Вопросы с тегом «security»

13
Должны ли микросервисы быть пользователями?

Мы пытаемся определить лучший способ авторизации пользователей в микросервисной архитектуре, в то же время гарантируя, что у микросервисов ограниченные разрешения. Наша архитектура использует центральную службу авторизации для обработки выдачи токенов JWT. У нас есть следующие требования:...

13
Что делать, если вы обнаружили дыру в безопасности на сайте вашей компании

Я обнаружил серьезную дыру в безопасности на одном из публичных сайтов моей компании. Это наш первый общедоступный сайт, который был преобразован из интрасети. Я довел эту проблему до своего босса, и они, по сути, отмахнулись от него, сказав, что потребуется много усилий, чтобы изменить архитектуру...

13
Все ли угрозы безопасности вызваны программными ошибками?

Большинство угроз безопасности, о которых я слышал, возникли из-за ошибки в программном обеспечении (например, все входные данные не проверены должным образом, переполнения стека и т. Д.). Итак, если мы исключим все социальные взломы, все ли угрозы безопасности связаны с ошибками? Другими словами,...

13
Аутентификация API, Одноразовый токен VS Динамические токены

Мы работаем над новым проектом, мы являемся двумя ведущими разработчиками и попали на перекресток о том, как использовать токен для защиты связи между сервером и клиентом. Первое предложение: (Одноразовый токен AKA Static Token) клиент запрашивает первичный токен, отправляя имя пользователя и...

13
Что делать, если ваша компания не шифрует пароли

Фон Я был заключен контракт, чтобы помочь компании поддерживать свой сервер. Я работаю над небольшими PHP-проектами, но также смотрю на проблемы с производительностью и в последнее время сканирую логи на хакеров. Эти ребята уже некоторое время работают на своем сервере, и у меня на последних ногах...

13
Почему большинство сайтов требуют активации по электронной почте [закрыто]

Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения стека Exchange. Закрыто 6 лет назад . В настоящее время большинство популярных приложений требуют активации...

12
Откуда берутся значения хеш-соли?

При добавлении солт-значений к хеш-значению для чего-то вроде пароля, который не может быть сохранен в виде простого текста, из чего лучше всего получать солт-значения? Для контекста, давайте предположим, что это для паролей на странице входа в...

12
Архитектура программного обеспечения для аутентификации / контроля доступа веб-сервиса REST

Я настраиваю новый веб-сервис RESTful и мне нужно предоставить модель управления доступом на основе ролей . Мне нужно создать архитектуру, которая позволит пользователям предоставлять свое имя пользователя и пароль для получения доступа к сервисам, а затем ограничивать использование ими сервисов...

12
Лучшие практики для аутентификации / безопасности веб-приложений (любая платформа)

Я получил сегодня вопрос от моего менеджера, спрашивающего меня о том, что считается приемлемым дизайном для аутентификации приложения веб-формы, особенно в связи с тем, что многие популярные браузеры используют «Запомнить пароль» для ваших типичных полей имени пользователя и пароля для входа в...

12
Должны ли вы когда-нибудь выпустить что-то, что вы могли бы взломать?

Будучи создателем программы, вы, вероятно, в лучшем положении, чем кто-либо, знаете об уязвимостях безопасности и потенциальных взломах. Если вы знаете об уязвимости в написанной вами системе, это ДОЛЖЕН быть добавлен признак того, что повышенная безопасность должна быть выпущена до выпуска, или...

12
Как вы справляетесь с безопасностью базы данных из настольного приложения?

Около 10 лет я работал над различными внутренними клиентскими приложениями для настольных компьютеров с хранилищами данных SQL Server. Редко я начинал эти проекты - большинство из них занимаются поглощением. Одна вещь, которая везде казалась постоянной, заключалась в том, что существовала...

11
Какая информация никогда не должна появляться в журналах? [закрыто]

Закрыто . Этот вопрос должен быть более сфокусированным . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он был сосредоточен только на одной проблеме, отредактировав этот пост . Закрыто 4 года назад . Я собираюсь написать руководство компании о том,...

11
Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль?

Если пароли хранятся в хэше, как компьютер узнает, что ваш пароль похож на последний, если вы попытаетесь сбросить пароль? Разве два пароля не будут совершенно разными, поскольку один хешируется и не может быть...

11
Разрешить пользователям с правами администратора входить в систему как другие пользователи

Считаете ли вы хорошей практикой реализовать возможность разрешить пользователю с правами администратора входить в систему как другой пользователь, минуя пароль? Это может быть реализовано с помощью мастер-пароля или функции внутри администрации пользователя «Войти как этот пользователь»....

11
Должны ли ограничения безопасности привести к тому, что служба вернет ноль или выдаст исключение? [закрыто]

Закрыто . Этот вопрос основан на мнении . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы ответить на него фактами и цитатами, отредактировав этот пост . Закрыто 4 года назад . Я немного не согласен с более опытным разработчиком по этому вопросу, и мне...

11
Во время создания учетной записи, лучше ли автоматически генерировать пароль и отправлять его пользователю или позволить пользователю создать свой собственный пароль?

Этот вопрос возник сегодня, когда мы обсуждали с коллегой страницу «Создать учетную запись» для веб-сайта, над которым мы работаем. Мое коллега считает, что мы должны сделать регистрацию максимально быстрой и беспроблемной, поэтому мы должны просто попросить пользователя отправить его электронное...

11
Надежное хранение секретных данных в клиентском веб-приложении

У меня есть это веб-приложение, которое будет полностью на стороне клиента (HTML, CSS, JavaScript / AngularJS и т. Д.). Это веб-приложение будет взаимодействовать с REST API для доступа и изменения данных. В настоящее время неясно, какой тип системы аутентификации будет использовать REST API....

11
Как настольные приложения взаимодействовали с удаленным сервером до веб-сервисов?

У меня нет большого опыта работы с настольными приложениями, но если бы мне пришлось создавать настольное приложение клиент-сервер, доступ к данным осуществлялся бы через веб-сервис. Я считаю, что доступ к данным через веб-сервис обеспечивает безопасность - мне не нужно передавать имя пользователя...

10
Поток OAuth2 - проверяет ли сервер с сервером аутентификации?

Я много читал об OAuth2, пытаясь разобраться в этом, но я все еще что-то путаю. Я понимаю, что клиент авторизуется у поставщика OAuth (например, Google) и позволяет серверу ресурсов иметь доступ к данным профиля пользователя. Затем клиент может отправить токен доступа на сервер ресурсов и получить...