Pytania oznaczone «security»

97
Czy istnieje różnica między uwierzytelnianiem a autoryzacją?

Widzę, że te dwa terminy trochę się kłębiły (szczególnie w scenariuszach internetowych, ale przypuszczam, że nie ogranicza się do tego) i zastanawiałem się, czy istnieje różnica. Wydaje mi się, że obaj mają na myśli, że wolno ci robić to, co robisz. Czy to tylko kwestia nomenklatury, czy też...

97
Które zmienne $ _SERVER są bezpieczne?

Osoba atakująca może również kontrolować każdą zmienną, którą może kontrolować użytkownik, a zatem jest ona źródłem ataku. Nazywa się to zmienną „skażoną” i jest niebezpieczna. Podczas używania $_SERVERmożna kontrolować wiele zmiennych. PHP_SELF, HTTP_USER_AGENT, HTTP_X_FORWARDED_FOR,...

96
Jak włączyć logowanie dla Spring Security?

Konfiguruję Spring Security, aby obsługiwał logujących się użytkowników. Zalogowałem się jako użytkownik i po pomyślnym zalogowaniu jestem przenoszony na stronę błędu odmowy dostępu. Nie wiem, jakie role faktycznie przypisano mojemu użytkownikowi ani jaka reguła powoduje odmowę dostępu, ponieważ...

95
klucz klienta w OAuth 2.0

Aby korzystać z Google Drive API, muszę grać z uwierzytelnianiem przy użyciu OAuth2.0. Mam kilka pytań na ten temat. Identyfikator klienta i klucz tajny klienta służą do identyfikacji mojej aplikacji. Ale muszą być zakodowane na stałe, jeśli jest to aplikacja kliencka. Tak więc każdy może...

94
Jak działa luka JPEG of Death?

Czytałem o starszym exploicie przeciwko GDI + w Windows XP i Windows Server 2003 o nazwie JPEG of death dla projektu, nad którym pracuję. Exploit jest dobrze wyjaśniony w poniższym linku: http://www.infosecwriters.com/text_resources/pdf/JPEG.pdf Zasadniczo plik JPEG zawiera sekcję o nazwie...

93
Jak ograniczyć modyfikację danych Firebase?

Firebase zapewnia zaplecze bazy danych, dzięki czemu programiści mogą skupić się na kodzie po stronie klienta. Więc jeśli ktoś weźmie moje URI Firebase (na przykład https://firebaseinstance.firebaseio.com), to na nim napisz lokalnie . Czy będą mogli wtedy utworzyć kolejną aplikację poza moją...

93
Po co używać klucza i klucza API?

Natknąłem się na wiele interfejsów API, które dają użytkownikowi zarówno klucz API , jak i sekret . Ale moje pytanie brzmi: jaka jest różnica między nimi? Moim zdaniem wystarczy jeden klucz. Powiedzmy, że mam klucz i tylko ja i serwer o tym wiemy. Tworzę skrót HMAC z tym kluczem i wykonuję...