security- все статьи тега ➜ страница 2
Общедоступный идентификатор пользователя для публичного профиля
Я хочу создать общедоступную страницу профиля для каждого пользователя на моем веб-сайте. Что-то очень похожее на так называемые профили пользователей. Но я не хочу разоблачать Guid, который я использую в качестве ПК. Также я не знаю, насколько уникальным будет имя пользователя в течение всего срока службы сайта, чтобы использовать его в url. Вопрос в том, как SO сам делает это в url https://stackoverflow.com/users/242506/nubm ? Имя пользователя может быть удалено, и url-адрес все еще работае ...
Django UpdateView без pk в url-адресе
Я использую приложение Django UpdateView для обновления профиля пользователя. Я передаю pk профиля в url следующим образом: url(r'^profile/edit/(?P<pk>(d+))$', profileviews.ProfileUpdateView.as_view(), И в view.py, я просто использую UpdateView: class ProfileUpdateView(UpdateView): model = Profile form_class = UserProfileForm Это может сработать. Однако я обнаруживаю, что если я войду в систему как другой пользователь и введу тот же url, я смогу Редактировать профиль этого ...
Как добавить х-тип содержимого-варианты конфигурации сервера Tomcat
Мой клиент хочет, чтобы я исправил уязвимость моего веб-приложения ниже приведено сообщение об уязвимости моего веб-приложения Заголовку X-Content-Type-Options анти-MIME-Sniffing не было присвоено значение 'nosniff' Эта проверка специфична для Internet Explorer 8 и Google Chrome. Убедитесь, что на каждой странице установлен заголовок > Content-Type и параметры X-CONTENT-TYPE, если заголовок Content-Type неизвестен Хотя я уже нашел какое-то решение этой проблемы, я ищу для решения ...
Любой способ, чтобы прочитать файл конфигурации в систему jaas из памяти
Мы используем JAAS в сильно загруженном веб-сервере. Файл конфигурации загружается из файла, System.setProperty("java.security.auth.login.config", "/config/jaas.config"); Во время профилирования мы заметили, что конфигурация загружается из файла при каждой попытке входа в систему. Это операция ввода-вывода, которую мы стараемся избегать. Есть ли вообще возможность хранить конфигурацию JAAS в памяти? ...
Безопасный хэш и соль для PHP паролей
в настоящее время говорят, что MD5 частично небезопасен. Учитывая это, я хотел бы знать, какой механизм использовать для защиты паролем. этот вопрос является ли" двойное хэширование " паролем менее безопасным, чем просто хэширование его один раз? предполагает, что хеширование несколько раз может быть хорошей идеей, в то время как как реализовать защиту паролем для отдельных файлов? предлагает использовать соль. Я использую PHP. Я хочу безопасный и быстрый система шифрования паролей. Хэширован ...
Каков наилучший метод для очистки пользовательского ввода с помощью PHP?
есть ли где-то функция catchall, которая хорошо работает для дезинфекции пользовательского ввода для SQL-инъекций и XSS-атак, при этом позволяя определенные типы html-тегов? ...
SQL-инъекция, которая обходит реальную escape-строку mysql()
есть ли возможность SQL-инъекции даже при использовании ...
Как bcrypt может иметь встроенные соли?
статья кода Хейла "Как безопасно хранить пароль" утверждает, что: bcrypt имеет встроенные соли для предотвращения атак радужных таблиц. Он цитирует этой статье, что говорит о том, что в реализации OpenBSD bcrypt: OpenBSD генерирует 128-битную соль bcrypt из arcfour (arc4random (3)) ключевой поток, засеянный случайными данными ядра собирает от прибора синхронизации. Я не понимаю, как это может работать. В моем представлении о соли: он должен быть разным для каждого сохраненного ...
В чем разница между Integrated Security = True и Integrated Security = SSPI?
у меня есть два приложения, которые используют интегрированную систему безопасности. Один назначает Integrated Security = true в строке подключения, а остальные наборы Integrated Security = SSPI. В чем разница между SSPI и true в контексте комплексной безопасности? ...
Что каждый программист должен знать о безопасности? [закрытый]
Я студент ИТ, и я сейчас на 3-м курсе в университете. До сих пор мы изучали много предметов, связанных с компьютерами в целом (Программирование, алгоритмы, компьютерная архитектура, математика и т. д.). Я очень уверен, что никто не может узнать все о безопасности, но уверен, что есть "минимальные" знания каждый программист или ИТ-студент должен знать об этом, и мой вопрос в том, что это минимальные знания? можете ли вы предложить некоторые электронные книги или курсы или что-нибудь может помоч ...
