Все вопросы: [security]
2 850 вопросов
Сделайте md5 сильным
Я делаю веб-сайт, который будет интегрирован с игрой, которая поддерживает только метод хеширования md5 (atm).Что из того, что уже не особенно безопасно.Но как я мог сделать его сильнее?Должен ли я просто генерировать длинные строки случайных букв и цифр и хешировать их?Но тогда пользователи дол...
Почему запуск службы в качестве локальной системы в Windows плохой?
Я пытаюсь выяснить разницу между разными типами учетных записей служб.Я наткнулся на этот вопрос. Ответ заключался в том, что он имеет мощный доступ к локальным ресурсам, и по возможности следует использовать сетевую службу. Но все же я не могу понять, что, если у него есть мощный доступ к л...
Django upload_to вне MEDIA_ROOT
Мой сценарий развертывания перезаписывает каталоги мультимедиа и исходный код, что означает, что я должен переместить каталог загрузки из каталога мультимедиа и заменить его после того, как загрузка была извлечена. Как я могу указать django загружать в / uploads / вместо / media /? До сих ...
Как предотвратить множественный вход на сайт PHP
Я хочу предотвратить многократный вход в приложение php. Сначала я создаю статус входа (активный, неактивный) в таблице пользователей. Когда пользователь А входит в систему, статус пользователя будет установлен на «активный», а если пользователь выходит из системы, статус будет установлен ...
Предотвращение перебора / DoS-атак в PHP
Я пытаюсь написать сценарий для предотвращения попыток грубой силы входа на сайт, который я создаю. Логика выглядит примерно так: Пользователь отправляет данные для входа. Проверьте правильность имени пользователя и пароля. Если да, впустите их. Если нет, записать неудачную попытку в ...
отправка форм "призрак"
У меня есть регистрационная форма из трех частей, использующая PHP: page 1 : collects info - has client & server side validation (for blank and invalid fields) page 2 : collect more info - has server side validation (for blank and invalid fields) page 3 : saves (db) and sends (email) the ...
Как аутентифицировать поддомены с одинаковыми учетными данными
Домен NET 2.0, то есть ...xyz.com и 2 поддомена 1.xyz.com и 2.xyz.com - все три используют одну и ту же безопасность базы данных через SQL, но написаны как отдельные приложения C # и VB. Как я могу легко управлять учетными данными для входа на разные сайты, поскольку аутентификация должна вып...
Как я могу однозначно идентифицировать настольное приложение, отправляющее запрос к моему API?
Я разрабатываю идею веб-службы, которая будет разрешать запросы только от настольных приложений (и только настольных приложений), которые были зарегистрированы в ней.На самом деле я не могу использовать «секретный ключ» для аутентификации, потому что его будет действительно легко обнаружить, а п...
Безопасность и авторизация ролей с помощью шаблона проектирования презентатора представления модели
Где наиболее подходящее место для безопасности и авторизации ролей, которое вписывается в шаблон проектирования презентатора представления модели? Будет ли для всех страниц, реализующих безопасность, реализовывать определенный интерфейс, скажем IAuthorizedView, который соответствует строкам ...
Безопасность ASP.Net: обернуть запросы в IHttpHandler или использовать RoleProvider?
Я работаю с ASP.Net MVC, а также с DynamicData, и мне нужно добавить безопасность на основе ролей. Следует ли мне реализовать это через: IHttpHandler с настраиваемыми действиями, которые проверяют, авторизован ли пользователь? Или мне следует использовать RoleProvider? Или, возможно, ...
Включение надежных шифров в Tomcat 5
Я пытаюсь улучшить набор шифров, который позволяет мое веб-приложение. В сервере Tomcat server.xml определен следующий соединитель: <Connector port="443" maxHttpHeaderSize="8192" maxThreads="3000" minSpareThreads="250" maxSpareThreads="500" enableLookups="false" di...
Вставка токена имени пользователя в заголовок безопасности уже сгенерированного конверта SOAP дает мне два заголовка!
Я использую WSS4J для добавления токена имени пользователя в заголовок уже сформированного конверта запроса SOAP. Вот как выглядит запрос SOAP: <soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:xsd="http://sample03.samples.rampart.apache.org/xsd"> ...
Защита идентификаторов по URL-адресу в ASP.NET MVC
Я работаю над типичным приложением CRUD в ASP.NET MVC, где будет несколько учетных записей пользователей, и у каждой будет несколько элементов. Когда пользователь редактирует элемент, он будет делать это по URL-адресу, например / edit / 5 , где число представляет собой идентификатор строки в...
мультипликативный обратный?
Я знаю, что аффинный шифр заменяет BD на SG.Мне нужно найти формулу шифрования в виде y = a x + b, где a и b - коэффициенты. Из приведенной выше информации я получаю уравнения: a+b=18 и 3a+b=6 Итак, я работаю так: a+b=18 and 3a + b = 6-> 3a+18-a=6-> 2a= 6-18 -> 2a=14 (as it is mod 2...
Тестирование веб-безопасности
По вашему опыту, что вы обнаружили, над чем работали или столкнулись с уязвимостями сайта?И какие действия вы предприняли для устранения этих проблем? Это может включать XSS (межсайтовый скриптинг), атаки SQL-инъекций, обычные DDOS или попытки фишинга на клиентов вашего сайта.Только вчера я н...
