security- все статьи тега ➜ страница 5
Является ли это Rails JSON authentication API (с помощью Devise) безопасным?
моих Rails приложение использует разработать для проверки подлинности. Он имеет сестру iOS приложение, и пользователи могут войти в приложение, используя те же учетные данные для веб-приложения. Поэтому мне нужен какой-то API для аутентификации. много подобных вопросов здесь пункт в этом уроке, но он, кажется, устарел, так как token_authenticatable модуль с тех пор был удален из Devise и некоторые из строк бросают ошибки. (Я использую Devise 3.2.2.) Я попытался свернуть мой собственный на основ ...
Зачем использовать ключ API и секрет?
Я столкнулся со многими API, которые дают пользователю как API ключ и секрет. Но мой вопрос: в чем разница между обоими? на мой взгляд, одного ключа может быть достаточно. Скажем, у меня есть ключ, и только я и сервер это знаем. Я создаю хэш HMAC с этим ключом и делаю вызов API. На сервере мы снова создаем хэш HMAC и сравниваем его с отправленным хэшем. Если это то же самое, вызов аутентифицируется. Так зачем использовать два ключи? Edit: или этот ключ API используется для поиска секрета API ...
Защита API: базовая аутентификация SSL и HTTP против подписи
при разработке API для нашего веб-приложения мы будем использовать их поддомен в качестве "имени пользователя" и генерировать ключ API/общий секрет. Во-первых, можно ли использовать поддомен в качестве имени пользователя? Я не вижу пользы в создании другого ключа. различные API, похоже, делают одну из двух вещей: использовать обычную аутентификацию HTTP с SSL в каждом запросе имя пользователя устанавливается в поддомен и пароль к API ключ. Поскольку мы используем SSL, то это должно быть безо ...
Как правильно добавить токен CSRF с помощью PHP
Я пытаюсь добавить некоторую безопасность в формы на моем сайте. Одна из форм использует AJAX, а другая-это простая форма "свяжитесь с нами". Я пытаюсь добавить токен CSRF. Проблема, с которой я сталкиваюсь, заключается в том, что токен появляется только в HTML "value" некоторое время. В остальное время значение пусто. Вот код, который я использую в форме AJAX: PHP: if (!isset($_SESSION)) { session_start(); $_SESSION['formStarted'] = true; } if (!isset($_SESSION['token'])) {$token = md5(u ...
Шифрование / хэширование простых текстовых паролей в базе данных
Я унаследовала веб-приложение, которое я только что обнаружил, хранит более 300 000 имен пользователей / паролей в виде обычного текста в базе данных SQL Server. Я понимаю, что это очень плохо™. зная, что мне придется обновить процессы обновления логина и пароля для шифрования/дешифрования и с наименьшим влиянием на остальную часть системы, что бы вы рекомендовали как лучший способ удалить простые текстовые пароли из базы данных? любая помощь оцененный. Edit: Извините, если я был неясен, я х ...
https URL с параметром токена: насколько это безопасно?
на нашем сайте мы предоставляем пользователям симуляцию на основе их личной информации (предоставленной через форму). Мы хотели бы позволить им вернуться к своим результатам моделирования позже, но не заставляя их создавать учетную запись для входа/пароля. мы подумали о том, чтобы отправить им электронное письмо со ссылкой, из которой они могли бы получить свои результаты. Но, естественно, мы должны защитить этот URL, потому что на карту поставлены личные данные. Итак, мы собираемся пройти a ...
PHP image upload security check list
я программирую скрипт для загрузки изображений в мое приложение. Достаточно ли следующих шагов безопасности, чтобы сделать приложение безопасным со стороны скрипта? отключить PHP от запуска внутри папки загрузки с помощью .httaccess. не разрешать загрузку, если имя файла содержит строку "php". разрешить только расширения: jpg, jpeg, gif и png. разрешить только тип файла изображения. запретить изображение с двумя файлами тип. изменить имя изображения. загрузить в подкаталог не корневой каталог. ...
SQL Server возвращает ошибку "Ошибка входа для пользователя' NT AUTHORITYANONYMOUS LOGON'."в Windows приложения
приложение, которое работает без проблем (и не было никакой активной разработки сделано на нем около 6 месяцев или около того) недавно начал не удается подключиться к базе данных. Администраторы операций не могут сказать, что могло бы измениться, что вызвало бы проблему. клиентское приложение использует жестко закодированную строку подключения с Integrated Security=True, но когда приложения пытаются создать соединение с базой данных, оно выдает исключение SQLException со словами " ошибка входа ...
Как можно использовать уязвимость Format-String?
Я читал об уязвимостях в коде и наткнулся на это Уязвимость Format-String. Википедия говорит: ошибки строки формата чаще всего появляются, когда программист хочет печать строки, содержащей данные, предоставленные пользователем. Программист может ошибочно напишите printf (буфер) вместо printf ("%s", буфер). Этот первая версия интерпретирует буфер как строку формата и анализирует любые форматирование инструкции он может содержать. Вторая версия просто выводит строку на экран, как и ...
