security- все статьи тега ➜ страница 4
Быстрый хэш для non-шифрования используется?
Я по существу готовлю фразы, которые будут помещены в базу данных, они могут быть искажены, поэтому я хочу сохранить короткий хэш из них вместо этого (я буду просто сравнивать, существуют ли они или нет, поэтому хэш идеален). Я предполагаю, что MD5 довольно медленный на 100 000+ запросов, поэтому я хотел бы знать, что было бы лучшим методом хэширования фраз, возможно, выкатывая свою собственную хэш-функцию или используя hash('md4', '...' будет быстрее, в конце концов? Я знаю, что MySQL имеет M ...
Победа над покерным ботом
есть новый покер бот с открытым исходным кодом под названием PokerPirate. Меня интересуют любые творческие способы, с помощью которых веб-приложение может обнаружить/помешать/победить покерного бота. (Это чисто академическая дискуссия, в том же духе, что и PokerPirate был написан.) ...
Испытание блока с безопасностью весны
моя компания оценивает Spring MVC, чтобы определить, следует ли использовать его в одном из наших следующих проектов. До сих пор мне нравится то, что я видел, и прямо сейчас я смотрю на модуль безопасности Spring, чтобы определить, можно ли его использовать. наши требования к безопасности довольно просты, пользователь просто должен ввести имя пользователя и пароль, чтобы иметь возможность получить доступ к определенной части сайта (например, чтобы получить информацию о своем счете); и есть нес ...
Докер и защита паролей
Я недавно экспериментировал с Docker по созданию некоторых сервисов для игры, и одна вещь, которая продолжает меня беспокоить, - это ввод паролей в файл Dockerfile. Я разработчик, поэтому хранение паролей в источнике похоже на удар в лицо. Должно ли это вообще быть проблемой? Существуют ли какие-либо хорошие соглашения о том, как обрабатывать пароли в Dockerfiles? ...
Почему не рекомендуется иметь базу данных и веб-сервер на одной машине?
слушая интервью Скотта Хансельмана с командой переполнение стека (часть 1 и 2), Он был непреклонен в том, что SQL server и сервер приложений должны быть на разных машинах. Это просто чтобы убедиться, что если один сервер скомпрометирован, обе системы недоступны? Проблемы безопасности перевешивают сложность двух серверов (дополнительные расходы, выделенное сетевое соединение между ними, дополнительное обслуживание и т. д.), особенно для небольшого применения, где ни одна часть не использует сли ...
Как шифровать / расшифровывать данные в php?
Я в настоящее время студент, и я изучаю PHP, я пытаюсь сделать простой шифровать/расшифровывать данные в PHP. Я сделал некоторые онлайн-исследования, и некоторые из них были довольно запутанными(по крайней мере для меня). вот что я пытаюсь сделать: у меня есть таблица, состоящая из этих полей (UserID, Fname, Lname, Email, Пароль) Я хочу, чтобы все поля были зашифрованы, а затем расшифрованы(можно ли использовать sha256 для шифрование / расшифровка, если нет алгоритма шифрования) еще одна вещ ...
Почему printf с одним аргументом (без спецификаторов преобразования) устарел?
в книге, которую я читаю, написано, что printf С одним аргументом (без спецификаторов преобразования) является устаревшим. Он рекомендует заменить printf("Hello World!"); С puts("Hello World!"); или printf("%s", "Hello World!"); может кто-нибудь сказать мне, почему printf("Hello World!"); - это плохо? В книге написано, что она содержит уязвимости. Что это за уязвимости? ...
Как безопасно хранить маркер доступа и секретный в Android?
Я собираюсь использовать oAuth для извлечения почты и контактов из google. Я не хочу каждый раз просить пользователя войти в систему, чтобы получить маркер доступа и секрет. Из того, что я понял, мне нужно хранить их с моим приложением либо в базе данных, либо SharedPreferences. Но я немного обеспокоен аспектами безопасности с этим. Я читал, что вы можете шифровать и расшифровывать токены, но злоумышленнику легко просто декомпилировать ваш apk и классы и получить ключ шифрования.что лучший спосо ...
Где хранить JWT в браузере? Как защитить от КСРФ?
