«security» etiketlenmiş sorular

Duyduğum çoğu güvenlik tehdidi, yazılımdaki bir hata nedeniyle ortaya çıkmıştır (örneğin, tüm girdiler düzgün bir şekilde kontrol edilmemiştir, yığın taşmaları vb.). Peki, tüm sosyal saldırıları hariç tutarsak, tüm güvenlik tehditleri hatalardan mı kaynaklanıyor? Başka bir deyişle, herhangi bir hata olmasaydı, güvenlik tehdidi olmaz mıydı (yine, şifreleri ifşa etmek gibi insanların …

13 security  bug  hacking 

Şirketimin halka açık alanlarından birinde büyük bir güvenlik açığı buldum. Bu, intranet sitesinden dönüştürülen halka açık ilk sitemiz. Bu sorunu patronuma getirdim ve siteyi güvenli hale getirmek için yeniden mimariyi yeniden yapılandırmanın çok fazla iş gerektireceğini söyleyerek temelde omuz silktiler. Bu beni gerçekten rahatsız etti ve gerçek bir bilgisayar korsanı …

13 security  ethics 

SQL enjeksiyon saldırılarında gördüğüm tek şey, parametreli sorguların, özellikle de saklı yordamlardaki sorguların, bu tür saldırılara karşı korunmanın tek yolu olduğunu gösteriyor. Çalışırken (Karanlık Çağlarda) depolanmış prosedürler, daha az bakım yapılabilir oldukları için kötü uygulama olarak görülüyordu; daha az test edilebilir; yüksek derecede birleşmiş; ve bir sistemi tek bir satıcıya …

13 design  security  sql  sql-injection 

Şu anda olduğu gibi, bu soru Soru-Cevap formatımıza uygun değil. Yanıtların gerçekler, referanslar veya uzmanlık tarafından desteklenmesini bekliyoruz, ancak bu soru muhtemelen tartışma, tartışma, oylama veya genişletilmiş tartışma talep edecektir. Bu sorunun çözülebileceğini ve muhtemelen yeniden açılabileceğini düşünüyorsanız, yardım için yardım merkezini ziyaret edin . 6 yıl önce kapalı . …

13 security  passwords  authorization  risk  permissions 

Kapalı. Bu soru konu dışı . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu Yazılım Mühendisliği Yığın Değişimi için konuyla ilgili olacak şekilde güncelleyin . 6 yıl önce kapalı . Günümüzde en popüler uygulamalar e-posta yoluyla hesabın etkinleştirilmesini gerektirir. Geliştirdiğim uygulamalarla hiç yapmadım, bu yüzden bazı önemli …

13 security  email 

Yeni bir proje üzerinde çalışıyoruz, iki lider geliştiriciyiz ve sunucu ile istemci arasındaki iletişimi sağlamak için bir token nasıl kullanılacağına dair bir yol ayrıyoruz. İlk Öneri: (Bir kerelik AKA Statik Jetonu) istemci, kullanıcı adını ve parolayı ve geçerli_adı (bu değişken sunucunun veritabanına ve istemci tarafına da kaydedilecek) API'ye göndererek birincil …

13 security  api 

Kapalı . Bu sorunun daha fazla odaklanması gerekiyor . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu, yalnızca bu yayını düzenleyerek tek bir soruna odaklanacak şekilde güncelleyin . 4 yıl önce kapalı . Üst düzey programlama dillerinden iyi test edilmiş ve kanıtlanmış API'lerin kullanılmasıyla donanıma yakın temastan …

13 c  security  low-level  vulnerabilities 

Daha sağlam bir kimlik doğrulama hizmeti uygulamak jwtistiyorum ve yapmak istediğim şeyin büyük bir parçası ve kodu nasıl yazacağımı anlıyorum, ancak ayrılmış issve audtalepler arasındaki farkı anlamakta biraz sorun yaşıyorum . Bir belirteç veren sunucuyu tanımladığını ve bir kullanıma yönelik uygulama atıfta anlıyorum. Ancak bunu anlamanın yolu, izleyicimin ve yayıncısının …

13 security  authentication  authorization  jwt 

Yaklaşık 10 yıldır SQL Server veri depolarıyla çeşitli şirket içi masaüstü istemci uygulamaları üzerinde çalıştım. Nadiren bu projelere başladım - çoğu devralma işi. Her yerde sabit görünen bir şey, bu uygulamanın ortak veritabanına izin veren tek bir global SQL Server kullanıcı hesabı olmasıydı ve evet, bazı naif durumlarda sa, genellikle …

12 database  security 

Bir programın yaratıcısı olarak, güvenlik açıklarının ve potansiyel saldırıların farkında olmak için muhtemelen herkesten daha iyi bir konumdasınız demektir. Yazdığınız bir sistemdeki bir güvenlik açığı biliyorsanız, güvenlik açığının şiddetini belirlemek için sürümden önce güvenliğin artırıldığına dair bir işaret eklenmelidir ZORUNLU mudur, yoksa bu duruma göre değerlendirilmelidir mi?

12 security  release 

Bugün yöneticimden bir web formu uygulamasının kimlik doğrulaması için kabul edilebilir bir tasarım olarak kabul edilen tasarım hakkındaki düşüncelerimi sordum, özellikle de birçok popüler tarayıcının doğası ile ilgili olarak tipik kullanıcı adı parola giriş alanlarınız için "Parolayı Anımsa" . Kabul edilebilir olduğunu düşündüğüm bir cevap bulmakta zorlanıyorum. Sony'nin güvenlik kusurlarını …

12 web-applications  security  browser  authentication 

Yeni bir RESTful web hizmeti kuruyorum ve role dayalı bir erişim kontrol modeli sağlamam gerekiyor . Kullanıcıların hizmetlere erişmek için kullanıcı adlarını ve parolalarını sağlamasına ve daha sonra rollerine göre hizmetleri (hangi hizmetleri kullanabilecekleri, okuyabilir / okuyabilir, okuyabilir, vb.) Kullanabileceğini kısıtlayacak bir mimari oluşturmam gerekiyor bu kullanıcılara atanır. Diğer sorulara …

12 web-development  design-patterns  security  web-services  rest 

Parola gibi bir şeye düz metinde saklanamayan bir karma değerine tuz değerleri eklerken, tuz değerlerinin gelmesi için en iyi yer hangisidir? Bağlam için bunun bir web sayfası girişindeki şifreler için olduğunu varsayalım.

12 security  hashing 

E-posta kullanarak kayıt girişi, kullanıcıyı tanımlamak için kullanıcı adından daha iyi bir fikir mi?

12 security  user-interface  front-end 

Parolalar karma olarak saklanırsa, parolanızı sıfırlamayı denerseniz bilgisayar parolanızın son parolaya benzediğini nasıl bilebilir? İki parola karma olduğundan ve geri alınamadığından tamamen farklı olmaz mıydı?

11 database  security  hashing  passwords