По вопросам, связанным с криптографией и информационной безопасностью. Это может быть безопасность компьютера, сети или базы данных.
Я хочу выставить ресурс в сети. Я хочу защитить этот ресурс: убедиться, что он доступен только определенным лицам. Я мог бы установить некоторую аутентификацию на основе пароля . Например, я мог бы разрешить доступ к ресурсу только через веб-сервер, который проверяет входящие запросы на...
Я знаю некоторых людей, которые в настоящее время работают над проектом для вооруженных сил США (низкий уровень безопасности, данные типа не боевых человеческих ресурсов). Начальное состояние кода проекта было передано военным для проверки, и они запустили программу через какой-то инструмент...
Я был нанят кем-то, чтобы сделать небольшую работу на сайте. Это сайт для большой компании. Он содержит очень конфиденциальные данные, поэтому безопасность очень важна. Проанализировав код, я заметил, что он заполнен дырами в безопасности - читай, много PHP-файлов, бросающих пользовательский ввод...
Я все еще пытаюсь найти лучшее решение для защиты API REST, потому что количество мобильных приложений и API растет с каждым днем. Я пробовал разные способы аутентификации, но все еще есть некоторые недоразумения, поэтому мне нужен совет кого-то более опытного. Позвольте мне рассказать, как я...
Как мне убедиться, что мой REST API отвечает только на запросы, сгенерированные доверенными клиентами, в моем случае мои собственные мобильные приложения? Я хочу предотвратить нежелательные запросы, поступающие из других источников. Я не хочу, чтобы пользователи вводили серийный ключ или что-то...
У меня есть форма электронной почты на сайте. Я использую собственную CAPTCHA для предотвращения спама от роботов. Несмотря на это, я все еще получаю спам. Почему? Как роботы побеждают CAPTCHA? Используют ли они какой-нибудь продвинутый OCR или просто получают решение, где оно хранится? Как я могу...
Почему сегодня так легко пиратствовать? Просто немного трудно поверить, что при всех наших технологических достижениях и миллиардах долларов, потраченных на разработку самого невероятного и умопомрачительного программного обеспечения, у нас все еще нет других средств защиты от пиратства, кроме...
Возможное дублирование: написание веб-приложений «без сервера» Итак, допустим, я собираюсь создать клон Stack Exchange и решил использовать что-то вроде CouchDB в качестве своего внутреннего хранилища. Если я использую их встроенную аутентификацию и авторизацию на уровне базы данных, есть ли...
У меня запущено корпоративное приложение, которое использует хранилища данных MySQL и MongoDB . У моей команды разработчиков есть SSH- доступ к компьютеру для выполнения выпусков приложений, обслуживания и т. Д. Недавно я поднял риск в бизнесе, когда пользователи начали хранить в приложении...
На мой взгляд, атаки с использованием SQL-инъекций можно предотвратить с помощью: Тщательный скрининг, фильтрация, кодирование ввода (перед вставкой в SQL) Использование подготовленных операторов / параметризованных запросов Я предполагаю, что у каждого есть свои плюсы и минусы, но почему №2...
В моем образовании мне говорили, что ошибочно предлагать пользователю фактические первичные ключи (не только ключи БД, но и все первичные средства доступа). Я всегда думал, что это проблема безопасности (потому что злоумышленник может попытаться прочитать что-то не свое). Теперь я должен проверить,...
В Интернете существует множество сайтов, которым требуется информация для входа в систему, и единственным способом защиты от повторного использования пароля является «обещание», что пароли хешируются на сервере, что не всегда верно. Поэтому мне интересно, насколько сложно создать веб-страницу,...
У меня есть небольшой спор на рабочем месте, и я пытаюсь выяснить, кто прав, и что делать правильно. Контекст: веб-приложение для внутренней сети, которое наши клиенты используют для учета и других ERP-приложений. Я считаю, что сообщение об ошибке, представляемое пользователю (когда происходит...
Я пытаюсь понять присущий компромисс между ролями и разрешениями, когда дело доходит до контроля доступа (авторизации). Давайте начнем с данного: в нашей системе Разрешение будет детализированной единицей доступа (« Редактировать ресурс X », « Доступ к странице панели инструментов » и т. Д.). Роль...
Предположим, я проверяю код, который соискатели посылают для подтверждения своих навыков. Очевидно, я не хочу запускать исполняемые файлы, которые они отправляют. Не очень ясно, что я бы предпочел не запускать результат компиляции их кода (например, Java позволяет скрыть исполняемый код в...
При формировании мнений рекомендуется придерживаться схоластической традиции - стараться как можно сильнее против своего мнения и пытаться найти контраргументы. Однако, как бы я ни старался, я просто не могу найти разумных аргументов в пользу антивируса (и связанных с ним мер безопасности) на...
Я встречал довольно много сайтов, которые либо ограничивают длину паролей и / или запрещают определенные символы. Это ограничивает меня, так как я хочу расширить и увеличить пространство поиска моего пароля. Это также дает мне неприятное ощущение, что они могут не хэшироваться. Есть ли веские...
Я начал регистрировать неудачные попытки входа на свой веб-сайт с помощью сообщения вроде Failed login attempt by qntmfred Я заметил, что некоторые из этих журналов выглядят как Failed login attempt by qntmfredmypassword Я предполагаю, что у некоторых людей был неудачный вход в систему, потому что...
Работая над проектом для моей компании, мне нужно было создать функциональность, позволяющую пользователям импортировать / экспортировать данные на сайт нашего конкурента. При этом я обнаружил очень серьезную уязвимость в безопасности, которая, в общем, может выполнить любой скрипт на веб-сайте...
Стоит ли еще защищать наше программное обеспечение от пиратства? Существуют ли достаточно эффективные способы предотвращения или, по крайней мере, затруднения...