Я знаю проверку подлинности на основе файлов cookie. Флаг SSL и HttpOnly может быть применен для защиты аутентификации на основе файлов cookie от MITM и XSS. Однако для его защиты от КСРФ потребуются более специальные меры. Они просто немного сложнее. (ссылка) недавно я обнаружил, что JSON Web Token(JWT) довольно горячий как решение для аутентификации. Я знаю материалы о кодировании, декодировании и проверке JWT. Однако, я не понимаю, почему некоторые веб-сайты / учебники не говорят о необходим ...
Как добавить группу пользователей Active Directory в качестве имени входа в SQL Server
У меня есть приложение .net, которое подключается к SQL Server с помощью проверки подлинности windows. мы не можем использовать проверку подлинности SQL Server в приложении. У нас есть много пользователей Active Directory там для нашего проекта. Таким образом, мы должны создать отдельную учетную запись входа для каждого пользователя Active Directory в SQL Server, а не создавать отдельную учетную запись входа для каждого пользователя AD, есть ли способ использовать группу пользователей active d ...
Как хэшировать пароль
привет, Я хотел бы сохранить хэш пароля на телефоне, но я не уверен, как это сделать. Я могу только, кажется, найти методы шифрования. Каков наилучший способ хэширования пароля? спасибо ...
Я должен хэшировать пароль перед отправкой на сервер?
Я заметил, что большинство сайтов отправляют пароли в виде обычного текста по HTTPS на сервер. Есть ли преимущество, если вместо этого я отправил хэш пароля на сервер? Будет ли это более безопасным? ...
Как включить защиту от DDoS?
DDoS (распределенные атаки типа "отказ в обслуживании") обычно блокируются на уровне сервера, верно? есть ли способ заблокировать его на уровне PHP или, по крайней мере, уменьшить его? Если нет, то каков самый быстрый и наиболее распространенный способ остановить DDoS-атаки? ...
ЯАС для людей
Я имею трудное время понимание в систему jaas. Все это кажется более сложным, чем должно быть (особенно Sun tutorials). Мне нужен простой учебник или пример о том, как реализовать безопасность (аутентификация + авторизация) в java-приложении на основе Struts + Spring + Hibernate с пользовательским репозиторием пользователей. Может быть реализован с помощью ACEGI. ...
Как проверить учетные данные домена?
Я хочу проверить набор учетных данных для контроллера домена. например: Username: STACKOVERFLOWjoel Password: splotchy Способ 1. Запрос Active Directory с олицетворением многие люди предлагают запросить Active Directory для чего-то. Если возникает исключение, то вы знаете, что учетные данные недействительны - как это предлагается в этот вопрос stackoverflow. есть некоторые серьезные недостатки однако: вы не только проверку подлинности с учетной записью домена, но вы делаете неявное автор ...
Проверка подлинности в Elasticsearch
Как определить доступ к безопасности в Elasticsearch? У меня есть плагин elasticsearch-head, но ваш доступ не требует никакой безопасности. ...
Случайное число в диапазоне [min-max] с помощью PHP
есть ли способ генерировать случайное число на основе min и max? например, если min был 1 и max 20, он должен генерировать любое число между 1 и 20, включая 1 и 20? ...
Как передать значение переменной в stdin команды?
Я пишу сценарий оболочки, который должен быть несколько безопасным, т. е. не передает безопасные данные через параметры команд и предпочтительно не использует временные файлы. Как я могу передать переменную в stdin команды? Или, если это невозможно, Как правильно использовать временные файлы для таких задач? ...
Как предотвратить CSRF в приложении RESTful?
подделка межсайтовых запросов (CSRF) обычно предотвращается одним из следующих методов: Проверьте referer-спокойный, но ненадежный вставьте токен в форму и сохраните токен в сеансе сервера-не очень RESTful загадочный один раз URIs-не успокоительный по той же причине, что и токены отправить пароль вручную для этого запроса (не кэшированный пароль, используемый с http auth) - RESTful но не удобно моя идея состоит в том, чтобы использовать секрет пользователя, загадочный, но статический идентифи ...
Соль поколение и открытого программного обеспечения
насколько я понимаю, наилучшей практикой для генерации солей является использование некоторой загадочной формулы (или даже магической константы), хранящейся в вашем исходном коде. Я работаю над проектом, который мы планируем выпустить как с открытым исходным кодом, но проблема в том, что с исходным кодом приходит секретная формула для генерации солей, и поэтому возможность запускать атаки rainbow table на нашем сайте. Я полагаю, что многие люди рассматривали эту проблему передо мной, и я интер ...