Есть ли плагин Firefox, который может отображать незащищенные ресурсы, которые вызывают сообщение «Предупреждение: содержит неаутентифицированный контент»
Я разрабатываю веб-страницы, которые ссылаются на внешние ссылки / изображения / таблицы стилей и т. д. У меня есть 1 страница, которая нормально загружается по HTTPS, но затем, когда я применяю разные внешние стили, некоторые из внешних стилей вызывают предупреждение «Содержит неаутентифицирова...
пользователь в базе данных не входит в систему после восстановления базы данных
Когда я восстановил базу данных с одного сервера на другой сервер, пользователь не входит в базу данных, но он отображается в базе данных, я удаляю его и делаю это снова через sql / server / security / login, а затем его работу.Кто-нибудь скажет мне, как я могу восстановить базу данных и не опре...
Какой самый простой генератор лицензионных ключей я могу разработать за 1 день?
Это сделано для того, чтобы честные покупатели оставались честными.
доступ к общему ресурсу Windows из ASP.NET
Мне нужно записать файл в общую папку Windows на компьютере, не входящем в домен ASP.net. Я пробовал реализовать олицетворение, например: http://support.microsoft.com/?id= 306158 , который является оболочкой для вызова API LogonUserA.Но что-то не работает, и я не знаю почему.(Похоже, что код...
Тесты на проникновение jQuery
Меня немного беспокоит размещение информации через jQuery.В частности, когда в WebForms я вызываю WebMethod в своей форме, я, очевидно, могу перехватить вызов и данные. Есть ли способ защитить это общение или это случай написания ваших услуг таким образом, чтобы их нельзя было использовать пр...
Сообщения о неудачной проверке
Вот вопрос, который мне задали: «Как лучше всего обрабатывать действительные учетные данные при входе на сайт. Сообщаем ли мы пользователю, если его имя пользователя недействительно? Или аналогично, если его пароль недействителен?» Я немного искал, но мне не удается найти сайт с некоторыми...
хранение файлов в виде байтового массива в БД, угроза безопасности?
У нас есть приложение asp.net, которое позволяет пользователям загружать файлы, файлы сохраняются во временном месте на диске, а затем прикрепляются к записи и сохраняются в БД. Мой вопрос касается проблем с безопасностью и / или вирусами.Есть ли в этом подходе дыры в безопасности?Может ли вир...
Как вывести из строя общеязыковую среду выполнения .NET (CLR) в чистом .NET
Аналогичный вопрос касается виртуальной машины Java , но я не знаюt нашел вопрос для .net (пожалуйста, закройте и отметьте как дубликат, если мне что-то не хватает). Итак - возможно ли это без неприятного неуправляемого взаимодействия?А под сбоем я имею в виду настоящий «xxx.exe перестал раб...
Защита внешних ресурсов, необходимых для платного приложения для iPhone
Я разработал приложение, которое в настоящее время находится в магазине приложений и имеет размер чуть более 400 МБ. Основная причина этого в том, что в приложении есть много видео, которое на данный момент записано в двоичный файл. В нашем следующем выпуске мы хотели бы вывести это видео на ...
защитить веб-приложение
Хорошо ... Я создал веб-приложение с помощью Visual Studio 2008 и C # .. Теперь мне нужно защитить этот сайт; для этого мне нужно добавить страницу входа. Я не использую элемент управления входом в visualstudio. Я просто ввожу имя пользователя и пароль, и есть API, который возвращает истин...
Атаки с использованием sql-инъекций представляют собой угрозу только для страницы, имеющей форму?
Я знаю, что это простой вопрос, но из всего, что я читал, я никогда не видел, чтобы это было четко сформулировано. Если вы выполняете запрос на странице, нужно ли вам беспокоиться об атаках с использованием SQL-инъекций?Или проблема возникает только тогда, когда вы просите пользователя ввести...
Безопасный язык ERB?
Интересно, есть ли безопасный шаблон, собирающий ERB.ERB очень прост в использовании, но смертельная часть его использования в CMS - это чрезмерно мощный доступ (вы можете просто написать с его помощью некоторые действительно неприятные вещи за считанные секунды ...) Так что мне интересно, есть ...
Просмотр шаблона безопасности уровня
Справочная информация: Приложение grails, которое я разрабатываю, имеет несколько уровней детальной безопасности. Во-первых, наименее детализированный - на уровне контроллера. Либо вы можете просматривать определенную страницу, либо не можете (я использую плагин безопасности Acegi spring). Вто...
Альтернативы TPM / TSS Linux API
Я хотел бы найти (зрелые) альтернативы API для использования функций TPM ( Trusted Platform Module ) в Linux (и, возможно, других * nix).Меня интересуют надежные функции шифрования / дешифрования для аутентификации (возможно, интеграция с Kerberos). Я нашел jTSS (для Java) и TrouSerS ,...
Безопасные веб-формы для оплаты
Вероятно, здесь много тех, кто использовал безопасные платежные формы в своей жизни, и я тоже.Мой общий вопрос заключается в том, что из вашего опыта является «более правильным» способом обработки этих форм.Я говорю не о SSL или безопасности на основе сервера, а о самом программировании с исполь...