«security» etiketlenmiş sorular

Uygulama güvenliği ve yazılıma yönelik saldırılarla ilgili konular. Lütfen bu etiketi tek başına kullanmayın, bu belirsizliğe yol açar. Sorunuz belirli bir programlama sorunuyla ilgili değilse, lütfen bunun yerine Information Security SE'de sormayı düşünün: https://security.stackexchange.com

14
Neden yakın etiketi atlamalıyım?
Ben ?>dosya sonunda PHP yakın etiketi kullanmak için kötü uygulama okumaya devam . Başlık sorunu aşağıdaki bağlamda önemsiz görünüyor (ve şu ana kadarki tek iyi argüman budur): PHP'nin modern sürümleri php.ini dosyasında output_buffering bayrağını ayarlar Çıktı tamponlaması etkinse, HTML çıktısını verdikten sonra HTTP üstbilgilerini ve çerezlerini ayarlayabilirsiniz, çünkü döndürülen kod …
15
Sertifika ve özel anahtardan .pfx dosyası nasıl oluşturulur?
IIS'de web sitesine https yüklemek için .pfx dosyasına ihtiyacım var. İki ayrı dosyam var: sertifika (.cer veya pem) ve özel anahtar (.crt) ancak IIS yalnızca .pfx dosyalarını kabul eder. Açıkçası sertifikayı yükledim ve sertifika yöneticisinde (mmc) kullanılabilir ancak Sertifika Verme Sihirbazı'nı seçtiğimde PFX biçimini seçemiyorum (gri renkte) Bunu yapmak için …
10
Yazılım lisans anahtarları nasıl oluşturulur?
Lisans anahtarları, korsanlıkla mücadele tedbiri olarak defacto standardıdır. Dürüst olmak gerekirse, bu , lisans anahtarlarının nasıl oluşturulduğuna dair hiçbir fikrim olmamasına rağmen, belirsizliğin İçinden Güvenlik olarak içeri giriyor . Lisans anahtarı oluşturmanın iyi (güvenli) örneği nedir? Hangi kriptografik ilkel (varsa) kullanıyorlar? Bir mesaj özeti mi? Eğer öyleyse, hangi verileri toplarlardı? …
11
Sertifikayı sunucudan almak için openssl kullanma
Anahtar sunucuma eklemek ve java uygulamamda kullanmak için kullanabileceğim uzak bir sunucunun sertifikasını almaya çalışıyorum. Üst düzey bir dev (kim tatillerde :() bana bunu çalıştırabilir: openssl s_client -connect host.host:9999 Ham sertifikayı almak için kopyalayıp dışa aktarabilirim. Aşağıdaki çıktıyı alıyorum: depth=1 /C=NZ/ST=Test State or Province/O=Organization Name/OU=Organizational Unit Name/CN=Test CA verify error:num=19:self …
14
Neden birdenbire Firefox'ta "Karma aktif içeriği yüklemeyi engelledi" sorunu alıyorum?
Bu sabah, Firefox tarayıcımı en son sürüme (22'den 23'e) yükselttikten sonra, arka ofisimin (web sitesinin) bazı önemli özellikleri çalışmayı durdurdu. Firebug günlüğüne bakıldığında aşağıdaki hatalar bildiriliyordu: Blocked loading mixed active content "http://code.jquery.com/ui/1.8.10/themes/smoothness/jquery-ui.css" Blocked loading mixed active content "http://ajax.aspnetcdn.com/ajax/jquery.ui/1.8.10/jquery-ui.min.js"` yukarıdaki ikisinin yüklenmemesinden kaynaklanan diğer hataların yanı sıra. Yukarıdakiler ne anlama geliyor …
30
PreparedStatement IN yan tümcesi alternatifleri?
SQL enjeksiyon saldırısı güvenlik sorunları nedeniyle birden çok değer için desteklenmeyen, INörnekleriyle bir SQL yan tümcesi kullanmak için en iyi geçici çözümler nelerdir java.sql.PreparedStatement: Bir ?yer tutucu, değerler listesi yerine bir değeri temsil eder. Aşağıdaki SQL deyimini düşünün: SELECT my_column FROM my_table where search_column IN (?) Kullanım preparedStatement.setString( 1, "'A', …
30
Görüntü tabanlı olmayan pratik CAPTCHA yaklaşımları?
