security- все статьи тега ➜ страница 3
Разница между Java.утиль.Случайные и java.безопасность.SecureRandom
моей команде передали некоторый код на стороне сервера( на Java), который генерирует случайные токены, и у меня есть вопрос относительно того же - цель этих токенов довольно чувствительна-используется для идентификатора сеанса, ссылок сброса пароля и т. д. Таким образом, они должны быть криптографически случайными, чтобы избежать того, чтобы кто-то их угадал или грубо принудил их к этому. Маркер является "длинным", поэтому он имеет длину 64 бита. код в настоящее время используется java.util.Ra ...
SSO с CAS или OAuth?
интересно, если я должен использовать CAS протокол или OAuth + некоторые проверки подлинности единого входа. Пример: пользователь пытается получить доступ к защищенному ресурсу, но не прошел проверку подлинности. приложение перенаправляет пользователя на сервер SSO. если проигрываю проверку подлинности пользователь получает токен от сервера единого. SSO перенаправляет на оригинал приложение. исходное приложение проверяет маркер на сервере SSO. если маркер в порядке, доступ будет разрешен, и п ...
Генерация случайного пароля в php
Я пытаюсь создать случайный пароль в php. однако я получаю все ' a и возвращаемый тип имеет тип массива, и я хотел бы, чтобы это была строка. Есть идеи, как исправить код? спасибо. function randomPassword() { $alphabet = "abcdefghijklmnopqrstuwxyzABCDEFGHIJKLMNOPQRSTUWXYZ0123456789"; for ($i = 0; $i < 8; $i++) { $n = rand(0, count($alphabet)-1); $pass[$i] = $alphabet[$n]; } return $pass; } ...
Как работает политика безопасности контента?
Я получаю кучу ошибок в консоли разработчика: отказался оценивать строку отказано в выполнении встроенного сценария, поскольку он нарушает следующую директиву политики безопасности контента отказано в загрузке скрипта отказался загружать таблицу стилей что все это значит? Как работает политика безопасности контента? Как я могу использовать Content-Security-Policy HTTP заголовок? в частности, как... ...разрешить несколько источников? ...использовать разные директивы? ...и ...
Если вы можете декодировать JWT, как они защищены?
Я люблю JWT,это действительно интересно работать. Мой вопрос: если я получаю JWT и могу декодировать полезную нагрузку, как это безопасно? Не могу ли я просто взять маркер из заголовка, декодировать и изменять информацию о пользователе в полезной нагрузке и отправить его обратно с тем же правильным закодированным секретом? Я знаю, что они должны быть, мне просто очень нравится понимать технологии. Чего мне не хватает? Спасибо! ...
JavaScript: проверка на стороне клиента и сервера
что лучше делать на стороне клиента или на стороне сервера проверки? в нашей ситуации мы используем jQuery и MVC. данные JSON для передачи между нашим представлением и контроллером. большая часть проверки, которую я делаю, проверяет данные по мере их ввода пользователями. Например, я использую the keypress событие чтобы предотвратить появление букв в текстовом поле, установите максимальное количество символов и чтобы число находилось в диапазоне. Я думаю, лучший вопрос был бы, есть ли ...
Инструменты обфускации .NET / стратегия [закрыто]
мой продукт имеет несколько компонентов: ASP.NET, приложение Windows Forms и служба Windows. 95% или около того кода написано в VB.NET. по причинам интеллектуальной собственности мне нужно запутать код, и до сих пор я использовал версию dotfuscator, которая теперь старше 5 лет. Я думаю, что пришло время перейти к инструменту нового поколения. Что я ищу-это список требований, которые я должен учитывать при поисках нового обфускатора. Что Я знаю, что я должен искать до сих пор: сериализации/д ...
Как работает этот флажок recaptcha и как я могу его использовать?
Я недавно зарегистрировался на сайте oneplusone https://account.oneplus.net/sign-up, и заметил этот флажок recaptcha Как это работает, и как я могу использовать его на своих сайтах? Гораздо лучше, чем эти загадочные слова / цифры:) на сайте recaptcha не упоминается ни один новый метод recaptcha... https://www.google.com/recaptcha/intro/index.html ...
Почему этот код уязвим для атак переполнения буфера?
int func(char* str) { char buffer[100]; unsigned short len = strlen(str); if(len >= 100) { return (-1); } strncpy(buffer,str,strlen(str)); return 0; } этот код уязвим для атаки переполнения буфера, и я пытаюсь выяснить, почему. Я думаю, что это имеет отношение к len объявляется a short вместо int, но я не совсем уверен. какие идеи? ...
Скрыть пароль UITextField
Я делаю страницу входа. У меня есть UITextField для пароля. очевидно, я не хочу, чтобы пароль был виден; вместо этого я хочу, чтобы круги отображались при вводе. Как вы устанавливаете поле для этого? ...
