Вопросы с тегом «security»

37
Насколько легко взломать JavaScript (в браузере)?

Мой вопрос касается безопасности JavaScript. Представьте себе систему аутентификации, в которой вы используете среду JavaScript, такую ​​как Backbone или AngularJS , и вам нужны защищенные конечные точки. Это не проблема, поскольку сервер всегда имеет последнее слово и проверит, авторизованы ли вы...

34
Что если клиенту нужна возможность восстановить пароли?

В настоящее время я унаследовал приложение на работе и, к своему ужасу, понял, что пароли пользователей, хранящиеся в базе данных, зашифрованы с использованием внутренней функции шифрования, которая также включает в себя возможность дешифрования. Поэтому все, что кому-то действительно нужно...

33
Насколько безопасно местное хранилище?

Вопрос говорит все это действительно. Я хочу предоставить услугу, но я не хочу самостоятельно хранить какие-либо данные в базе данных. Со всеми последними новостями о взломе и т. Д. Мне кажется, что лучше, когда клиенты имеют полный контроль над своими данными. Проблема в том, что хранимые данные...

33
Должен ли MVC / REST возвращать 403 или 404 для ресурсов, принадлежащих другим пользователям?

При работе с ресурсным сайтом (таким как приложение MVC или служба REST) ​​у нас есть два основных варианта, когда клиент пытается GETиспользовать ресурс, к которому у него нет доступа: 403 , в котором говорится, что клиент не авторизован ; или 404 , который говорит, что ресурс не существует (или...

33
Какова хорошая практика безопасности для хранения критически важной базы данных на ноутбуках разработчика?

У нас есть несколько подарков: Разработчикам нужна копия производственной базы данных на их машинах. Разработчики имеют пароль к указанной базе данных в файлах App.config. Мы не хотим, чтобы данные в указанной базе данных были скомпрометированы. Несколько предложенных решений и их недостатки:...

32
Обновление хэширования пароля без принудительного ввода нового пароля для существующих пользователей

Вы поддерживаете существующее приложение с установленной базой пользователей. Со временем было решено, что текущая техника хеширования паролей устарела и нуждается в обновлении. Кроме того, по причинам UX, вы не хотите, чтобы существующие пользователи были вынуждены обновить свой пароль. Все...

32
Насколько безопасны и надежны хостинговые сайты, такие как sourceforge, github или bitbucket для проектов с закрытым исходным кодом? [закрыто]

Я рассматриваю возможность использования sourceforge, bitbucket или github для управления исходным кодом в моем бизнесе. У меня есть открытые проекты, и я участвую в открытых проектах, таких как gcc. Но у меня также есть бизнес, где я занимаюсь разработкой программного обеспечения с закрытым...

31
Лучшие практики для выполнения ненадежного кода

У меня есть проект, в котором мне нужно разрешить пользователям запускать произвольный ненадежный код Python ( примерно так ) на моем сервере. Я довольно новичок в python, и я хотел бы избежать ошибок, которые могут привести к дырам в системе безопасности или другим уязвимостям в системе....

31
Этично ли учить подростков программным вирусам? [закрыто]

Я вызвался инструктировать компьютерный клуб после школы в средней школе моего сына. Был большой интерес к компьютерным вирусам. Я думал показать им, как создать простой вирус пакетного файла, который будет заражать другие пакетные файлы в том же каталоге. Также покажите, как создание пакетного...

30
JSON Web Token - почему полезная нагрузка общедоступна?

Я не могу понять причины, по которым заявления / полезные данные JWT становятся публично видимыми после их декодирования в base64. Зачем? Кажется, было бы гораздо полезнее зашифровать его с помощью секрета. Может кто-нибудь объяснить, почему или в какой ситуации полезно хранить эти...

28
Стоит ли даже проверять, является ли Guid.NewGuid () Guid.Empty?

В одном из проектов, над которым я работаю, следующая картина видится довольно регулярно: var guid = Guid.NewGuid().ToString(); while (guid == Guid.Empty.ToString()) { guid = Guid.NewGuid().ToString(); } Хотя я понимаю, что GUID не гарантированно является уникальным, и в соответствии с...

28
Если в спецификации есть недостатки, нужно ли ей следовать?

Мне было поручено разработать интеграцию для одного из приложений моего работодателя с внешней системой, разработанной нашим клиентом. Спецификация нашего клиента для интеграции, которая имеет некоторые явные недостатки, связанные с безопасностью. Недостатки позволят несанкционированному доступу...

28
Проверка правильности ввода данных - где? Как много? [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 6 лет назад . Проверка ввода данных всегда была для меня довольно внутренней борьбой. На...

28
Веб-серверы в режиме ядра: умная оптимизация или кошмар безопасности?

Я читал ветку Hacker News, где один пользователь публикует ссылку с 2011 года, объясняющую, что IIS намного быстрее, чем большинство других (* nix) веб-серверов. Другой пользователь отвечает, объясняя, что IIS получает это преимущество, имея модуль ядра с именем HTTP.sys . Насколько мне известно,...

27
Какие лучшие практики следует использовать в сценарии входа в PHP?

Я хочу переписать свои сценарии входа для сайтов клиентов, чтобы сделать их более безопасными. Я хочу знать, какие лучшие практики я могу применить в этом. Защищенные паролем панели управления имеются в изобилии, но очень немногие, по-видимому, применяют лучшие практики с точки зрения написания...

26
Методы аутентификации веб-API

У нас есть платформа веб-службы MVC asp.net для предоставления xml / json людям. Получайте запросы, но изо всех сил пытаемся найти лучший способ (быстрый, простой, тривиальный для пользователей, кодирующих на языках javascript или OO) для аутентификации пользователей. Дело не в том, что наши данные...

26
Можно ли считывать память из другой программы, выделяя все пустое пространство в системе?

Теоретически, если бы я создал программу, которая бы выделяла всю неиспользуемую память в системе и продолжала запрашивать все больше и больше памяти, поскольку другие приложения освобождали память, которая им больше не нужна, было бы возможно читать недавно освобожденную память из других...

24
Должен ли я согласиться написать незащищенный код, если мой работодатель попросит меня сделать это? [закрыто]

Закрыто. Этот вопрос не по теме . В настоящее время не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения в стеке. Закрыто 4 года назад . Мой работодатель попросил меня реализовать функцию, которая потребовала бы...

24
Как веб-серверы применяют политику одного и того же происхождения?

Я углубляюсь в разработку RESTful API и до сих пор работал с несколькими различными средами для достижения этой цели. Конечно, я столкнулся с политикой того же происхождения, и теперь мне интересно, как веб-серверы (а не веб-браузеры) применяют ее. Из того, что я понимаю, кажется, что какое-то...

23
Исходный код украден \ взломан конкурирующей компанией

Этот вопрос был перенесен из переполнения стека, потому что на него можно ответить в Software Engineering Stack Exchange. Мигрировал 8 лет назад . В некоторых компаниях, в которых я работал, менеджеры потратили немало денег на ИТ-консультантов по безопасности. Прежде всего потому, что они боятся,...