Вопросы с тегом «security»

По вопросам, связанным с криптографией и информационной безопасностью. Это может быть безопасность компьютера, сети или базы данных.

128
Являются ли частные, не угадываемые URL-адреса эквивалентными аутентификации на основе пароля?

Я хочу выставить ресурс в сети. Я хочу защитить этот ресурс: убедиться, что он доступен только определенным лицам. Я мог бы установить некоторую аутентификацию на основе пароля . Например, я мог бы разрешить доступ к ресурсу только через веб-сервер, который проверяет входящие запросы на...

120
Почему правительство США запрещает использование динамических языков для защищенных проектов?

Я знаю некоторых людей, которые в настоящее время работают над проектом для вооруженных сил США (низкий уровень безопасности, данные типа не боевых человеческих ресурсов). Начальное состояние кода проекта было передано военным для проверки, и они запустили программу через какой-то инструмент...

109
Вы наняты, чтобы исправить небольшую ошибку для сайта с высоким уровнем безопасности. Глядя на код, он заполнен дырами в безопасности. Чем ты занимаешься? [закрыто]

Я был нанят кем-то, чтобы сделать небольшую работу на сайте. Это сайт для большой компании. Он содержит очень конфиденциальные данные, поэтому безопасность очень важна. Проанализировав код, я заметил, что он заполнен дырами в безопасности - читай, много PHP-файлов, бросающих пользовательский ввод...

104
Безопасность API REST Сохраненный токен против JWT против OAuth

Я все еще пытаюсь найти лучшее решение для защиты API REST, потому что количество мобильных приложений и API растет с каждым днем. Я пробовал разные способы аутентификации, но все еще есть некоторые недоразумения, поэтому мне нужен совет кого-то более опытного. Позвольте мне рассказать, как я...

96
Как защитить REST API только для надежных мобильных приложений

Как мне убедиться, что мой REST API отвечает только на запросы, сгенерированные доверенными клиентами, в моем случае мои собственные мобильные приложения? Я хочу предотвратить нежелательные запросы, поступающие из других источников. Я не хочу, чтобы пользователи вводили серийный ключ или что-то...

84
Как роботы могут победить капчи?

У меня есть форма электронной почты на сайте. Я использую собственную CAPTCHA для предотвращения спама от роботов. Несмотря на это, я все еще получаю спам. Почему? Как роботы побеждают CAPTCHA? Используют ли они какой-нибудь продвинутый OCR или просто получают решение, где оно хранится? Как я могу...

77
Как можно защитить программное обеспечение от пиратства?

Почему сегодня так легко пиратствовать? Просто немного трудно поверить, что при всех наших технологических достижениях и миллиардах долларов, потраченных на разработку самого невероятного и умопомрачительного программного обеспечения, у нас все еще нет других средств защиты от пиратства, кроме...

62
Есть ли причина не переходить непосредственно из клиентского Javascript в базу данных?

Возможное дублирование: написание веб-приложений «без сервера» Итак, допустим, я собираюсь создать клон Stack Exchange и решил использовать что-то вроде CouchDB в качестве своего внутреннего хранилища. Если я использую их встроенную аутентификацию и авторизацию на уровне базы данных, есть ли...

61
Защита конфиденциальных данных от разработчиков

У меня запущено корпоративное приложение, которое использует хранилища данных MySQL и MongoDB . У моей команды разработчиков есть SSH- доступ к компьютеру для выполнения выпусков приложений, обслуживания и т. Д. Недавно я поднял риск в бизнесе, когда пользователи начали хранить в приложении...

59
Почему механизм предотвращения SQL-инъекций развивался в направлении использования параметризованных запросов?

На мой взгляд, атаки с использованием SQL-инъекций можно предотвратить с помощью: Тщательный скрининг, фильтрация, кодирование ввода (перед вставкой в ​​SQL) Использование подготовленных операторов / параметризованных запросов Я предполагаю, что у каждого есть свои плюсы и минусы, но почему №2...

53
Почему бы не выставить первичный ключ

В моем образовании мне говорили, что ошибочно предлагать пользователю фактические первичные ключи (не только ключи БД, но и все первичные средства доступа). Я всегда думал, что это проблема безопасности (потому что злоумышленник может попытаться прочитать что-то не свое). Теперь я должен проверить,...

46
Почему почти нет веб-страниц, хэширующих пароли в клиенте перед отправкой (и хэшированием их снова на сервере), чтобы «защитить» от повторного использования пароля?

В Интернете существует множество сайтов, которым требуется информация для входа в систему, и единственным способом защиты от повторного использования пароля является «обещание», что пароли хешируются на сервере, что не всегда верно. Поэтому мне интересно, насколько сложно создать веб-страницу,...

45
Должна ли трассировка стека быть в сообщении об ошибке, представленном пользователю?

У меня есть небольшой спор на рабочем месте, и я пытаюсь выяснить, кто прав, и что делать правильно. Контекст: веб-приложение для внутренней сети, которое наши клиенты используют для учета и других ERP-приложений. Я считаю, что сообщение об ошибке, представляемое пользователю (когда происходит...

45
Роль против контроля доступа на основе разрешений

Я пытаюсь понять присущий компромисс между ролями и разрешениями, когда дело доходит до контроля доступа (авторизации). Давайте начнем с данного: в нашей системе Разрешение будет детализированной единицей доступа (« Редактировать ресурс X », « Доступ к странице панели инструментов » и т. Д.). Роль...

41
Насколько безопасно скомпилировать кусок исходного кода из случайного незнакомца? [закрыто]

Предположим, я проверяю код, который соискатели посылают для подтверждения своих навыков. Очевидно, я не хочу запускать исполняемые файлы, которые они отправляют. Не очень ясно, что я бы предпочел не запускать результат компиляции их кода (например, Java позволяет скрыть исполняемый код в...

40
В поисках значимого и веского аргумента в пользу антивирусного программного обеспечения на машинах разработки [закрыто]

При формировании мнений рекомендуется придерживаться схоластической традиции - стараться как можно сильнее против своего мнения и пытаться найти контраргументы. Однако, как бы я ни старался, я просто не могу найти разумных аргументов в пользу антивируса (и связанных с ним мер безопасности) на...

39
Существуют ли веские причины для запрета символов и ограничения длины паролей?

Я встречал довольно много сайтов, которые либо ограничивают длину паролей и / или запрещают определенные символы. Это ограничивает меня, так как я хочу расширить и увеличить пространство поиска моего пароля. Это также дает мне неприятное ощущение, что они могут не хэшироваться. Есть ли веские...

38
В журнале неудачных попыток входа выставлены пароли

Я начал регистрировать неудачные попытки входа на свой веб-сайт с помощью сообщения вроде Failed login attempt by qntmfred Я заметил, что некоторые из этих журналов выглядят как Failed login attempt by qntmfredmypassword Я предполагаю, что у некоторых людей был неудачный вход в систему, потому что...

37
Что делать, если вы обнаружили уязвимость на сайте конкурента?

Работая над проектом для моей компании, мне нужно было создать функциональность, позволяющую пользователям импортировать / экспортировать данные на сайт нашего конкурента. При этом я обнаружил очень серьезную уязвимость в безопасности, которая, в общем, может выполнить любой скрипт на веб-сайте...