедино, поэтому я хотел бы задать пару вопросов. Прежде всего, я кратко опишу процедуру аутентификации, как я ее понимаю, поскольку могу ошибаться в этом отношении: клиент запускает соединение, на которое...

91
Недействительный токен CSRF 'null' был обнаружен в параметре запроса '_csrf' или заголовке 'X-CSRF-TOKEN'

После настройки Spring Security 3.2 _csrf.tokenне привязан к запросу или объекту сеанса. Это весенняя конфигурация безопасности: <http pattern="/login.jsp" security="none"/> <http> <intercept-url pattern="/**" access="ROLE_USER"/> <form-login login-page="/login.jsp"...