Обновление: обратите внимание, я не спрашиваю, что такое соль, что такое радужная таблица, что такое словарная атака или какова цель соли. Я спрашиваю: если вы знаете, что пользователи используют соль и хэш, разве не легко вычислить их пароль? Я понимаю этот процесс и сам реализую его в некоторых...
Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow. Закрыт 2 года назад . Уточните этот вопрос Иногда и особенно очень часто при разработке...
Этот вопрос меня всегда волновал. В Linux при запросе пароля, если вы введете правильный пароль, он проверяет сразу, почти без задержки. Но, с другой стороны, если вы введете неправильный пароль, проверка займет больше времени. Это почему? Я наблюдал это во всех дистрибутивах Linux, которые...
Есть ли способ сгенерировать случайное число на основе минимума и максимума? Например, если min было 1, а max 20, он должен генерировать любое число от 1 до 20, включая 1 и 20?...
Я читал, нужно ли экранировать $ _SESSION ['username'] перед тем, как перейти к SQL-запросу? и он сказал: «Вам нужно экранировать каждую строку, которую вы передаете в запрос sql, независимо от ее происхождения». Теперь я знаю, что что-то вроде этого действительно простое. Поиск в Google дал более...
Чтобы сгенерировать 32-символьный токен для доступа к нашему API, мы в настоящее время используем: $token = md5(uniqid(mt_rand(), true)); Я читал, что этот метод не является криптографически безопасным, поскольку он основан на системных часах, и это openssl_random_pseudo_bytesбыло бы лучшим...
На данный момент получил основной класс: package com.recweb.springboot; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication /*@EnableAutoConfiguration(exclude={DataSourceAutoConfiguration.class})*/ public...
Мне трудно понять JAAS. Все кажется более сложным, чем должно быть (особенно учебники Sun). Мне нужен простой учебник или пример того, как реализовать безопасность (аутентификация + авторизация) в Java-приложении на основе Struts + Spring + Hibernate с настраиваемым пользовательским репозиторием....
У меня есть базовый класс контроллера MVC, к которому я применил атрибут Authorize, так как я хочу, чтобы почти все контроллеры (и их действия вместе) были авторизованы. Однако мне нужно, чтобы контроллер и действие другого контроллера были неавторизованными. Я хотел иметь возможность украсить их...
Мне нужно отображать внешние ресурсы, загруженные через междоменные запросы, и убедиться, что отображается только « безопасный » контент. Можно использовать Prototype String # stripScripts для удаления блоков скрипта. Но такие обработчики как onclickили onerrorвсе еще существуют. Есть ли...
Как бы вы смоделировали систему, которая обрабатывает разрешения для выполнения определенных действий внутри приложения?
Я создаю веб-службу, которая использует исключительно JSON для своего содержимого запроса и ответа (т.е. полезные нагрузки, не закодированные в форме). Уязвима ли веб-служба для атаки CSRF, если верно следующее? Любой POSTзапрос без объекта JSON верхнего уровня, например, {"foo":"bar"}будет...
Я работаю над приложением в ASP.NET, и мне было интересно, как я могу реализовать Password Reset функцию, если бы я хотел свернуть свою собственную. В частности, у меня есть следующие вопросы: Каков хороший способ создания уникального идентификатора, который трудно взломать? Должен ли быть к нему...
Я использую Spring Security 3.2 и Spring 4.0.1 Я работаю над преобразованием конфигурации xml в конфигурацию Java. Когда я аннотирование AuthenticationManagerс @Autowiredв моем фильтре, я получаю исключение Caused by: org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying...
У меня проблема с использованием вызова WCF из службы Windows в мою службу WCF, работающую на моем веб-сервере. Этот вызов работал несколько недель, но затем внезапно перестал работать и с тех пор не работал. Я получаю исключение: Произошла общая ошибка System.ServiceModel.CommunicationException:...
Я понимаю это strlcpyи strlcatбыли разработаны как безопасная замена для strncpyи strncat. Однако некоторые люди по-прежнему считают, что они небезопасны, и просто вызывают проблемы другого типа . Может ли кто-нибудь привести пример того, как использование strlcpyили strlcat(то есть функция,...
Я знаю, что защита REST API - это широко обсуждаемая тема, но я не могу создать небольшой прототип, который соответствует моим критериям (и мне нужно подтвердить, что эти критерии реалистичны). Есть так много вариантов, как защитить ресурсы и как работать с безопасностью Spring, мне нужно...
В spring-security-oauth2:2.4.0.RELEASEклассах , таких как OAuth2RestTemplate, OAuth2ProtectedResourceDetailsи ClientCredentialsAccessTokenProviderвсе были помечены как нежелательные. От javadoc для этих классов это указывает на руководство по миграции безопасности Spring, которое подсказывает, что...
Spring Security 5.2.2 включает проект Spring Security OAuth, но не AuthorizationServer или ResourceServer. Каковы замены для AuthorizationServer в Spring Security 5.2.2? OAuth-2,0-Migration-Guide Этот документ содержит руководство по перемещению клиентов и серверов ресурсов OAuth 2.0 из Spring...
Я хочу добавить многофакторную аутентификацию с помощью программных токенов TOTP в приложение Angular & Spring, сохранив все как можно ближе к значениям по умолчанию Spring Boot Security Starter . Проверка токена происходит локально (с помощью библиотеки aerogear-otp-java), стороннего...