Проверка подлинности JWT для веб Asp.Net API-интерфейс
Я пытаюсь поддерживать JWT bearer token (JSON Web Token) в моем приложении Web api, и я теряюсь. Я вижу поддержку .net core и OWIN приложения. В настоящее время я размещаю свое приложение над IIS. как я могу достичь этого модуля аутентификации в моем приложении? Есть ли способ я могу использовать <authentication> конфигурация аналогична тому, как я использую формуWindows authentication? ...
Для чего используется папка данных приложения в Visual Studio?
при создании нового ASP.NET приложение в Visual Studio несколько файлов и папок создаются автоматически. Одна из этих папок называется App_Data. также при публикации веб-сайта, выбрав пункт меню Build->Publish флажок доступен Include files from the App_Data folder. правильно ли я предполагаю, что файлы, помещенные в этот файл и его подпапки, не будут доступны через интернет? Например, было бы безопасно поместить в эту папку ресурсы, которые я только намерены ли вы использовать код приложени ...
Должен ли я наложить максимальную длину на пароли?
Я могу понять, что наложение минимальной длины на пароли имеет большой смысл (чтобы спасти пользователей от себя), но мой банк есть требование, чтобы пароли были длиной от 6 до 8 символов, и я начал задаваться вопросом... разве это не облегчит атаки грубой силы? (Плохо) означает ли это, что мой пароль хранится в незашифрованном виде? (Плохо) Если кто-то (надеюсь) хорошие это специалисты по безопасности, работающие на них, вводят максимальную длину пароля, должен ли я думать о том, чтобы делат ...
Как решить медленный Java 'SecureRandom'?
Если вы хотите криптографически сильное случайное число в Java, вы используете SecureRandom. К сожалению, SecureRandom может быть очень медленным. Если он использует /dev/random в Linux он может блокировать ожидание достаточной энтропии для создания. Как избежать штрафа за производительность? кто-нибудь использовал Необычная Математика как решение этой проблемы? может ли кто-нибудь подтвердить, что эта проблема производительности была решена в JDK 6? ...
Доступ запрещен при подключении базы данных
Я использую SQL Server 2008 developer edition. Я пытался подключить базу данных AdventureWorks2008. когда я попытался подключиться, я получил сообщение об ошибке "доступ запрещен". Согласно журналу событий, он пришел из O / S: открыть не удалось: не удалось открыть файл D:ProjectDataAdventureWorksAdventureWorksLT2008_Data.МДФ для файла номер 0. Ошибка ОС: 5 (Доступ запрещен.). Я думал, что "проблема NTFS", но система (и я) есть изменить доступ к файлам. Я обнаружил, что могу успеш ...
Секреты OAuth в мобильных приложениях
при использовании протокола OAuth вам нужна секретная строка, полученная из службы, которую вы хотите делегировать. Если вы делаете это в веб-приложении, вы можете просто хранить секрет в своей базе данных или в файловой системе, но как лучше всего обрабатывать его в мобильном приложении (или настольном приложении, если на то пошло)? хранение строки в приложении, очевидно, не очень хорошо, так как кто-то может легко найти его и злоупотреблять им. другой подход будет хранить его на вашем сервер ...
Могу ли я защитить от SQL-инъекции, экранируя одинарные кавычки и окружающий пользовательский ввод с помощью одинарных кавычек?
Я понимаю, что параметризованные SQL-запросы-это оптимальный способ очистки пользовательского ввода при создании запросов, содержащих пользовательский ввод, но мне интересно, что не так с пользовательским вводом и экранированием любых одинарных кавычек и окружением всей строки одинарными кавычками. Вот код: sSanitizedInput = "'" & Replace(sInput, "'", "''") & "'" любая одинарная кавычка, которую вводит пользователь, заменяется двойными одинарными кавычками, что исключает возможность ...
Как работают ключи API и секретные ключи?
Я только начинаю думать о том, как работают ключи api и секретные ключи. Всего 2 дня назад я подписался на Amazon S3 и установил Плагин S3Fox. Они попросили у меня как ключ доступа, так и секретный ключ доступа, оба из которых требуют, чтобы я вошел в систему для доступа. поэтому мне интересно, если они спрашивают меня о моем секретном ключе, они должны хранить его где-то правильно? Разве это не то же самое, что спросить у меня номера моей кредитной карты или пароль и хранить что в их собств ...
Как разрешить содержимое http в iframe на сайте https
я загружаю некоторый HTML в iframe, но когда файл, на который ссылается, использует http, а не https, я получаю следующую ошибку: [заблокировано] страница в {current_pagename} запускала небезопасное содержимое из {referenced_filename} есть ли способ отключить это или любой способ обойти это? iframe не имеет src атрибут и содержимое задаются с помощью: frame.open(); frame.write(html); frame.close(); ...
Шифровать пароль в конфигурационных файлах? [закрытый]
У меня есть программа, которая считывает информацию о сервере из файла конфигурации и хотела бы зашифровать пароль в этой конфигурации, который может быть прочитан моей программой и расшифрован. требования: зашифровать пароль открытого текста, который будет храниться в файле расшифровать зашифрованный пароль, считанный из файла из моей программы любые рекомендации о том, как я буду это делать? Я думал написать свой собственный но я чувствую, что это было бы ужасно небезопасно. ...