Интересно, следует ли мне использовать протокол CAS или OAuth + какой-нибудь провайдер аутентификации для единого входа. Пример сценария: Пользователь пытается получить доступ к защищенному ресурсу, но не аутентифицируется. Приложение перенаправляет пользователя на сервер SSO. В случае...
Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 6 лет назад . Улучшить этот вопрос Я ни в коем случае не эксперт по безопасности, но я...
Я пытаюсь обмануть цель SecureString .NET. Из MSDN: Экземпляр класса System.String является неизменным и, если он больше не нужен, не может быть программно запланирован для сборки мусора; то есть экземпляр только для чтения после его создания, и невозможно предсказать, когда экземпляр будет удален...
Что лучше сделать на стороне клиента или на стороне сервера? В нашей ситуации мы используем JQuery и MVC. Данные JSON для передачи между нашим представлением и контроллером. Большая часть проверки, которую я делаю, заключается в проверке данных по мере их ввода пользователями. Например, я использую...
Есть идеи, что может быть причиной этого? Невозможно найти Spring NamespaceHandler для пространства имен схемы XML [ http://www.springframework.org/schema/security] org.springframework.web.context.ContextLoader initWebApplicationContext: Context initialization failed...
Я использую Oracle для разработки. Срок действия пароля для учетной записи начальной загрузки, которую я всегда использую для восстановления базы данных, истек. Как навсегда отключить срок действия пароля для этого пользователя (и всех остальных пользователей)? Я использую Oracle 11g, у которого...
Каждая страница в приложении MVC, с которым я работаю, устанавливает следующие HTTP-заголовки в ответах: X-Powered-By: ASP.NET X-AspNet-Version: 2.0.50727 X-AspNetMvc-Version: 2.0 Как я могу предотвратить их показ?...
Я создаю приложение, которое будет хранить пароли, которые пользователь может получить и увидеть. Пароли предназначены для аппаратного устройства, поэтому о проверке хэшей не может быть и речи. Что мне нужно знать, это: Как зашифровать и расшифровать пароль в PHP? Какой алгоритм шифрования паролей...
В контексте структур безопасности обычно встречаются несколько терминов субъект , пользователь и принципал , из которых я не смог найти четкого определения и разницы между ними. Итак, что именно означают эти термины, и почему необходимы эти различия субъекта и принципала...
Этот вопрос вряд ли поможет будущим посетителям; это относится только к небольшому географическому региону, конкретному моменту времени или необычайно узкой ситуации, которая обычно не применима к всемирной аудитории Интернета. Чтобы сделать этот вопрос более применимым, посетите справочный центр...
Как подготовленные операторы помогают нам предотвратить атаки с использованием SQL-инъекций ? Википедия говорит: Подготовленные операторы устойчивы к внедрению SQL, потому что значения параметров, которые передаются позже с использованием другого протокола, не должны быть корректно экранированы....
В моих контроллерах, когда мне нужен активный (вошедший в систему) пользователь, я делаю следующее, чтобы получить свою UserDetailsреализацию: User activeUser = (User)SecurityContextHolder.getContext().getAuthentication().getPrincipal(); log.debug(activeUser.getSomeCustomField()); Это прекрасно...
Насколько это безопаснее, чем обычный MD5 ? Я только начал изучать безопасность пароля. Я довольно новичок в PHP. $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."'...
Я много искал, а также читал документацию по PHP $ _SERVER . Имею ли я это право в отношении того, какие скрипты PHP использовать для простых определений ссылок, используемых на моем сайте? $_SERVER['SERVER_NAME'] основан на файле конфигурации вашего веб-сервера (в моем случае Apache2) и...
Если вы хотите криптографически сильные случайные числа в Java, вы используете SecureRandom. К сожалению, SecureRandomможет быть очень медленным. Если он используется /dev/randomв Linux, он может заблокировать ожидание достаточной энтропии для наращивания. Как избежать штрафа за производительность?...
У меня есть веб-приложение (размещенное в IIS), которое взаимодействует со службой Windows. Служба Windows использует веб-API ASP.Net MVC (самодостаточно размещенный), поэтому с ним можно обмениваться данными через http с помощью JSON. Веб-приложение сконфигурировано для выполнения олицетворения,...
Я знаю, что можно получить пустой HTTP_REFERER. При каких обстоятельствах это происходит? Если я получаю пустой, всегда ли это означает, что пользователь изменил его? Получение пустого - это то же самое, что получить нулевое? и при каких обстоятельствах я тоже это...
Мне интересно, достаточно ли безопасен пароль хэшер, который по умолчанию реализован в UserManager, который поставляется с MVC 5 и ASP.NET Identity Framework? И если да, то не могли бы вы объяснить мне, как это работает? Интерфейс IPasswordHasher выглядит так: public interface IPasswordHasher {...
Недавно я экспериментировал с Docker над созданием некоторых сервисов, с которыми можно поиграться, и одна вещь, которая меня постоянно раздражает, это вставка паролей в Dockerfile. Я разработчик, поэтому хранение паролей в исходном коде похоже на удар по лицу. Должно ли это быть проблемой? Есть ли...