Kilitli . Bu soru ve cevapları kilitlidir çünkü soru konu dışıdır, ancak tarihsel önemi vardır. Şu anda yeni yanıtları veya etkileşimleri kabul etmiyor. Stack Overflow'a CAPTCHA desteği ekleyeceğiz gibi görünüyor . Bu, botları, spam gönderenleri ve diğer kötü amaçlı komut dosyası etkinliklerini önlemek için gereklidir. Sadece insanların burada bir şeyler …
3
Kimlik doğrulama ve oturum yönetimi için SPA en iyi uygulamaları
Angular, Ember, React, vb. Gibi çerçeveler kullanarak SPA tarzı uygulamalar geliştirirken, insanlar kimlik doğrulama ve oturum yönetimi için en iyi uygulamaların ne olduğuna inanıyorlar? Soruna yaklaşmayı düşünmenin birkaç yolunu düşünebilirim. API ve kullanıcı arayüzünün aynı başlangıç ​​alanına sahip olduğunu varsayarak, normal bir web uygulamasıyla kimlik doğrulamasından farklı şekilde davranmayın. Bu …
7
JWT kodunu çözebilirseniz, nasıl güvende olurlar?
Bir JWT alırsam ve yükü çözebilirsem, bu nasıl güvenli? Jetonu başlıktan alıp, koddaki kullanıcı bilgilerini deşifre edip değiştirip aynı doğru kodlanmış sır ile geri gönderemedim mi? Güvenli olmaları gerektiğini biliyorum, ama sadece teknolojileri anlamak istiyorum. Neyi kaçırıyorum?
16
“Çifte karma” bir şifreyi sadece bir kere hash etmekten daha az güvenli midir?
Depolamadan önce iki kez bir şifre koymak, yalnızca bir kez şifre koymaktan daha fazla mı yoksa daha az güvenli mi? Bahsettiğim şey bunu yapmak: $hashed_password = hash(hash($plaintext_password)); bunun yerine: $hashed_password = hash($plaintext_password); Daha az güvenliyse, iyi bir açıklama (veya bir bağlantı) sağlayabilir misiniz? Ayrıca, kullanılan karma işlevi bir fark yaratır …
4
CSRF önleme belirteçlerini çerezlere koymak neden yaygındır?
CSRF ile ilgili tüm sorunu ve bunu önlemek için uygun yolları anlamaya çalışıyorum. (Okuduğum, anladığım ve kabul ettiğim kaynaklar: OWASP CSRF Önleme Hile Sayfası , CSRF hakkında sorular .) Anladığım kadarıyla, CSRF çevresindeki güvenlik açığı, (web sunucusunun bakış açısından) gelen bir HTTP isteğindeki geçerli bir oturum çerezinin kimliği doğrulanmış bir …
284 security  cookies  web  csrf  owasp 
1
IIS / ASP.NET için tüm kullanıcı hesapları nelerdir ve aralarındaki farklar nelerdir?
ASP.NET 4.0 yüklü Windows Server 2008 altında, ilgili kullanıcı hesaplarıyla ilgili bir sürü var ve hangisinin hangisi, nasıl farklılık gösterdiği ve hangisinin GERÇEKTEN benim uygulamamın altında çalıştığını anlayamıyorum. İşte bir liste: IIS_IUSRS IUSR DefaultAppPool ASP.NET v4.0 NETWORK_SERVICEkullanıcı YEREL SERVİS. Ne nedir?
27
GET veya POST, diğerinden daha güvenli mi?
Bir HTTP GET'i bir HTTP POST ile karşılaştırırken, güvenlik açısından farklılıklar nelerdir? Seçeneklerden biri doğası gereği diğerinden daha mı güvenli? Öyleyse neden? POST'un URL hakkında bilgi göstermediğini, ancak bunun gerçek bir değeri olduğunu veya belirsizliğin sadece güvenlik olduğunu mu fark ediyorum? Güvenlik bir endişe olduğunda POST'u tercih etmem için bir …
282 html  security  http 
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.