Zablokowana . To pytanie i odpowiedzi są zablokowane, ponieważ pytanie jest nie na temat, ale ma znaczenie historyczne. Obecnie nie akceptuje nowych odpowiedzi ani interakcji. Wygląda na to, że dodamy obsługę CAPTCHA do przepełnienia stosu. Jest to konieczne, aby...
Kiedy budujesz aplikacje w stylu SPA przy użyciu frameworków takich jak Angular, Ember, React itp., Co ludzie uważają za najlepsze praktyki uwierzytelniania i zarządzania sesjami? Mogę wymyślić kilka sposobów rozważenia rozwiązania problemu. Traktuj to nie inaczej niż uwierzytelnianie za pomocą...
Jeśli otrzymam JWT i mogę dekodować ładunek, jak to jest bezpieczne? Czy nie mogę po prostu wyciągnąć tokena z nagłówka, zdekodować i zmienić informacje o użytkowniku w ładunku i odesłać go z tym samym poprawnym, zakodowanym sekretem? Wiem, że muszą być bezpieczne, ale naprawdę chciałbym zrozumieć...
Mam następujący prosty kod do połączenia ze stroną SSL NSMutableURLRequest *urlRequest=[NSMutableURLRequest requestWithURL:url]; [ NSURLConnection sendSynchronousRequest: urlRequest returningResponse: nil error: &error ]; Tyle że daje błąd, jeśli certyfikat jest samopodpisany. Error...
Czy hashowanie dwa razy przed przechowywaniem jest mniej lub bardziej bezpieczne niż jednorazowe hashowanie? Mówię o tym: $hashed_password = hash(hash($plaintext_password)); zamiast tego: $hashed_password = hash($plaintext_password); Jeśli jest mniej bezpieczny, czy możesz podać dobre...
Mam aplikację internetową Spring MVC, która korzysta z Spring Security. Chcę poznać nazwę użytkownika aktualnie zalogowanego. Używam fragmentu kodu podanego poniżej. Czy to jest akceptowany sposób? Nie podoba mi się wywołanie metody statycznej w tym kontrolerze - co przeczy całemu celowi Springa,...
Próbuję zrozumieć cały problem z CSRF i odpowiednie sposoby, aby temu zapobiec. (Zasoby, które przeczytałem, zrozumiałem i zgadzam się z: Arkuszem zapobiegania OWASP CSRF , Pytania dotyczące CSRF .) Jak rozumiem, luka wokół CSRF wynika z założenia, że (z punktu widzenia serwera) prawidłowy plik...
W systemie Windows Server 2008 z zainstalowanym programem ASP.NET 4.0 jest mnóstwo powiązanych kont użytkowników i nie mogę zrozumieć, które z nich są różne, w jaki sposób się różnią, a które NAPRAWDĘ jest tym, na którym działa moja aplikacja. Oto lista: IIS_IUSRS IUSR DefaultAppPool ASP.NET...
Porównując HTTP GET z HTTP POST, jakie są różnice z punktu widzenia bezpieczeństwa? Czy jeden z wyborów jest z natury bezpieczniejszy niż drugi? Jeśli tak, to dlaczego? Zdaję sobie sprawę, że POST nie ujawnia informacji w adresie URL, ale czy jest w tym jakaś rzeczywista wartość, czy to tylko...
Zablokowana . To pytanie i odpowiedzi są zablokowane, ponieważ pytanie jest nie na temat, ale ma znaczenie historyczne. Obecnie nie akceptuje nowych odpowiedzi ani interakcji. Próbuję zbudować listę funkcji, których można użyć do wykonania dowolnego kodu. Celem nie...
Usiłuję obsługiwać token elementu nośnego JWT (JSON Web Token) w mojej aplikacji interfejsu API sieci Web i gubię się. Widzę obsługę .NET Core i aplikacji OWIN. Obecnie hostuję moją aplikację w IIS. Jak mogę uzyskać ten moduł uwierzytelniania w mojej aplikacji? Czy jest jakiś sposób na użycie...
Problem: Mamy oparty na Spring MVC interfejs API RESTful, który zawiera poufne informacje. Interfejs API powinien być zabezpieczony, jednak wysyłanie poświadczeń użytkownika (kombinacja użytkownik / hasło) przy każdym żądaniu nie jest pożądane. Zgodnie z wytycznymi REST (i wewnętrznymi wymaganiami...
Zamknięte . To pytanie jest oparte na opiniach . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było na nie odpowiedzieć faktami i cytatami, edytując ten post . Zamknięte 4 lata temu . Popraw to pytanie...
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą specjalistyczną, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz,...
Moja aplikacja internetowa używa sesji do przechowywania informacji o użytkowniku po zalogowaniu i do zachowania tych informacji podczas podróży ze strony na stronę w aplikacji. W tym konkretnym zastosowaniu, jestem składowano user_id, first_namea last_nameosoby. Chciałbym zaoferować opcję „Keep...
Jaki jest domyślny protokół bezpieczeństwa do komunikacji z serwerami, które obsługują do TLS 1.2? Będzie .NETdomyślnie wybierać najwyższej protokół zabezpieczeń obsługiwane po stronie serwera, czy muszę jawnie dodać poniższy wiersz kodu: System.Net.ServicePointManager.SecurityProtocol =...
Zawsze korzystałem z prawidłowego ciągu soli dla każdego wpisu podczas mieszania haseł do przechowywania danych. Na moje potrzeby przechowywanie soli w DB obok zaszyfrowanego hasła zawsze działało dobrze. Jednak niektóre osoby zalecają przechowywanie soli oddzielnie od bazy danych. Ich argumentem...
W konsoli programisty pojawia się mnóstwo błędów: Odmowa oceny ciągu Odmowa wykonania skryptu wbudowanego, ponieważ narusza następującą dyrektywę dotyczącą zasad bezpieczeństwa treści Odmowa załadowania skryptu Odmowa załadowania arkusza stylów O co w tym wszystkim chodzi? Jak działa Polityka...
Czy treści żądane przez https nadal będą buforowane przez przeglądarki internetowe, czy też uważają to zachowanie za niebezpieczne? Jeśli tak jest, czy w ogóle można im powiedzieć, że buforowanie jest w