Po przesłaniu przez nowego użytkownika formularza „Nowe konto” chcę ręcznie zalogować tego użytkownika, aby nie musiał się logować na kolejnej stronie. Normalna strona logowania do formularza przechodząca przez przechwytywacz zabezpieczenia sprężyny działa dobrze. W kontrolerze formularza nowego...
Zaimplementowałem BloomFilter w Pythonie 3.3 i otrzymałem różne wyniki podczas każdej sesji. Analiza tego dziwnego zachowania doprowadziła mnie do wewnętrznej funkcji hash () - zwraca ona różne wartości skrótu dla tego samego ciągu w każdej sesji. Przykład: >>>...
Tworzę aplikację Windows, do której musisz się najpierw zalogować. Szczegóły konta składają się z nazwy użytkownika i hasła i muszą być zapisane lokalnie. To tylko kwestia bezpieczeństwa, więc inne osoby korzystające z tego samego komputera nie widzą danych osobowych wszystkich. Jaki jest...
Piszę skrypt powłoki, który powinien być nieco bezpieczny, tj. Nie przekazuje bezpiecznych danych przez parametry poleceń i najlepiej nie używa plików tymczasowych. Jak mogę przekazać zmienną do wejścia standardowego polecenia? A jeśli nie jest to możliwe, jak poprawnie wykorzystać pliki...
Próbuję użyć haseł jednorazowych, które można wygenerować za pomocą aplikacji Google Authenticator . Co robi Google Authenticator Zasadniczo Google Authenticator implementuje dwa typy haseł: HOTP - jednorazowe hasło oparte na HMAC, co oznacza, że hasło jest zmieniane przy każdym...
To pytanie dotyczy tylko ochrony przed atakami typu Cross Site Request Forgery. Chodzi w szczególności o: Czy ochrona za pośrednictwem nagłówka Origin (CORS) jest tak dobra, jak ochrona za pośrednictwem tokenu CSRF? Przykład: Alicja jest zalogowana (używając pliku cookie) w swojej przeglądarce...
Pracuję nad zbudowaniem RESTful API dla jednej z aplikacji, które zarządzam. Obecnie szukamy różnych elementów, które wymagają bardziej kontrolowanego dostępu i bezpieczeństwa. Badając, jak zabezpieczyć API, znalazłem kilka różnych opinii na temat tego, jakiej formy użyć. Widziałem niektóre...
W książce, którą czytam, jest napisane, że printfpojedynczy argument (bez specyfikatorów konwersji) jest przestarzały. Zaleca się zastąpić printf("Hello World!"); z puts("Hello World!"); lub printf("%s", "Hello World!"); Czy ktoś może mi powiedzieć, dlaczego printf("Hello World!");się...
Używam Spring MVC @ControllerAdvicei @ExceptionHandlerdo obsługi wszystkich wyjątków interfejsu API REST. Działa dobrze w przypadku wyjątków generowanych przez kontrolery Web MVC, ale nie działa w przypadku wyjątków generowanych przez niestandardowe filtry zabezpieczeń Spring, ponieważ są one...
To pytanie ma już odpowiedzi tutaj : Gdzie przechowywać JWT w przeglądarce? Jak chronić się przed CSRF? (5 odpowiedzi) Zamknięte 3 miesiące temu . W celu zabezpieczenia REST API za pomocą JWT, zgodnie z niektórymi materiałami (takimi jak ten przewodnik i to...
Zrobiłem trochę badań na temat obsługi sesji PHP i znalazłem session.gc_maxlifetimewartość 1440 sekund. Zastanawiałem się, dlaczego standardowa wartość to 1440 i jak jest obliczana? Jaka jest podstawa tego obliczenia? Jak długo warto utrzymywać sesje? Jakie wartości min / max dla...
Czy ktoś mógłby wyjaśnić, kiedy zastąpić configure(HttpSecurity), configure(WebSecurity)i
Zdaję sobie sprawę, że specyfikacja OAuth nie określa nic o pochodzeniu kodu ConsumerKey, ConsumerSecret, AccessToken, RequestToken, TokenSecret lub Verifier, ale jestem ciekawy, czy istnieją jakieś najlepsze praktyki dotyczące tworzenia znacząco bezpiecznych tokenów (zwłaszcza Token / Tajne...
Im więcej poznawałem moc java.lang.reflect.AccessibleObject.setAccessible, tym bardziej jestem zdumiony tym, co on potrafi. Jest to zaadaptowane z mojej odpowiedzi na pytanie ( Używanie odbicia do zmiany statycznego pliku końcowego File.separatorChar do testowania jednostkowego ). import...
Mam witrynę ASP.NET 4.0 IIS7.5, którą muszę zabezpieczyć za pomocą nagłówka X-Frame-Options. Muszę również umożliwić wyświetlanie ramek iframe na moich stronach witryny z mojej samej domeny, a także z mojej aplikacji Facebook. Obecnie mam skonfigurowaną witrynę z witryną o...
W pracy mamy dwie konkurencyjne teorie dotyczące soli. Produkty, nad którymi pracuję, używają czegoś takiego jak nazwa użytkownika lub numer telefonu, aby posolić hash. Zasadniczo coś, co jest różne dla każdego użytkownika, ale jest dla nas łatwo dostępne. Drugi produkt losowo generuje sól dla...
Buduję aplikację internetową z Spring Security, która będzie działać na Amazon EC2 i używać elastycznych równoważników obciążenia Amazon. Niestety ELB nie obsługuje sesji sticky, więc muszę upewnić się, że moja aplikacja działa poprawnie bez sesji. Do tej pory skonfigurowałem RememberMeServices,...
Czasami napotykam komentarze lub odpowiedzi, które wyraźnie stwierdzają, że bieganie pippod sudojest „niewłaściwe” lub „złe”, ale są przypadki (w tym sposób, w jaki skonfigurowałem zestaw narzędzi), w których jest to znacznie prostsze lub nawet konieczne uruchom to w ten sposób. Jakie są...
Próbuję utworzyć zaszyfrowane hasło do Laravel. Ktoś powiedział mi, żebym użył pomocnika haszującego Laravel, ale nie mogę go znaleźć lub patrzę w złym kierunku. Jak utworzyć zaszyfrowane hasło laravel? Oraz gdzie? Edycja: wiem, jaki jest kod, ale nie wiem, gdzie i jak go używać, więc zwraca...
Próbuję trochę zabezpieczyć formularze w mojej witrynie. Jeden z formularzy korzysta z technologii AJAX, a drugi to prosty formularz „skontaktuj się z nami”. Próbuję dodać token CSRF. Problem, który mam, polega na tym, że token pojawia się tylko czasami w „wartości” HTML. Przez resztę czasu...