Как создаются лицензионные ключи программного обеспечения?
лицензионные ключи являются стандартом defacto в качестве антипиратской меры. Честно говоря, это поражает меня как (in)безопасность через неизвестность, хотя я действительно не знаю, как генерируются лицензионные ключи. Что такое хороший (безопасный) пример генерации лицензионного ключа? Какой криптографический примитив (если таковой имеется) они используют? Это дайджест сообщения? Если да, то какие данные они будут хэшировать? Какие методы используют разработчики, чтобы сделать его трудным для ...
Является ли порт http cookies специфичным?
У меня есть две службы HTTP, работающие на одной машине. Я просто хочу знать, делятся ли они своими куки или браузер различает два сокета сервера. ...
Каковы все учетные записи пользователей для IIS / ASP.NET и чем они отличаются?
под Windows Server 2008 с ASP.NET 4.0 установлен целый ряд связанных учетных записей пользователей, и я не могу понять, какой из них, как они отличаются, и какой из них действительно тот, под которым работает мое приложение. Вот список: группу iis_iusrs IUSR DefaultAppPool ASP.NET v4. 0 NETWORK_SERVICE МЕСТНАЯ СЛУЖБА. Что это? ...
Использование openssl для получения сертификата с сервера
Я пытаюсь получить сертификат удаленного сервера, который затем можно использовать для добавления в мое хранилище ключей и использовать в моем приложении java. старший dev (который находится в отпуске : () сообщил мне, что я могу запустить это: openssl s_client -connect host.host:9999 чтобы получить необработанный сертификат, который я могу скопировать и экспортировать. Я получаю следующий вывод: depth=1 /C=NZ/ST=Test State or Province/O=Organization Name/OU=Organizational Unit Name/CN=Test ...
Где вы храните свои солевые струны?
Я всегда использовал правильную строку соли для каждой записи при хэшировании паролей для хранения базы данных. Для моих нужд хранение соли в БД рядом с хэшированным паролем всегда работало нормально. однако некоторые люди рекомендуют хранить соль отдельно от базы данных. Их аргумент заключается в том, что если база данных скомпрометирована, злоумышленник все равно может построить радужную таблицу с учетом конкретной строки соли, чтобы взломать одну учетную запись за раз. Если это учетная запи ...
Как получить файл с сервера через SFTP?
Я пытаюсь получить файл с сервера с помощью SFTP (в отличие от FTPS) с помощью Java. Как я могу это сделать? ...
SHA512 против Blowfish и Bcrypt [закрыто]
Я смотрю на алгоритмы хэширования, но не могу найти ответ. Bcrypt использует Blowfish Blowfish лучше, чем MD5 Q: но Blowfish лучше, чем SHA512? спасибо.. обновление: Я хочу уточнить, что я понимаю разницу между хэширования и шифрования. Что побудило меня задать вопрос таким образом в этой статье,где автор ссылается на осуществляется как "адаптивное хеширование" поскольку bcrypt основан на Blowfish, я был вынужден думать, что Blowfish-это алгоритм хэширования. Если это шифрование, как ук ...
Что такое ретполин и как он работает?
для того, чтобы смягчить против ядра или кросс-процесс раскрытия памяти (Spectre атаки), ядро Linux1 будет скомпилирован с новой опцией,-mindirect-branch=thunk-extern представил gcc для выполнения косвенных вызовов через так называемый retpoline. это, кажется, недавно изобретенный термин, как поиск Google оказывается только очень недавнее использование (как правило, все в 2018 году). что такое ретполин и как это происходит это предотвратит недавние атаки на раскрытие информации ядра? 1 это н ...
Является ли SecureString когда-либо практичным в приложении C#?
не стесняйтесь поправлять меня, если мои предположения здесь неверны, но позвольте мне объяснить, почему я спрашиваю. взято из MSDN, a SecureString: представляет собой текст, который должен быть конфиденциальным. Текст шифруется для обеспечения конфиденциальности при использовании и удаляется из памяти компьютера, когда он больше не нужен. я понимаю, что имеет смысл хранить пароль или другую личную информацию в SecureString на System.String, потому что вы может контролировать, как и когда ...
Как создать самозаверяющий сертификат для подписи кода в Windows?
Как создать самозаверяющий сертификат для подписи кода с помощью средств из Windows SDK? ...