«security» etiketlenmiş sorular

Şifreleme ve BT güvenliği ile ilgili sorular için. Bu bilgisayar, ağ veya veritabanı güvenliği olabilir.

7
Özel, yönetilemez URL'ler şifre tabanlı kimlik doğrulamasına eşdeğer midir?
Bir kaynağı web üzerinde göstermek istiyorum. Bu kaynağı korumak istiyorum: yalnızca belirli kişilerin erişimine açık olduğundan emin olmak için. Bir tür şifre tabanlı kimlik doğrulama ayarlayabilirim . Örneğin, kaynağa yalnızca dosya göndermeden önce gelen doğru kimlik bilgileri (belki de bazı kullanıcıların veri tabanına karşı) gelen isteklerini kontrol eden bir web …

7
Güvenlik yoğun bir site için küçük bir hatayı düzeltmek için işe alındınız. Şifreye bakıldığında, güvenlik delikleriyle dolu. Ne yaparsın? [kapalı]
Bir sitede küçük işler yapmak için birileri tarafından işe alındım. Büyük bir şirket için bir site. Çok hassas veriler içeriyor, bu yüzden güvenlik çok önemli. Kodu analiz ettikten sonra, güvenlik delikleriyle dolu olduğunu fark ettim - okudum, bir çok PHP dosyasını doğrudan / mysql isteklerine ve sistem komutlarına girdi / …

3
REST API güvenliği JWT vs OAuth'a saklanan jeton
REST API'yi korumak için hala en iyi güvenlik çözümünü bulmaya çalışıyorum, çünkü mobil uygulamaların ve API'nin sayısı her geçen gün artıyor. Farklı kimlik doğrulama yöntemleri denedim, ancak yine de bazı yanlış anlaşılmalar var, bu yüzden daha deneyimli birisinin tavsiyesine ihtiyacım var. Tüm bunları nasıl anladığımı anlatayım. Bir şeyi yanlış anlarsam, …
104 security  rest  api  oauth  https 

8
Yalnızca güvenilir mobil uygulamalar için bir REST API'sini nasıl koruyabilirim?
Kendi mobil uygulamalarımda REST API’mın yalnızca güvenilir müşteriler tarafından oluşturulan isteklere yanıt verdiğinden nasıl emin olabilirim? İstenmeyen isteklerin diğer kaynaklardan gelmesini önlemek istiyorum. Kullanıcıların seri bir anahtar doldurmalarını ya da her neyse, sahnelerin arkasında, kurulum sırasında ve gerekli herhangi bir kullanıcı etkileşimi olmadan gerçekleşmesini istemiyorum. Bildiğim kadarıyla, HTTPS sadece iletişim …
96 security  rest  mobile 

7
Robotlar CAPTCHA'ları nasıl yenebilir?
Bir web sitesi e-posta formum var. Spamların robotlardan korunmasını önlemek için özel bir CAPTCHA kullanıyorum. Buna rağmen hala spam alıyorum. Neden? Robotlar CAPTCHA'yı nasıl yendi? Bir çeşit gelişmiş OCR kullanıyor mu, yoksa sadece depolandığı yerden çözümü mi alıyorlar? Bunu nasıl önleyebilirim? Başka bir tip CAPTCHA ile değiştirmeli miyim? E-postaların formdan …
84 security  captcha 

17
Yazılım korsanlıktan nasıl korunabilir?
Neden bugün korsan olmak bu kadar kolay görünüyor? Tüm teknolojik gelişmelerimiz ve en inanılmaz ve akıllara durgunluk veren yazılımlar için harcanan milyarlarca dolar sayesinde, "seri numarası / aktivasyon anahtarından başka bir korsanlığa karşı korumaya sahip olmadıklarına inanmak biraz zor görünüyor. ". Eminim bir ton para, belki milyarlarca, Windows 7 veya …
76 security 

15
Doğrudan istemci tarafındaki Javascript’ten bir veritabanına gitmemek için herhangi bir neden var mı?
Olası Çoğalt: Web'e “sunucudan daha az” uygulamalar yazma Diyelim ki bir Stack Exchange klonu oluşturacağım ve arka uç mağazam olarak CouchDB gibi bir şey kullanmaya karar verdim. Dahili kimlik doğrulama ve veritabanı düzeyinde yetkilendirme kullanırsam, istemci tarafı Javascript'in doğrudan herkese açık CouchDB sunucusuna yazmasına izin vermemek için herhangi bir neden …

