Вопросы с тегом «security»

10
Могут ли разработчики чему-то научиться, изучая вредоносное ПО? [закрыто]

Закрыто. Этот вопрос не по теме . В настоящее время он не принимает ответы. Хотите улучшить этот вопрос? Обновите вопрос, чтобы он соответствовал теме разработки программного обеспечения стека Exchange. Закрыто 4 года назад . Вредоносные программы используют интересные методы, позволяющие скрыться...

10
Что такое разумный и безопасный пароль для регистрации пользователя?

Это политика паролей, которую я только что получил от UPS (только для проверки статуса пакета): Ваш пароль должен быть длиной от 8 до 26 символов. Он должен содержать как минимум три следующих типа символов: строчные буквы, заглавные буквы, цифры, специальные символы или пробелы. Пароль не может...

10
Как я могу запретить программистам захватывать данные, введенные пользователями?

Я разрабатываю веб-приложение с упором на безопасность. Какие меры могут быть приняты, чтобы не дать тем, кто работает с приложением (программистам, администраторам баз данных, персоналу по обеспечению качества), захватывать введенные пользователем значения, которые должны быть надежно защищены,...

10
Слабые стороны 3-Strike Security

Я читал некоторую литературу по безопасности, в частности по безопасности паролей / шифрованию, и мне было интересно одно: правило 3-го удара - идеальное решение для защиты паролем? То есть, если количество попыток ввода пароля ограничено небольшим числом, после которого все запросы на проверку...

10
Поток OAuth2 - проверяет ли сервер с сервером аутентификации?

Я много читал об OAuth2, пытаясь разобраться в этом, но я все еще что-то путаю. Я понимаю, что клиент авторизуется у поставщика OAuth (например, Google) и позволяет серверу ресурсов иметь доступ к данным профиля пользователя. Затем клиент может отправить токен доступа на сервер ресурсов и получить...

10
Каковы уникальные аспекты жизненного цикла программного обеспечения атаки / инструмента на уязвимость программного обеспечения?

В моем местном университете есть небольшой студенческий компьютерный клуб, насчитывающий около 20 студентов. В клубе есть несколько небольших команд с особыми сферами деятельности, такими как разработка мобильных приложений, робототехника, разработка игр и взлом / безопасность. Я знакомлю вас с...

10
Является ли использование условий безопасности в представлении нарушением MVC?

Часто то, что отображается пользователю (например, на веб-странице), будет частично основано на проверках безопасности. Обычно я считаю, что безопасность на уровне пользователя / ACL является частью бизнес-логики системы. Если представление явно проверяет безопасность для условного отображения...

10
Действительно ли маскировка необходима при отправке из клиента Websocket?

В соответствии с действующим RFC для Websocket, клиенты Websocket при отправке маскируют все данные внутри фреймов (но сервер не обязан). Причина, по которой протокол был разработан таким образом, заключается в том, чтобы предотвратить изменение данных фрейма вредоносными службами между клиентом и...

10
Как избежать несанкционированного использования API?

Мне нужно разработать «виджет», скрипт, который партнеры будут вставлять на свои веб-сайты для отображения некоторого пользовательского интерфейса и выполнения вызовов нашего API. В основном он будет отображать наши данные на этих сайтах на основе некоторых идентификаторов, которые они...

10
Хранение секретов вне контроля над исходным кодом - мы только перемещаем проблему?

Я унаследовал несколько проектов, в которых секреты находились в системе контроля версий в App.config и подобных файлах. К счастью, это не публичное хранилище, поэтому риск не такой серьезный, как мог бы быть. Я ищу более эффективные способы управления этим, такие как Azure KeyVault. (Но я не...

9
Когда ИТ-консультант должен использовать полное шифрование диска?

При каких обстоятельствах ИТ-консультант должен зашифровать свой жесткий диск для защиты своего кода / данных своих клиентов? Я думаю, что если это не сильно увеличивает вашу рабочую нагрузку, вы также можете использовать полное шифрование диска со «слабым» паролем, чтобы, по крайней мере,...

9
Вы активно думаете о безопасности при кодировании?

Когда вы пишете код, думаете ли вы о том, что ваш код может эксплуатироваться так, как он изначально не предназначен, и, таким образом, получать доступ к защищенной информации, запускать команды или что-то еще, что вы не хотели бы, чтобы ваши пользователи...

9
Разрешения / правильная модель / шаблон для приложения .NET

Мне нужно реализовать гибкий И простой (если такая вещь существует) и в то же время использовать встроенные средства, если это возможно До сих пор я реализовал MembershipProvider и RoleProviders. Это круто, но куда мне идти дальше? Я чувствую, что мне нужно добавить термин «Привилегия», а затем...

9
Подражая Exchange Server «RBAC AuthZ» в моем собственном приложении… (есть что-то подобное?)

Exchange 2010 имеет модель делегирования, в которой группы командлетов winrm по существу группируются в роли, а роли назначаются пользователю. ( Источник изображения ) Это отличная и гибкая модель, учитывающая, как я могу использовать все преимущества PowerShell, используя правильные технологии...

9
Как отделить конфиденциальные данные в базе данных (MySql)

Мне нужно разработать базу данных, которая будет содержать информацию о личных заболеваниях пользователей. Каким может быть подход для реализации столбцов таблиц БД: шифровать информацию, разделять данные в двух разных БД, одну для конфиденциальных данных и другую для не конфиденциальных данных,...

9
Как CDN защищают отказоустойчивые сайты от DDoS-атак?

Я нахожусь в процессе разработки веб-приложения на Java, которое я, вероятно, в конечном итоге разверну в Google App Engine (GAE). Хорошая вещь в GAE заключается в том, что мне действительно не нужно беспокоиться о защите моего приложения от страшной DDoS-атаки - я просто указываю «потолок...

9
Должны ли права доступа и роли быть включены в полезную нагрузку JWT?

Должна ли информация о разрешениях и ролях клиента быть включена в JWT? Наличие такой информации в токене JWT будет очень полезно, так как каждый раз, когда приходит действительный токен, будет легче извлечь информацию о разрешении о пользователе, и не будет необходимости вызывать базу данных для...