«security» etiketlenmiş sorular

Bir kaynağı web üzerinde göstermek istiyorum. Bu kaynağı korumak istiyorum: yalnızca belirli kişilerin erişimine açık olduğundan emin olmak için. Bir tür şifre tabanlı kimlik doğrulama ayarlayabilirim . Örneğin, kaynağa yalnızca dosya göndermeden önce gelen doğru kimlik bilgileri (belki de bazı kullanıcıların veri tabanına karşı) gelen isteklerini kontrol eden bir web …

128 security  authentication 

Bir sitede küçük işler yapmak için birileri tarafından işe alındım. Büyük bir şirket için bir site. Çok hassas veriler içeriyor, bu yüzden güvenlik çok önemli. Kodu analiz ettikten sonra, güvenlik delikleriyle dolu olduğunu fark ettim - okudum, bir çok PHP dosyasını doğrudan / mysql isteklerine ve sistem komutlarına girdi / …

109 php  security  sql-injection 

REST API'yi korumak için hala en iyi güvenlik çözümünü bulmaya çalışıyorum, çünkü mobil uygulamaların ve API'nin sayısı her geçen gün artıyor. Farklı kimlik doğrulama yöntemleri denedim, ancak yine de bazı yanlış anlaşılmalar var, bu yüzden daha deneyimli birisinin tavsiyesine ihtiyacım var. Tüm bunları nasıl anladığımı anlatayım. Bir şeyi yanlış anlarsam, …

104 security  rest  api  oauth  https 

Kendi mobil uygulamalarımda REST API’mın yalnızca güvenilir müşteriler tarafından oluşturulan isteklere yanıt verdiğinden nasıl emin olabilirim? İstenmeyen isteklerin diğer kaynaklardan gelmesini önlemek istiyorum. Kullanıcıların seri bir anahtar doldurmalarını ya da her neyse, sahnelerin arkasında, kurulum sırasında ve gerekli herhangi bir kullanıcı etkileşimi olmadan gerçekleşmesini istemiyorum. Bildiğim kadarıyla, HTTPS sadece iletişim …

96 security  rest  mobile 

Bir web sitesi e-posta formum var. Spamların robotlardan korunmasını önlemek için özel bir CAPTCHA kullanıyorum. Buna rağmen hala spam alıyorum. Neden? Robotlar CAPTCHA'yı nasıl yendi? Bir çeşit gelişmiş OCR kullanıyor mu, yoksa sadece depolandığı yerden çözümü mi alıyorlar? Bunu nasıl önleyebilirim? Başka bir tip CAPTCHA ile değiştirmeli miyim? E-postaların formdan …

84 security  captcha 

Neden bugün korsan olmak bu kadar kolay görünüyor? Tüm teknolojik gelişmelerimiz ve en inanılmaz ve akıllara durgunluk veren yazılımlar için harcanan milyarlarca dolar sayesinde, "seri numarası / aktivasyon anahtarından başka bir korsanlığa karşı korumaya sahip olmadıklarına inanmak biraz zor görünüyor. ". Eminim bir ton para, belki milyarlarca, Windows 7 veya …

76 security 

Olası Çoğalt: Web'e “sunucudan daha az” uygulamalar yazma Diyelim ki bir Stack Exchange klonu oluşturacağım ve arka uç mağazam olarak CouchDB gibi bir şey kullanmaya karar verdim. Dahili kimlik doğrulama ve veritabanı düzeyinde yetkilendirme kullanırsam, istemci tarafı Javascript'in doğrudan herkese açık CouchDB sunucusuna yazmasına izin vermemek için herhangi bir neden …

62 javascript  architecture  database  security  couchdb 

Gördüğüm kadarıyla, SQL enjeksiyon saldırıları önlenebilir: Dikkatlice tarama, filtreleme, kodlama girişi (SQL'e yerleştirmeden önce) Kullanılması hazırlanmış tablolar / parametreli sorgular Sanırım her biri için artılar ve eksiler var, ama neden 2. attı ve enjeksiyon saldırılarını engellemenin fiili bir yolu olduğu düşünüldü? Sadece daha mı güvenli ve hataya daha az yatkın …

