Пароли не следует хранить в виде простого текста по очевидным причинам безопасности: вам нужно хранить хэши, а также тщательно генерировать хэши, чтобы избежать атак радужных таблиц. Однако обычно у вас есть требование хранить последние n паролей и обеспечивать минимальную сложность и минимальное...
Этот вопрос был перенесен из переполнения стека, потому что на него можно ответить в Software Engineering Stack Exchange. Мигрировал 8 лет назад . В некоторых компаниях, в которых я работал, менеджеры потратили немало денег на ИТ-консультантов по безопасности. Прежде всего потому, что они боятся,...
Скажем, я хочу, чтобы некоторые части моего программного обеспечения были зашифрованы. Например, учетные данные для базы данных и т. Д. Мне нужно где-то хранить эти значения, но при этом в открытом тексте злоумышленнику будет легко получить несанкционированный доступ. Однако если я зашифрую...
В настоящее время этот вопрос не очень подходит для нашего формата вопросов и ответов. Мы ожидаем, что ответы будут подтверждены фактами, ссылками или опытом, но этот вопрос, скорее всего, вызовет дебаты, споры, опрос или расширенное обсуждение. Если вы считаете, что этот вопрос можно улучшить и,...
Как проект с открытым исходным кодом с общедоступным репозиторием лучше всего обрабатывает запросы извлечения (PR), которые устраняют уязвимости безопасности, о которых сообщалось, но еще не опубликованные? Я участвую в проекте с открытым исходным кодом с несколькими сотнями участников. Мы...
Внедрение SQL - это очень серьезная проблема безопасности, во многом потому, что ее легко понять неправильно: очевидный, интуитивно понятный способ создания запроса, включающего пользовательский ввод, делает вас уязвимым, а правильный путь для его смягчения требует, чтобы вы знали о параметризации...
Этот вопрос был перенесен из переполнения стека, потому что на него можно ответить в Software Engineering Stack Exchange. Мигрировал 7 лет назад . Какие аспекты мне необходимо учитывать при разработке и публикации программного обеспечения, которое должно соответствовать ограничениям на экспорт...
Я читал в многочисленных источниках, что вывод PHP rand () предсказуем как PRNG, и я в основном принимаю это как факт просто потому, что видел его во многих местах. Я заинтересован в проверке концепции: как бы я мог предсказать вывод rand ()? Прочитав эту статью, я понимаю, что случайное число -...
Если я создаю логин для приложения со средним или низким уровнем безопасности (другими словами, это не банковское приложение или что-то еще), могу ли я подтвердить пароль, введенный пользователем, просто сказав что-то вроде: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else...
У меня возникли разногласия с кем-то (клиентом) относительно процесса идентификации / аутентификации пользователя для системы. Суть в том, что они хотят, чтобы у каждого пользователя был глобально уникальный пароль (т.е. два пользователя не могут иметь одинаковый пароль). Я привел все очевидные...
Прочитав этот интересный вопрос, я почувствовал, что у меня есть хорошее представление о том, какой небезопасный алгоритм хеширования я бы использовал, если бы он мне понадобился, но не знал, почему вместо этого я мог бы использовать безопасный алгоритм. Так в чем же различие? Разве вывод не...
Трудно сказать, что здесь спрашивают. Этот вопрос является двусмысленным, расплывчатым, неполным, чрезмерно широким или риторическим, и на него нельзя дать разумный ответ в его нынешней форме. Чтобы получить разъяснения по этому вопросу, чтобы его можно было снова открыть, посетите справочный...
Я прочитал этот ответ и нашел комментарий, настаивающий не отправлять пароль по электронной почте: пароли не могут быть восстановлены по электронной почте, я ненавижу это. Это означает, что мой пароль где-то хранится в виде обычного текста. он должен быть сброшен только. Это поднимает меня вопрос...
Я использую токены JWT в заголовках HTTP для аутентификации запросов к серверу ресурсов. Сервер ресурсов и сервер аутентификации - это две отдельные рабочие роли в Azure. Я не могу определиться, стоит ли мне сохранять заявки в токене или прикреплять их к запросу / ответу каким-либо другим способом....
Недавно я использовал государственную службу, на которую у меня был аккаунт много лет назад. Я не мог вспомнить свой пароль для службы, поэтому я использовал ссылку «забыл пароль» и был удивлен, увидев, что этот правительственный веб-сайт отправил мой пароль на мой адрес электронной почты в виде...
Я строю довольно сложную интерпретируемую программу на Python. Я работал над большей частью этого кода для других целей в течение нескольких месяцев, и поэтому не хочу, чтобы мой клиент мог просто скопировать и попытаться продать его, так как я думаю, что он стоит немалого количества. Проблема в...
Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост. . Закрыто 5 лет назад . Поэтому я работал на многих рабочих местах в качестве...
Это кажется менее распространенным на новых сайтах, но многие сайты, на которых мне нужна учетная запись (например, для оплаты счетов и т. Д.), Не позволяют мне создать пароль с пробелами в нем. Это только усложняет процесс запоминания , и я не знаю никаких ограничений в базе данных или...
Для компании, в которой я работал, мне пришлось реализовать сокет-приемник, который в основном принимал данные в виде UDP по локальному соединению от некоторого специализированного сенсорного оборудования. Данные данные представляли собой правильно сформированный пакет UDP, но, что интересно,...
Я долгое время являюсь Java-разработчиком и, наконец, после специализации у меня есть время, чтобы прилично изучить его, чтобы сдать сертификационный экзамен ... Одна вещь, которая меня всегда беспокоила, это то, что String является "финальной". Я понимаю, когда читаю о проблемах безопасности и...