W przypadku pytań związanych z kryptografią i bezpieczeństwem IT. Może to być bezpieczeństwo komputera, sieci lub bazy danych.
Chcę udostępnić zasób w sieci. Chcę chronić ten zasób: aby upewnić się, że jest on dostępny tylko dla niektórych osób. Mogę skonfigurować uwierzytelnianie oparte na haśle . Na przykład mogłem zezwolić na dostęp do zasobu tylko za pośrednictwem serwera WWW, który sprawdza przychodzące żądania...
Znam niektóre osoby, które obecnie pracują nad projektem dla amerykańskiego wojska (niski poziom bezpieczeństwa, dane o typie zasobów ludzkich niezwiązane z walką). Początkowy stan kodu projektu został przesłany do wojska do przeglądu, a oni uruchomili program za pomocą pewnego rodzaju narzędzia...
Zostałem zatrudniony przez kogoś do drobnych prac na stronie. To strona dla dużej firmy. Zawiera bardzo wrażliwe dane, więc bezpieczeństwo jest bardzo ważne. Po przeanalizowaniu kodu zauważyłem, że jest on wypełniony lukami w zabezpieczeniach - czytaj, wiele plików PHP rzuca dane wejściowe...
Wciąż próbuję znaleźć najlepsze rozwiązanie bezpieczeństwa do ochrony interfejsu API REST, ponieważ liczba aplikacji mobilnych i interfejsu API rośnie z każdym dniem. Próbowałem różnych sposobów uwierzytelniania, ale nadal mam pewne nieporozumienia, dlatego potrzebuję porady kogoś bardziej...
Jak mogę się upewnić, że mój interfejs API REST odpowiada tylko na żądania generowane przez zaufanych klientów, w moim przypadku moje własne aplikacje mobilne? Chcę zapobiec niechcianym żądaniom pochodzącym z innych źródeł. Nie chcę, aby użytkownicy wpisywali klucz szeregowy lub cokolwiek innego,...
Mam formularz e-mail strony internetowej. Używam niestandardowego CAPTCHA, aby zapobiec spamowi robotów. Mimo to nadal otrzymuję spam. Dlaczego? W jaki sposób roboty pokonują CAPTCHA? Czy używają jakiegoś zaawansowanego OCR, czy po prostu szukają rozwiązania z miejsca, w którym są przechowywane?...
Dlaczego piractwo wydaje się takie łatwe? Wydaje się trochę trudno uwierzyć, że przy wszystkich naszych postępach technologicznych i miliardach dolarów wydanych na opracowanie najbardziej niewiarygodnego i oszałamiającego oprogramowania, nadal nie mamy innych sposobów ochrony przed piractwem niż...
Możliwa duplikat: pisanie internetowych aplikacji „bez serwera” Powiedzmy, że zbuduję klon Stack Exchange i zdecyduję się użyć czegoś takiego jak CouchDB jako mojego sklepu z zapleczem. Jeśli korzystam z wbudowanego uwierzytelniania i autoryzacji na poziomie bazy danych, to czy jest jakiś...
Mam uruchomioną aplikację korporacyjną, która korzysta zarówno z magazynów danych MySQL, jak i MongoDB . Mój zespół programistów ma dostęp SSH do maszyny w celu wykonywania wydań aplikacji, konserwacji itp. Niedawno podniosłem ryzyko w firmie, gdy użytkownicy zaczęli przechowywać bardzo wrażliwe...
Z mojego punktu widzenia atakom wstrzykiwania SQL można zapobiec poprzez: Dokładne przeglądanie, filtrowanie, kodowanie danych wejściowych (przed wstawieniem do SQL) Korzystanie z przygotowanych instrukcji / sparametryzowanych zapytań Przypuszczam, że każdy ma swoje zalety i wady, ale dlaczego...
W mojej edukacji powiedziano mi, że wadliwym pomysłem jest udostępnianie użytkownikowi rzeczywistych kluczy podstawowych (nie tylko kluczy DB, ale wszystkich głównych akcesorów). Zawsze myślałem, że to problem z bezpieczeństwem (ponieważ osoba atakująca może próbować czytać rzeczy, które nie są...
Istnieje wiele witryn w Internecie, które wymagają danych logowania, a jedynym sposobem ochrony przed ponownym użyciem hasła jest „obietnica”, że hasła są mieszane na serwerze, co nie zawsze jest prawdziwe. Zastanawiam się więc, jak trudno jest stworzyć stronę internetową, która haszy hasła na...
Mam kłótnię w miejscu pracy i staram się dowiedzieć, kto ma rację i co należy zrobić. Kontekst: intranetowa aplikacja internetowa, której nasi klienci używają do księgowości i innych rzeczy ERP. Uważam, że komunikat o błędzie wyświetlany użytkownikowi (gdy wystąpi awaria) powinien zawierać jak...
Próbuję zrozumieć nieodłączny kompromis między rolami i uprawnieniami, jeśli chodzi o kontrolę dostępu (autoryzację). Zacznijmy od danego: w naszym systemie pozwolenie będzie drobnoziarnistą jednostką dostępu („ Edytuj zasób X ”, „ Uzyskaj dostęp do strony panelu kontrolnego ” itp.). Rola będzie...
Załóżmy, że sprawdzam kod, który wysyłają kandydaci, aby udowodnić swoje umiejętności. Oczywiście nie chcę uruchamiać plików wykonywalnych, które wysyłają. Nie tak wyraźnie, wolałbym nie uruchamiać wyniku kompilacji ich kodu (na przykład Java pozwala ukryć kod wykonywalny w komentarzach ). A co ze...
Formułując opinie, dobrym zwyczajem jest podążanie za tradycją scholastyczną - uważaj, jak możesz, wbrew posiadanej opinii i staraj się znaleźć kontrargumenty. Jednak bez względu na to, jak bardzo się staram, po prostu nie mogę znaleźć rozsądnych argumentów przemawiających za programem...
Natknąłem się na kilka stron, które albo ograniczają długość, na jaką pozwalają na hasła, i / lub nie dopuszczają niektórych znaków. To mnie ogranicza, ponieważ chcę poszerzyć i wydłużyć przestrzeń wyszukiwania mojego hasła. Daje mi to również niewygodne wrażenie, że mogą nie mieszać. Czy istnieją...
Rozpocząłem rejestrowanie nieudanych prób logowania na mojej stronie za pomocą komunikatu typu Failed login attempt by qntmfred Zauważyłem, że niektóre z tych dzienników wyglądają Failed login attempt by qntmfredmypassword Zgaduję, że niektórzy ludzie mieli nieudane logowanie, ponieważ wpisali...
Pracując nad projektem dla mojej firmy, musiałem zbudować funkcjonalność, która pozwoli użytkownikom importować / eksportować dane do / z witryny naszego konkurenta. Robiąc to, odkryłem bardzo poważny exploit bezpieczeństwa, który w skrócie mógłby wykonać dowolny skrypt na stronie internetowej...
Czy nadal warto chronić nasze oprogramowanie przed piractwem? Czy istnieją rozsądnie skuteczne sposoby zapobiegania piractwu, a przynajmniej utrudniające