Вопросы с тегом «security»

318
Практические подходы CAPTCHA без изображений?

Locked . Этот вопрос и его ответы заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Похоже, мы добавим поддержку CAPTCHA в Stack Overflow. Это необходимо для предотвращения действий ботов, спамеров и...

309
Лучшие практики SPA для аутентификации и управления сеансами

При создании приложений в стиле SPA с использованием таких фреймворков, как Angular, Ember, React и т. Д., Что люди считают лучшими практиками для аутентификации и управления сеансами? Я могу подумать о нескольких способах решения проблемы. Относитесь к этому не иначе, как к аутентификации с...

302
Если вы можете декодировать JWT, как они защищены?

Если я получу JWT и смогу декодировать полезную нагрузку, насколько это безопасно? Разве я не могу просто извлечь токен из заголовка, декодировать и изменить информацию о пользователе в полезной нагрузке и отправить ее обратно с тем же правильным закодированным секретом? Я знаю, что они должны быть...

300
Как использовать NSURLConnection для соединения с SSL для ненадежного сертификата?

У меня есть следующий простой код для подключения к веб-странице SSL NSMutableURLRequest *urlRequest=[NSMutableURLRequest requestWithURL:url]; [ NSURLConnection sendSynchronousRequest: urlRequest returningResponse: nil error: &error ]; За исключением того, что выдает ошибку, если сертификат...

293
Является ли «двойное хеширование» паролем менее безопасным, чем однократное хеширование?

Является ли хеширование пароля дважды перед хранением более или менее безопасным, чем простое хеширование? То, о чем я говорю, делает это: $hashed_password = hash(hash($plaintext_password)); вместо этого: $hashed_password = hash($plaintext_password); Если это менее безопасно, можете ли вы дать...

288
При использовании Spring Security, как правильно получить информацию о текущем имени пользователя (т.е. SecurityContext) в бине?

У меня есть веб-приложение Spring MVC, которое использует Spring Security. Я хочу знать имя пользователя, вошедшего в систему. Я использую фрагмент кода, приведенный ниже. Это принятый способ? Мне не нравится иметь вызов статического метода внутри этого контроллера - это противоречит всей цели...

284
Каковы все учетные записи пользователей для IIS / ASP.NET и чем они отличаются?

В Windows Server 2008 с установленным ASP.NET 4.0 существует целый ряд связанных учетных записей пользователей, и я не могу понять, какая из них, чем они отличаются, и какая действительно является той, под которой работает мое приложение. Вот список: IIS_IUSRS IUSR DefaultAppPool ASP.NET v4.0...

284
Почему в cookie-файлы принято добавлять токены предотвращения CSRF?

Я пытаюсь понять всю проблему с CSRF и соответствующие способы предотвратить это. (Ресурсы, которые я прочитал, понимаю и с которыми согласен: Шпаргалка по профилактике OWASP CSRF , Вопросы о CSRF .) Насколько я понимаю, уязвимость вокруг CSRF вводится в предположении, что (с точки зрения...

282
Является ли GET или POST более безопасным, чем другой?

При сравнении HTTP GET с HTTP POST, какие различия с точки зрения безопасности? Является ли один из вариантов по своей сути более безопасным, чем другой? Если так, то почему? Я понимаю, что POST не раскрывает информацию об URL, но есть ли в этом реальная ценность или это просто безопасность через...

277
Эксплуатируемые функции PHP

Locked . Этот вопрос и его ответы заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Я пытаюсь создать список функций, которые можно использовать для выполнения произвольного кода. Цель не состоит в том,...

264
JWT-аутентификация для ASP.NET Web API

Я пытаюсь поддерживать токен-носитель JWT (JSON Web Token) в своем приложении веб-API, и я теряюсь. Я вижу поддержку .NET Core и приложений OWIN. В настоящее время я размещаю свое приложение в IIS. Как я могу добиться этого модуля аутентификации в моем приложении? Можно ли каким-либо образом...

262
RESTful-аутентификация через Spring

Проблема: у нас есть RESTful API на основе Spring MVC, который содержит конфиденциальную информацию. API должен быть защищен, однако отправка учетных данных пользователя (user / pass combo) с каждым запросом нежелательна. В соответствии с рекомендациями REST (и внутренними бизнес-требованиями)...

260
Лучшие практики при запуске Node.js с портом 80 (Ubuntu / Linode) [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 4 года назад . Улучшить этот вопрос Я настраиваю свой первый Node.jsсервер на, cloud Linux...

258
Платежные системы - Что мне нужно знать, если я хочу принимать кредитные карты на моем сайте? [закрыто]

В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и,...

257
«Keep Me Logged In» - лучший подход

Мое веб-приложение использует сеансы для хранения информации о пользователе после того, как он вошел в систему, и для поддержания этой информации при перемещении со страницы на страницу в приложении. В этом конкретном приложении, я храню user_id, first_nameи last_nameчеловека. Я хотел бы предложить...

254
Протокол безопасности по умолчанию в .NET 4.5

Каков протокол безопасности по умолчанию для связи с серверами, которые поддерживают до TLS 1.2? Будет ли .NETпо умолчанию, выберите самый высокий протокол безопасности , поддерживаемый на стороне сервера или у меня явно добавить эту строку кода: System.Net.ServicePointManager.SecurityProtocol =...

250
Где вы храните свои соленые струны?

Я всегда использовал правильную строку соли для каждой записи при хешировании паролей для хранения базы данных. Для моих нужд хранение соли в БД рядом с хешированным паролем всегда работало нормально. Однако некоторые люди рекомендуют хранить соль отдельно от базы данных. Их аргумент заключается в...

248
Как работает Политика безопасности контента?

Я получаю кучу ошибок в консоли разработчика: Отказался оценить строку Отказался выполнять встроенный скрипт, поскольку он нарушает следующую директиву Content Security Policy Отказался от загрузки скрипта Отказался от загрузки таблицы стилей О чем это все? Как работает Политика безопасности...