Поиск всего небезопасного контента на защищенной странице
каков наиболее эффективный способ найти список всех URL-адресов, не связанных с HTTPS, запрошенных страницей HTTPS? Если такое нарушение безопасности происходит, каждый браузер предупреждает пользователя, но я не могу найти простой способ найти, какие именно URL-адреса вызывают нарушение. самый простой способ, который я нашел до сих пор, это использовать Firefox, но даже тогда это все еще не очень удобно. Во-первых, я могу щелкнуть правой кнопкой мыши, выбрать просмотр информации о странице, пе ...
Блокировка iPhone / iPod / iPad, поэтому он может запускать только одно приложение
мы хотели бы "заблокировать" iPhone / iPod / iPad, чтобы пользователь мог запускать только одно приложение (мы разработали это приложение внутренне). Я предполагаю, что мы будем смотреть на джейлбрейк, а затем заменить (?) по умолчанию трамплин приложение. мы можем это сделать? Если да, то как? EDIT:Рик опубликовал отличный ответ ниже. Вы можете скачать копию файла mobileconfig с URL ниже, если вы посетите этот URL на своем устройстве iOS Safari предложит вам установите профиль. Не забудьте п ...
Является ли время () хорошей солью?
Я смотрю на какой-то код, который я не написал сам. Код пытается хэшировать пароль с помощью SHA512 и использует только time() как соль. Это time() слишком простая соль для этого или этот код безопасен? Спасибо за ответы и комментарии. Я подведу итог здесь для новых читателей: соль должна быть разной для каждого пользователя, поэтому, если 2 пользователя регистрируются одновременно, их соли не будут уникальными. Это проблема, но не большая. но соль не должна быть каким-либо образом связана с ...
Защита пароля в файле свойств [дубликат]
этот вопрос уже есть ответ здесь: шифровать пароль в конфигурационных файлах? [закрыто] 10 ответов У меня есть Java-приложение, которое подключается к базе данных. Имя пользователя и пароль для базы данных хранятся в файле свойств. Какова общая практика, чтобы избежать хранения пароль в открытом тексте в файле свойств, сохраняя при этом возможность позволить пользователю изменить его? Основной мотивацией ...
В SQL Server 2005 С Как изменить имя для входа в систему ДБО
У меня есть база данных с пользователем 'dbo', который имеет имя Входа "domainxzy". Как изменить его с "domainxzy"на" domainabc". ...
Как реализовать соль в моем логине для паролей?
Я хочу реализовать соль в моей системе входа в систему, но я немного запутался в том, как это должно работать. Я не могу понять логику этого. Я понимаю, что md5-это односторонний алгоритм, и все функции, с которыми я столкнулся, похоже, хешируют все вместе. Если это так, то как можно получить пароль обратно для сравнения? Мой самый большой вопрос: Как солить пароль пользователя безопаснее, чем просто хэшировать пароль? Если база данных не будет нарушена, хэш с солью находится в базе данных. Раз ...
Как создать хешированный пароль фреймворк Laravel
Я пытаюсь создать хэшированный пароль для Laravel. Теперь кто-то сказал мне использовать Laravel hash helper, но я не могу его найти, или я смотрю в неправильном направлении. Как создать хэшированный пароль laravel? И где же? изменить: Я знаю, что такое код, но я не знаю, где и как его использовать, поэтому он возвращает мне хэшированный пароль. Если я получу хэшированный пароль, то я могу вручную вставить его в базу данных ...
Каков в настоящее время наиболее безопасный алгоритм одностороннего шифрования?
как многие знают, одностороннее шифрование-это удобный способ шифрования паролей пользователей в базах данных. Таким образом, даже администратор базы данных не может знать пароль пользователя, но должен будет угадать пароль, зашифровать его с помощью того же алгоритма, а затем сравнить результат с зашифрованным паролем в базе данных. Это означает, что процесс выяснения пароля требует огромного количества догадок и большой вычислительной мощности. видя, что компьютеры просто продолжайте ускорять ...
Встраивание видео youtube " отказано в отображении документа, поскольку отображение запрещено X-Frame-Options"
Я пытаюсь вставить видео youtube на мою страницу, как только пользователь дает ссылку на видео. <iframe width='560' height='315' src='http://www.youtube.com/watch?v=<video id>&output=embed' frameborder='0' allowfullscreen></iframe> но когда я пытаюсь добавить это, я получаю эту ошибку. После проверки страницы в chrome, я вижу эту ошибку на вкладке консоли "отказано в отображении документа из-за отображения запрещено X-Frame-Options" Я не могу видеть видео да ...
Какие общие веб-эксплойты я должен знать? [закрытый]
Я довольно зеленый все еще, когда дело доходит до веб-программирования, я провел большую часть своего времени на клиентских приложениях. Поэтому мне любопытно, какие общие подвиги я должен бояться/тестировать на своем сайте. ...
Массивы в cookies PHP
Как правильно хранить массив в cookie? в PHP Пример кода: $number_ticket=2; $info[7][5]=1; $info[8][5]=1; ...