«security» etiketlenmiş sorular

Şifreleme ve BT güvenliği ile ilgili sorular için. Bu bilgisayar, ağ veya veritabanı güvenliği olabilir.

7
Tüm güvenlik tehditleri yazılım hataları tarafından tetikleniyor mu?
Duyduğum çoğu güvenlik tehdidi, yazılımdaki bir hata nedeniyle ortaya çıkmıştır (örneğin, tüm girdiler düzgün bir şekilde kontrol edilmemiştir, yığın taşmaları vb.). Peki, tüm sosyal saldırıları hariç tutarsak, tüm güvenlik tehditleri hatalardan mı kaynaklanıyor? Başka bir deyişle, herhangi bir hata olmasaydı, güvenlik tehdidi olmaz mıydı (yine, şifreleri ifşa etmek gibi insanların …
13 security  bug  hacking 

2
Şirketinizin sitesinde bir güvenlik açığı bulduğunuzda ne yapmalısınız?
Şirketimin halka açık alanlarından birinde büyük bir güvenlik açığı buldum. Bu, intranet sitesinden dönüştürülen halka açık ilk sitemiz. Bu sorunu patronuma getirdim ve siteyi güvenli hale getirmek için yeniden mimariyi yeniden yapılandırmanın çok fazla iş gerektireceğini söyleyerek temelde omuz silktiler. Bu beni gerçekten rahatsız etti ve gerçek bir bilgisayar korsanı …
13 security  ethics 

3
Parametreli sorgulara güvenmek SQL enjeksiyonuna karşı korumanın tek yolu mudur?
SQL enjeksiyon saldırılarında gördüğüm tek şey, parametreli sorguların, özellikle de saklı yordamlardaki sorguların, bu tür saldırılara karşı korunmanın tek yolu olduğunu gösteriyor. Çalışırken (Karanlık Çağlarda) depolanmış prosedürler, daha az bakım yapılabilir oldukları için kötü uygulama olarak görülüyordu; daha az test edilebilir; yüksek derecede birleşmiş; ve bir sistemi tek bir satıcıya …

8
Kullanıcıları güvenli olmayan şifreler için cezalandırmak [kapalı]
Şu anda olduğu gibi, bu soru Soru-Cevap formatımıza uygun değil. Yanıtların gerçekler, referanslar veya uzmanlık tarafından desteklenmesini bekliyoruz, ancak bu soru muhtemelen tartışma, tartışma, oylama veya genişletilmiş tartışma talep edecektir. Bu sorunun çözülebileceğini ve muhtemelen yeniden açılabileceğini düşünüyorsanız, yardım için yardım merkezini ziyaret edin . 6 yıl önce kapalı . …

6
Çoğu site neden e-posta etkinleştirme gerektiriyor [kapalı]
Kapalı. Bu soru konu dışı . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu Yazılım Mühendisliği Yığın Değişimi için konuyla ilgili olacak şekilde güncelleyin . 6 yıl önce kapalı . Günümüzde en popüler uygulamalar e-posta yoluyla hesabın etkinleştirilmesini gerektirir. Geliştirdiğim uygulamalarla hiç yapmadım, bu yüzden bazı önemli …
13 security  email 

1
API Kimlik Doğrulaması, Bir kerelik belirteç VS Dinamik belirteçleri
Yeni bir proje üzerinde çalışıyoruz, iki lider geliştiriciyiz ve sunucu ile istemci arasındaki iletişimi sağlamak için bir token nasıl kullanılacağına dair bir yol ayrıyoruz. İlk Öneri: (Bir kerelik AKA Statik Jetonu) istemci, kullanıcı adını ve parolayı ve geçerli_adı (bu değişken sunucunun veritabanına ve istemci tarafına da kaydedilecek) API'ye göndererek birincil …
13 security  api 

4
Her C programcının bilmesi gereken güvenlik riskleri / güvenlik açıkları nelerdir? [kapalı]
Kapalı . Bu sorunun daha fazla odaklanması gerekiyor . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu, yalnızca bu yayını düzenleyerek tek bir soruna odaklanacak şekilde güncelleyin . 4 yıl önce kapalı . Üst düzey programlama dillerinden iyi test edilmiş ve kanıtlanmış API'lerin kullanılmasıyla donanıma yakın temastan …

1
JWT'de 'aud' ve 'iss' arasındaki fark
Daha sağlam bir kimlik doğrulama hizmeti uygulamak jwtistiyorum ve yapmak istediğim şeyin büyük bir parçası ve kodu nasıl yazacağımı anlıyorum, ancak ayrılmış issve audtalepler arasındaki farkı anlamakta biraz sorun yaşıyorum . Bir belirteç veren sunucuyu tanımladığını ve bir kullanıma yönelik uygulama atıfta anlıyorum. Ancak bunu anlamanın yolu, izleyicimin ve yayıncısının …

7
Masaüstü uygulamasından veritabanı güvenliğini nasıl ele alırsınız?
Yaklaşık 10 yıldır SQL Server veri depolarıyla çeşitli şirket içi masaüstü istemci uygulamaları üzerinde çalıştım. Nadiren bu projelere başladım - çoğu devralma işi. Her yerde sabit görünen bir şey, bu uygulamanın ortak veritabanına izin veren tek bir global SQL Server kullanıcı hesabı olmasıydı ve evet, bazı naif durumlarda sa, genellikle …

5
Kendinizin hackleyebileceğiniz bir şeyi serbest bırakmanız gerekir mi?
Bir programın yaratıcısı olarak, güvenlik açıklarının ve potansiyel saldırıların farkında olmak için muhtemelen herkesten daha iyi bir konumdasınız demektir. Yazdığınız bir sistemdeki bir güvenlik açığı biliyorsanız, güvenlik açığının şiddetini belirlemek için sürümden önce güvenliğin artırıldığına dair bir işaret eklenmelidir ZORUNLU mudur, yoksa bu duruma göre değerlendirilmelidir mi?
12 security  release 

5
Web uygulaması Kimlik Doğrulama / Güvenlik için en iyi uygulamalar (Herhangi Bir Platform)
Bugün yöneticimden bir web formu uygulamasının kimlik doğrulaması için kabul edilebilir bir tasarım olarak kabul edilen tasarım hakkındaki düşüncelerimi sordum, özellikle de birçok popüler tarayıcının doğası ile ilgili olarak tipik kullanıcı adı parola giriş alanlarınız için "Parolayı Anımsa" . Kabul edilebilir olduğunu düşündüğüm bir cevap bulmakta zorlanıyorum. Sony'nin güvenlik kusurlarını …

1
REST web hizmetinin kimlik doğrulaması / erişim kontrolü için yazılım mimarisi
Yeni bir RESTful web hizmeti kuruyorum ve role dayalı bir erişim kontrol modeli sağlamam gerekiyor . Kullanıcıların hizmetlere erişmek için kullanıcı adlarını ve parolalarını sağlamasına ve daha sonra rollerine göre hizmetleri (hangi hizmetleri kullanabilecekleri, okuyabilir / okuyabilir, okuyabilir, vb.) Kullanabileceğini kısıtlayacak bir mimari oluşturmam gerekiyor bu kullanıcılara atanır. Diğer sorulara …

6
Tuz karma değerleri nereden gelmelidir?
Parola gibi bir şeye düz metinde saklanamayan bir karma değerine tuz değerleri eklerken, tuz değerlerinin gelmesi için en iyi yer hangisidir? Bağlam için bunun bir web sayfası girişindeki şifreler için olduğunu varsayalım.
12 security  hashing 



Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.