Вопросы с тегом «security»

129
Поток токенов обновления JWT

Я создаю мобильное приложение и использую JWT для аутентификации. Похоже, что лучший способ сделать это - связать токен доступа JWT с токеном обновления, чтобы я мог истекать токен доступа так часто, как хочу. Как выглядит токен обновления? Это случайная строка? Эта строка зашифрована? Это еще один...

127
Скрытие пароля в скрипте Python (только небезопасная обфускация)

У меня есть скрипт Python, который создает соединение ODBC. Соединение ODBC создается с помощью строки подключения. В этой строке подключения я должен указать имя пользователя и пароль для этого подключения. Есть ли простой способ скрыть этот пароль в файле (просто чтобы никто не мог прочитать...

127
Почему не рекомендуется иметь базу данных и веб-сервер на одном компьютере?

Слушая интервью Скотта Хансельмана с командой Stack Overflow ( части 1 и 2 ), он был непреклонен в том, что сервер SQL и сервер приложений должны находиться на разных машинах. Это просто для того, чтобы в случае взлома одного сервера обе системы были недоступны? Перевешивают ли проблемы...

126
Почему бы не использовать HTTPS для всего?

Если бы я настраивал сервер и имел сертификат (ы) SSL, почему бы мне не использовать HTTPS для всего сайта, а не только для покупок / входов в систему? Я думаю, было бы разумнее просто зашифровать весь сайт и полностью защитить пользователя. Это предотвратит такие проблемы, как принятие решения о...

125
Безопасность сеанса PHP

Заблокировано . Этот вопрос и ответы на него заблокированы, потому что вопрос не по теме, но имеет историческое значение. В настоящее время он не принимает новые ответы или взаимодействия. Каковы некоторые рекомендации по обеспечению ответственной безопасности сеанса с помощью PHP? Информация есть...

125
Каковы риски безопасности при установке Access-Control-Allow-Origin?

Недавно мне пришлось установить Access-Control-Allow-Originзначение *, чтобы иметь возможность выполнять вызовы ajax между субдоменами. Теперь я не могу не чувствовать, что подвергаю свою среду угрозе безопасности. Пожалуйста, помогите мне, если я делаю что-то не...

125
В разрешении Firebase отказано

Я относительно новичок в программировании, и у меня проблемы. У меня есть этот код для отправки данных в firebase app.userid = app.user.uid var userRef = app.dataInfo.child(app.users); var useridRef = userRef.child(app.userid); useridRef.set({ locations: "", theme: "", colorScheme: "", food: "" });...

124
Как лучше всего предотвратить захват сеанса?

В частности, это касается использования cookie сеанса клиента для идентификации сеанса на сервере. Является ли лучший ответ - использовать шифрование SSL / HTTPS для всего веб-сайта, и у вас есть лучшая гарантия, что ни один человек, участвующий в атаке посередине, не сможет прослушать существующий...

124
Spring Test & Security: как имитировать аутентификацию?

Я пытался выяснить, как выполнить модульное тестирование, правильно ли защищены мои URL-адреса моих контроллеров. На всякий случай, если кто-то изменит ситуацию и случайно уберет настройки безопасности. Мой метод контроллера выглядит так: @RequestMapping("/api/v1/resource/test")...

124
Как безопасно хранить токен доступа и секрет в Android?

Я собираюсь использовать oAuth для получения писем и контактов из Google. Я не хочу каждый раз просить пользователя войти в систему, чтобы получить токен доступа и секрет. Насколько я понял, мне нужно хранить их вместе с моим приложением либо в базе данных, либо SharedPreferences. Но меня немного...

118
В чем разница между приложением службы WCF и библиотекой службы WCF?

Я разрабатываю веб-службу WCF и для этого использовал шаблон приложения службы WCF. Отвечает ли этому требованию создание «приложения службы WCF»? В чем преимущество создания библиотеки службы WCF над приложением службы...

118
Как проверить hasRole в Java-коде с помощью Spring Security?

Как проверить полномочия пользователя или разрешение в Java-коде? Например - я хочу показать или скрыть кнопку для пользователя в зависимости от роли. Есть аннотации вроде: @PreAuthorize("hasRole('ROLE_USER')") Как сделать это в Java-коде? Что-то вроде : if(somethingHere.hasRole("ROLE_MANAGER")) {...

118
Как предотвратить захват экрана в Android

Можно ли запретить запись экрана в приложении Android? Я хочу разработать безопасное приложение для Android. В этом случае мне нужно обнаружить программы для записи экрана, которые работают в фоновом режиме, и убить их. Я использовал SECURE FLAG для предотвращения скриншотов. Но я не знаю, можно ли...

118
Безопасность Android SharedPreference

Интересно о безопасности общих предпочтений. Можно ли получить доступ к общим настройкам, даже если они были созданы в MODE_PRIV (0)? Можно ли перечислить все доступные общие настройки, а затем получить все настройки из других приложений? Подходит ли sharedpreferences для размещения...

116
Защищают ли htmlspecialchars и mysql_real_escape_string мой PHP-код от внедрения?

Ранее сегодня был задан вопрос о стратегиях проверки ввода в веб-приложениях . Главный ответ на момент написания предполагает PHPпросто использовать htmlspecialcharsи mysql_real_escape_string. Мой вопрос: всегда ли этого достаточно? Мы должны знать больше? Где ломаются эти...

115
Тип хранилища ключей: какое использовать?

Посмотрев на java.securityмой файл JRE, я вижу, что тип хранилища ключей, используемый по умолчанию, установлен на JKS. Здесь есть список типов хранилищ ключей, которые можно использовать. Есть ли рекомендуемый тип хранилища ключей? Каковы плюсы и минусы различных типов хранилищ...