Вопросы с тегом «security»

85
Почему соли делают словарные атаки «невозможными»?

Обновление: обратите внимание, я не спрашиваю, что такое соль, что такое радужная таблица, что такое словарная атака или какова цель соли. Я спрашиваю: если вы знаете, что пользователи используют соль и хэш, разве не легко вычислить их пароль? Я понимаю этот процесс и сам реализую его в некоторых...

85
Применяется ли использование badidea или thisisunsafe для обхода ошибки сертификата Chrome / HSTS только для текущего сайта? [закрыто]

Закрыто. Этот вопрос не соответствует рекомендациям по переполнению стека . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме Stack Overflow. Закрыт 2 года назад . Уточните этот вопрос Иногда и особенно очень часто при разработке...

84
Почему проверка неправильного пароля должна занимать больше времени, чем проверка правильного?

Этот вопрос меня всегда волновал. В Linux при запросе пароля, если вы введете правильный пароль, он проверяет сразу, почти без задержки. Но, с другой стороны, если вы введете неправильный пароль, проверка займет больше времени. Это почему? Я наблюдал это во всех дистрибутивах Linux, которые...

84
Что значит экранировать строку?

Я читал, нужно ли экранировать $ _SESSION ['username'] перед тем, как перейти к SQL-запросу? и он сказал: «Вам нужно экранировать каждую строку, которую вы передаете в запрос sql, независимо от ее происхождения». Теперь я знаю, что что-то вроде этого действительно простое. Поиск в Google дал более...

84
Генерация криптографически безопасных токенов

Чтобы сгенерировать 32-символьный токен для доступа к нашему API, мы в настоящее время используем: $token = md5(uniqid(mt_rand(), true)); Я читал, что этот метод не является криптографически безопасным, поскольку он основан на системных часах, и это openssl_random_pseudo_bytesбыло бы лучшим...

83
JAAS для людей

Мне трудно понять JAAS. Все кажется более сложным, чем должно быть (особенно учебники Sun). Мне нужен простой учебник или пример того, как реализовать безопасность (аутентификация + авторизация) в Java-приложении на основе Struts + Spring + Hibernate с настраиваемым пользовательским репозиторием....

83
Переопределить атрибут авторизации в ASP.NET MVC

У меня есть базовый класс контроллера MVC, к которому я применил атрибут Authorize, так как я хочу, чтобы почти все контроллеры (и их действия вместе) были авторизованы. Однако мне нужно, чтобы контроллер и действие другого контроллера были неавторизованными. Я хотел иметь возможность украсить их...

82
Очистить / перезаписать HTML на стороне клиента

Мне нужно отображать внешние ресурсы, загруженные через междоменные запросы, и убедиться, что отображается только « безопасный » контент. Можно использовать Prototype String # stripScripts для удаления блоков скрипта. Но такие обработчики как onclickили onerrorвсе еще существуют. Есть ли...

82
Уязвимы ли веб-сервисы JSON для атак CSRF?

Я создаю веб-службу, которая использует исключительно JSON для своего содержимого запроса и ответа (т.е. полезные нагрузки, не закодированные в форме). Уязвима ли веб-служба для атаки CSRF, если верно следующее? Любой POSTзапрос без объекта JSON верхнего уровня, например, {"foo":"bar"}будет...

81
Как осуществить сброс пароля?

Я работаю над приложением в ASP.NET, и мне было интересно, как я могу реализовать Password Reset функцию, если бы я хотел свернуть свою собственную. В частности, у меня есть следующие вопросы: Каков хороший способ создания уникального идентификатора, который трудно взломать? Должен ли быть к нему...

81
Как внедрить AuthenticationManager с помощью конфигурации Java в настраиваемом фильтре

Я использую Spring Security 3.2 и Spring 4.0.1 Я работаю над преобразованием конфигурации xml в конфигурацию Java. Когда я аннотирование AuthenticationManagerс @Autowiredв моем фильтре, я получаю исключение Caused by: org.springframework.beans.factory.NoSuchBeanDefinitionException: No qualifying...

80
Ошибка WCF «Это может быть связано с тем, что сертификат сервера неправильно настроен с HTTP.SYS в случае HTTPS»

У меня проблема с использованием вызова WCF из службы Windows в мою службу WCF, работающую на моем веб-сервере. Этот вызов работал несколько недель, но затем внезапно перестал работать и с тех пор не работал. Я получаю исключение: Произошла общая ошибка System.ServiceModel.CommunicationException:...

80
Почему strlcpy и strlcat считаются небезопасными?

Я понимаю это strlcpyи strlcatбыли разработаны как безопасная замена для strncpyи strncat. Однако некоторые люди по-прежнему считают, что они небезопасны, и просто вызывают проблемы другого типа . Может ли кто-нибудь привести пример того, как использование strlcpyили strlcat(то есть функция,...

80
Как защитить REST API с помощью Spring Boot и Spring Security?

Я знаю, что защита REST API - это широко обсуждаемая тема, но я не могу создать небольшой прототип, который соответствует моим критериям (и мне нужно подтвердить, что эти критерии реалистичны). Есть так много вариантов, как защитить ресурсы и как работать с безопасностью Spring, мне нужно...

14
Замена Spring Security 5 для OAuth2RestTemplate

В spring-security-oauth2:2.4.0.RELEASEклассах , таких как OAuth2RestTemplate, OAuth2ProtectedResourceDetailsи ClientCredentialsAccessTokenProviderвсе были помечены как нежелательные. От javadoc для этих классов это указывает на руководство по миграции безопасности Spring, которое подсказывает, что...

12
Чем заменить устаревший AuthorizationServer в Spring Security?

Spring Security 5.2.2 включает проект Spring Security OAuth, но не AuthorizationServer или ResourceServer. Каковы замены для AuthorizationServer в Spring Security 5.2.2? OAuth-2,0-Migration-Guide Этот документ содержит руководство по перемещению клиентов и серверов ресурсов OAuth 2.0 из Spring...

11
Многофакторная аутентификация с использованием Spring Boot 2 и Spring Security 5

Я хочу добавить многофакторную аутентификацию с помощью программных токенов TOTP в приложение Angular & Spring, сохранив все как можно ближе к значениям по умолчанию Spring Boot Security Starter . Проверка токена происходит локально (с помощью библиотеки aerogear-otp-java), стороннего...