Pertanyaan yang diberi tag «security»

Saya ingin mengekspos sumber daya di web. Saya ingin melindungi sumber ini: untuk memastikan itu hanya dapat diakses oleh orang-orang tertentu. Saya dapat mengatur semacam otentikasi berbasis kata sandi . Misalnya, saya hanya bisa mengizinkan akses ke sumber daya melalui server web yang memeriksa permintaan masuk untuk kredensial yang benar …

128 security  authentication 

Saya telah disewa oleh seseorang untuk melakukan pekerjaan kecil di sebuah situs. Ini situs untuk perusahaan besar. Ini berisi data yang sangat sensitif, jadi keamanan sangat penting. Setelah menganalisis kode, saya perhatikan itu dipenuhi dengan lubang keamanan - baca, banyak file PHP yang melemparkan input pengguna / posting langsung ke …

109 php  security  sql-injection 

Saya masih berusaha menemukan solusi keamanan terbaik untuk melindungi REST API, karena jumlah aplikasi seluler dan API meningkat setiap hari. Saya telah mencoba berbagai cara otentikasi, tetapi masih memiliki beberapa kesalahpahaman, jadi saya perlu saran dari seseorang yang lebih berpengalaman. Biarkan saya katakan, bagaimana saya memahami semua hal ini. Jika …

104 security  rest  api  oauth  https 

Bagaimana cara memastikan REST API saya hanya menanggapi permintaan yang dihasilkan oleh klien tepercaya, dalam kasus saya aplikasi seluler saya sendiri? Saya ingin mencegah permintaan yang tidak diinginkan datang dari sumber lain. Saya tidak ingin pengguna mengisi kunci serial atau apa pun, itu harus terjadi di belakang layar, pada saat …

96 security  rest  mobile 

Saya memiliki formulir email situs web. Saya menggunakan CAPTCHA khusus untuk mencegah spam dari robot. Meskipun demikian, saya masih mendapatkan spam. Mengapa? Bagaimana robot mengalahkan CAPTCHA? Apakah mereka menggunakan semacam OCR canggih atau hanya mendapatkan solusi dari tempat itu disimpan? Bagaimana saya bisa mencegah ini? Haruskah saya mengubah jenis CAPTCHA …

84 security  captcha 

Mengapa hari ini begitu mudah dibajak? Tampaknya agak sulit untuk percaya bahwa dengan semua kemajuan teknologi kami dan miliaran dolar yang dihabiskan untuk rekayasa perangkat lunak yang paling tidak dapat dipercaya dan mengejutkan, kami masih tidak memiliki cara lain untuk melindungi terhadap pembajakan daripada "nomor seri / kunci aktivasi ". …

77 security 

Kemungkinan Duplikat: Menulis aplikasi "server kurang" Web Jadi, katakanlah saya akan membangun klon Stack Exchange dan saya memutuskan untuk menggunakan sesuatu seperti CouchDB sebagai toko backend saya. Jika saya menggunakan otentikasi bawaan dan otorisasi tingkat basis data, apakah ada alasan untuk tidak mengizinkan Javascript sisi klien untuk menulis langsung ke …

62 javascript  architecture  database  security  couchdb 

Cara saya melihatnya, serangan injeksi SQL dapat dicegah dengan: Menyaring, memfilter, menyandikan input dengan hati-hati (sebelum dimasukkan ke dalam SQL) Menggunakan pernyataan / kueri parameter yang disiapkan Saya kira ada pro dan kontra untuk masing-masing, tetapi mengapa # 2 lepas landas dan dianggap lebih atau kurang cara de facto untuk …

59 security  sql  history  hacking  sql-injection 

Dalam pendidikan saya, saya telah diberitahu bahwa itu adalah ide yang salah untuk mengekspos kunci primer yang sebenarnya (tidak hanya kunci DB, tetapi semua aksesor utama) kepada pengguna. Saya selalu menganggapnya sebagai masalah keamanan (karena penyerang dapat mencoba membaca barang bukan milik mereka). Sekarang saya harus memeriksa apakah pengguna diperbolehkan …

53 design  security  theory 

Ada banyak situs di Internet yang memerlukan informasi login, dan satu-satunya cara untuk melindungi terhadap penggunaan kembali kata sandi adalah "janji" bahwa kata sandi di-hash di server, yang tidak selalu benar. Jadi saya bertanya-tanya, seberapa sulit untuk membuat halaman web yang hash password di komputer klien (dengan Javascript), sebelum mengirimnya …

46 javascript  security  client-relations  hashing  client-side 

Saya punya sedikit argumen di tempat kerja saya dan saya mencoba mencari tahu siapa yang benar, dan apa hal yang benar untuk dilakukan. Konteks: aplikasi web intranet yang digunakan pelanggan kami untuk akuntansi dan hal-hal ERP lainnya. Saya berpendapat bahwa pesan kesalahan yang disajikan kepada pengguna (ketika terjadi crash) harus …

45 security  error-handling 

Saya mencoba memahami tradeoff yang melekat antara peran dan izin ketika datang ke kontrol akses (otorisasi). Mari kita mulai dengan yang diberikan: dalam sistem kami, Izin akan menjadi unit akses berbutir halus (" Edit sumber daya X ", " Akses halaman dasbor ", dll.). Sebuah Peran akan menjadi koleksi 1+ …

45 security  permissions  authorization  access-control  roles 

Misalkan saya meninjau kode yang dikirim pelamar pekerjaan untuk membuktikan keterampilan mereka. Jelas saya tidak ingin menjalankan executables yang mereka kirim. Tidak begitu jelas saya lebih suka tidak menjalankan hasil kompilasi kode mereka (hanya misalnya, Java memungkinkan untuk menyembunyikan kode yang dapat dijalankan dalam komentar ). Bagaimana dengan kompilasi kode …

41 security  source-code  compiler  vulnerabilities 

Ketika membentuk opini, itu adalah praktik yang baik untuk mengikuti tradisi skolastik - berpikir sekeras yang Anda bisa melawan opini yang Anda pegang dan mencoba menemukan argumen-argumen yang berlawanan. Namun, tidak peduli seberapa keras saya mencoba, saya tidak dapat menemukan argumen yang masuk akal yang mendukung antivirus (dan langkah-langkah keamanan …

40 security  hardware  development-environment 

Saya telah menemukan beberapa situs yang membatasi panjang kata sandi yang diizinkan dan / atau melarang karakter tertentu. Itu membatasi saya karena saya ingin memperluas dan memperpanjang ruang pencarian kata sandi saya. Itu juga memberi saya perasaan tidak nyaman bahwa mereka mungkin tidak hashing. Adakah alasan yang baik untuk menetapkan …

39 security  passwords