«security» etiketlenmiş sorular

Bu soru bugün bir meslektaşımla üzerinde çalıştığımız web sitesinin 'hesap oluştur' sayfası hakkında tartışırken ortaya çıktı. Meslektaşımın görüşü, kaydı olabildiğince hızlı ve kesintisiz hale getirmemiz gerektiğinden, kullanıcıdan e-postasını istemeli ve gerisini halletmeliyiz. Niyete katılıyorum, ancak bununla ilgili birkaç endişem var: Şifreyi oluşturduğumuzdan, şifrenin yeterince güçlü olduğundan emin olma sorumluluğumuz var …

11 security  passwords 

Masaüstü uygulamaları ile ilgili çok fazla tecrübem yok, ancak bir istemci sunucusu masaüstü uygulaması oluşturmak zorunda kalsaydım, veri erişimi bir web servisi aracılığıyla yapılacaktı. Bir web hizmeti üzerinden veri erişiminin güvenlik sağladığına inanıyorum - db sunucusu kullanıcı adı ve parolasını vb. Geçirmem gerekmiyor. Web servislerinden önce, veritabanı uygulamaları bunu nasıl …

11 programming-practices  security 

Tüm istemci tarafı teknolojisi (HTML, CSS, JavaScript / AngularJS, vb ...) olacak bu web uygulaması var. Bu web uygulaması verilere erişmek ve verileri değiştirmek için REST API ile etkileşime girecektir. Şu anda REST API'nin ne tür bir kimlik doğrulama sistemi kullanacağına karar verilmemiştir. Anladığım kadarıyla, her türlü API kimlik doğrulama …

11 web-development  security 

Kapalı . Bu soru görüş temelli . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Bu yayını düzenleyerek gerçekler ve alıntılarla yanıtlanabilmesi için soruyu güncelleyin . 4 yıl önce kapalı . Bu konuda daha deneyimli bir geliştirici ile biraz anlaşmazlık yaşıyorum ve başkalarının bu konuda ne düşündüğünü merak …

11 java  security  exceptions  null 

Kapalı . Bu sorunun daha fazla odaklanması gerekiyor . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu, yalnızca bu yayını düzenleyerek tek bir soruna odaklanacak şekilde güncelleyin . 4 yıl önce kapalı . Günlüklerde asla görünmemesi gereken şeylerle ilgili şirket yönergeleri yazmak üzereyim (bir uygulamanın izi). Aslında, …

11 security  information 

Bir yönetici kullanıcının şifreyi geçerek başka bir kullanıcı olarak oturum açmasına izin vermenin iyi bir uygulama olduğunu düşünüyor musunuz? Bu, bir ana parola veya kullanıcı yönetimi "Bu kullanıcı olarak oturum aç" içindeki bir işlevle uygulanabilir. Yöneticiler bu tür bir işlevi bildirilen bir sorunu yeniden oluşturmayı denemek veya örneğin hibelerin uygun …

11 security  problem-solving 

Geçerli Websocket RFC , websocket istemcilerinin gönderirken çerçevelerdeki tüm verileri maskelemesini gerektirir (ancak sunucunun bunu yapması gerekmez). Protokolün bu şekilde tasarlanmasının nedeni , çerçeve verilerinin istemci ve sunucu (proxy'ler vb.) Arasındaki kötü amaçlı hizmetler tarafından değiştirilmesini önlemektir. Ancak, maskeleme anahtarı bu tür hizmetler tarafından hala bilinir (her çerçevenin başında kare …

10 security  protocol  websockets 

Genellikle bir kullanıcıya (örneğin bir web sayfasında) gösterilenler kısmen güvenlik kontrollerine dayanır. Genellikle kullanıcı düzeyi / ACL güvenliğinin bir sistemin iş mantığının bir parçası olduğunu düşünüyorum. Bir görünüm, UI öğelerini koşullu olarak görüntülemek için güvenliği açıkça kontrol ederse, iş mantığını içererek MVC'yi ihlal ediyor mu?

10 web-development  design-patterns  security  mvc 

Yerel üniversitemde yaklaşık 20 öğrenciden oluşan küçük bir öğrenci bilgi işlem kulübü var. Kulübün mobil geliştirme, robotik, oyun geliştirme ve hack / güvenlik gibi belirli odak alanlarına sahip birkaç küçük takımı var. Kullanıcı öyküleri, görevlerin karmaşıklığını tahmin etme ve sürüm kontrolü ve otomatik yapımlar / testler için sürekli entegrasyon gibi …

10 development-process  security  hacking  sdlc 

OAuth2'de kafamı karıştırmaya çalışıyorum, ama hala bir şey hakkında kafam karıştı. İstemcinin OAuth sağlayıcısıyla (örneğin Google) yetkilendirdiğini ve Kaynak Sunucunun kullanıcının profil verilerine erişmesine izin verdiğini anlıyorum. Sonra istemci erişim belirtecini kaynak sunucuya gönderebilir ve kaynağı geri verebilir. Ancak, belgelerin hiçbirinde kapsanmayan şey, istemci uygulaması kaynak sunucudan bir kaynak istediğinde …

10 security  oauth2 

Güvenlikle ilgili bazı literatürleri okudum, özellikle şifre güvenliği / şifrelemesi ve merak ettiğim bir şey vardı: 3 vuruş kuralı şifre güvenliği için mükemmel bir çözüm mü? Yani, şifre girişimi sayısı küçük bir sayı ile sınırlıysa, bundan sonra tüm kimlik doğrulama istekleri yerine getirilmeyecek, bu da kullanıcıları izinsiz girişten korumaz mı? …

10 security 

Güvenliğe odaklanan bir web uygulaması geliştiriyorum. Uygulama üzerinde çalışanların (programcılar, DBA'lar, kalite güvence personeli) şifreler, sosyal güvenlik numaraları vb. İyi korunması gereken kullanıcı tarafından girilen değerleri yakalamasını önlemek için ne gibi önlemler alınabilir?

10 security 

Kapalı. Bu soru konu dışı . Şu anda cevapları kabul etmiyor. Bu soruyu geliştirmek ister misiniz? Soruyu Yazılım Mühendisliği Yığın Değişimi için konuyla ilgili olacak şekilde güncelleyin . 4 yıl önce kapalı . Kötü amaçlı yazılım, kötü amaçlı yazılımdan koruma yazılımlarından ve daha fazlasından kendilerini gizlemek için ilginç teknikler kullanır. …

10 learning  security 

Bir istemci sistemlerinin güvenliği konusunda danışmanlık yapan güvenlik firmalarını duydum. Bu alanda tanıdığım herkes ağ mühendisidir, ancak programcıların güvenliğe de dahil olduğunu biliyorum. Denetim / danışmanlık yapan güvenlik programcıları gerçekte ne yapar? Kelimenin tam anlamıyla insanların eski sistemlerindeki her güvenlik açığını bulmak için kod tabanından mı geçiyorlar? Her zaman yaptıklarının …

10 security  freelancing 

Bir "widget", ortakları bazı UI görüntülemek ve API bizim çağrı yapmak için web sitelerine gömmek bir komut dosyası tasarlamak zorunda. Temel olarak, bu sitelerdeki verilerimizi API çağrılarımızda sağladıkları bazı kimliklere dayanarak görüntüler. Bundan kaçınmak istediğimiz, API'yı kötüye kullanan ve kataloğumuzun tamamını kazımak için kullanan birisidir. Betiğimizi yerleştiren her iş ortağına, …

10 security  api-design  web-api