59 security  sql  history  hacking  sql-injection 

Eğitimimde, gerçek birincil anahtarları (yalnızca DB anahtarları değil, tüm birincil erişimciler) kullanıcıya göstermenin hatalı bir fikir olduğu söylendi. Her zaman bunun bir güvenlik sorunu olduğunu düşünürdüm (çünkü bir saldırgan, kendine ait olmayan şeyleri okumaya çalışabilirdi). Şimdi, kullanıcının yine de erişmesine izin verilip verilmediğini kontrol etmeliyim, bu yüzden arkasında farklı bir …

53 design  security  theory 

İnternette oturum açma bilgisi gerektiren pek çok site var ve parola kullanımına karşı korumanın tek yolu, parolaların sunucuda toplandığına dair söz vermektir, ki bu her zaman doğru değildir. Bu yüzden merak ediyorum, istemci bilgisayarında (Javascript ile) şifreleri olan bir web sayfasını sunucuya göndermeden önce, nerede yeniden şifreleneceklerini yapmak ne kadar …

46 javascript  security  client-relations  hashing  client-side 

İşyerimde biraz tartışmıştım ve kimin doğru olduğunu ve yapılacak doğru şeyin ne olduğunu anlamaya çalışıyorum. Bağlam: müşterilerimizin muhasebe ve diğer ERP işleri için kullandığı bir intranet web uygulaması. Kullanıcıya sunulan bir hata mesajının (işler çökerken) yığın izlemesi de dahil olmak üzere mümkün olduğunca fazla bilgi içermesi gerektiği kanısındayım. Tabii ki, …

45 security  error-handling 

Erişim kontrolü (yetkilendirme) söz konusu olduğunda, roller ve izinler arasındaki içsel değişmeyi anlamaya çalışıyorum. Bir verilenle başlayalım: Sistemimizde, bir İzin iyi ayarlanmış bir erişim birimi olacaktır (" Kaynak X'i Düzenle ", " Gösterge tablosu sayfasına eriş ", vb.). Bir Rol 1+ İzinler topluluğu olacaktır. Bir kullanıcının 1+ Rolü olabilir. Tüm …

44 security  permissions  authorization  access-control  roles 

Diyelim ki iş başvurusunda bulunanların becerilerini kanıtlamak için gönderdiği kodları gözden geçiriyorum. Açıkça, gönderdikleri çalıştırılabilir dosyaları çalıştırmak istemiyorum. Açıkçası, kodlarının derlenmesinin sonucunu çalıştırmamayı tercih ederim (örneğin, Java yorumlarda çalıştırılabilir kodu gizlemeye izin verir ). Ya kodlarını derlemeye ne dersin? Derleyici uyarıları varsa istiyorum, ya da kodları derleyicimden yararlanan bazı akıllı …

41 security  source-code  compiler  vulnerabilities 

Fikirleri oluştururken, skolastik geleneği takip etmek iyi bir uygulamadır - sahip olduğunuz görüşe karşı olabildiğince fazla düşünün ve karşı argümanlar bulmaya çalışın. Bununla birlikte, ne kadar uğraşırsam da, geliştirme makinelerindeki antivirüs (ve ilgili güvenlik önlemleri) lehine makul argümanlar bulamıyorum. Geliştirmede virüsten korumaya (AV) karşı argümanlar bol miktarda bulunur: AV ile …

40 security  hardware  development-environment 

Parolaların olmasına izin verdikleri uzunluğu sınırlayan ve / veya belirli karakterlere izin vermeyen birkaç site ile karşılaştım. Şifremdeki arama alanını genişletmek ve genişletmek istediğim için bu beni sınırlıyor. Ayrıca bana rahatsızlık yaşamadıklarını da rahatsız ediyor. Parolalarda üst uzunluk ayarı yapmak veya karakterleri dışlamak için iyi nedenler var mı?

39 security  passwords