14
SQL enjeksiyon önleme mekanizması neden parametreli hale getirilmiş sorguları kullanma yönünde gelişti?
Gördüğüm kadarıyla, SQL enjeksiyon saldırıları önlenebilir: Dikkatlice tarama, filtreleme, kodlama girişi (SQL'e yerleştirmeden önce) Kullanılması hazırlanmış tablolar / parametreli sorgular Sanırım her biri için artılar ve eksiler var, ama neden 2. attı ve enjeksiyon saldırılarını engellemenin fiili bir yolu olduğu düşünüldü? Sadece daha mı güvenli ve hataya daha az yatkın …

9
Neden birincil anahtar göstermiyor
Eğitimimde, gerçek birincil anahtarları (yalnızca DB anahtarları değil, tüm birincil erişimciler) kullanıcıya göstermenin hatalı bir fikir olduğu söylendi. Her zaman bunun bir güvenlik sorunu olduğunu düşünürdüm (çünkü bir saldırgan, kendine ait olmayan şeyleri okumaya çalışabilirdi). Şimdi, kullanıcının yine de erişmesine izin verilip verilmediğini kontrol etmeliyim, bu yüzden arkasında farklı bir …

8
Neden yeniden gönderilmeden (ve tekrar sunucuda toplanmadan) istemcide hiçbir web sayfasının şifresi kullanılmıyor?
İnternette oturum açma bilgisi gerektiren pek çok site var ve parola kullanımına karşı korumanın tek yolu, parolaların sunucuda toplandığına dair söz vermektir, ki bu her zaman doğru değildir. Bu yüzden merak ediyorum, istemci bilgisayarında (Javascript ile) şifreleri olan bir web sayfasını sunucuya göndermeden önce, nerede yeniden şifreleneceklerini yapmak ne kadar …

7
Bir yığın izlemesi kullanıcıya sunulan hata mesajında ​​mı olmalıdır?
İşyerimde biraz tartışmıştım ve kimin doğru olduğunu ve yapılacak doğru şeyin ne olduğunu anlamaya çalışıyorum. Bağlam: müşterilerimizin muhasebe ve diğer ERP işleri için kullandığı bir intranet web uygulaması. Kullanıcıya sunulan bir hata mesajının (işler çökerken) yığın izlemesi de dahil olmak üzere mümkün olduğunca fazla bilgi içermesi gerektiği kanısındayım. Tabii ki, …

2
Rol ve İzin Tabanlı Erişim Kontrolü
Erişim kontrolü (yetkilendirme) söz konusu olduğunda, roller ve izinler arasındaki içsel değişmeyi anlamaya çalışıyorum. Bir verilenle başlayalım: Sistemimizde, bir İzin iyi ayarlanmış bir erişim birimi olacaktır (" Kaynak X'i Düzenle ", " Gösterge tablosu sayfasına eriş ", vb.). Bir Rol 1+ İzinler topluluğu olacaktır. Bir kullanıcının 1+ Rolü olabilir. Tüm …

13
Bir parça kodun rastgele bir yabancıdan derlenmesi ne kadar güvenli? [kapalı]
Diyelim ki iş başvurusunda bulunanların becerilerini kanıtlamak için gönderdiği kodları gözden geçiriyorum. Açıkça, gönderdikleri çalıştırılabilir dosyaları çalıştırmak istemiyorum. Açıkçası, kodlarının derlenmesinin sonucunu çalıştırmamayı tercih ederim (örneğin, Java yorumlarda çalıştırılabilir kodu gizlemeye izin verir ). Ya kodlarını derlemeye ne dersin? Derleyici uyarıları varsa istiyorum, ya da kodları derleyicimden yararlanan bazı akıllı …

9
Geliştirme makinelerinde antivirüs yazılımı lehine anlamlı ve güçlü bir argüman arıyorum [kapalı]
Fikirleri oluştururken, skolastik geleneği takip etmek iyi bir uygulamadır - sahip olduğunuz görüşe karşı olabildiğince fazla düşünün ve karşı argümanlar bulmaya çalışın. Bununla birlikte, ne kadar uğraşırsam da, geliştirme makinelerindeki antivirüs (ve ilgili güvenlik önlemleri) lehine makul argümanlar bulamıyorum. Geliştirmede virüsten korumaya (AV) karşı argümanlar bol miktarda bulunur: AV ile …

10
Karakterlere izin vermemek ve şifrelerin uzunluğunu sınırlamak için geçerli bir sebep var mı?
Parolaların olmasına izin verdikleri uzunluğu sınırlayan ve / veya belirli karakterlere izin vermeyen birkaç site ile karşılaştım. Şifremdeki arama alanını genişletmek ve genişletmek istediğim için bu beni sınırlıyor. Ayrıca bana rahatsızlık yaşamadıklarını da rahatsız ediyor. Parolalarda üst uzunluk ayarı yapmak veya karakterleri dışlamak için iyi nedenler var mı?

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.