Hasła nie należy przechowywać w postaci zwykłego tekstu z oczywistych względów bezpieczeństwa: musisz przechowywać skróty, a także należy ostrożnie generować skrót, aby uniknąć ataków na tęczową tablicę. Zwykle jednak wymagane jest przechowywanie ostatnich n haseł i wymuszanie minimalnej...
To pytanie zostało przeniesione z przepełnienia stosu, ponieważ można na nie odpowiedzieć w programie Software Engineering Stack Exchange. Migrował 8 lat temu . W niektórych firmach, w których pracowałem, menedżerowie wydali sporo pieniędzy na konsultantów ds....
Powiedz, że chcę, aby niektóre części mojego oprogramowania były szyfrowane. Na przykład poświadczenia dla bazy danych itp. Muszę gdzieś przechowywać te wartości, ale zrobienie tego w postaci czystego tekstu ułatwiłoby atakującemu uzyskanie nieautoryzowanego dostępu. Jeśli jednak zaszyfruję jakiś...
Jak projekt open source z publicznym repozytorium najlepiej obsługiwać żądania ściągania (PR), które rozwiązują bezpiecznie zgłoszone, ale jeszcze nie ujawnione publicznie luki w zabezpieczeniach? Jestem zaangażowany w projekt open source z udziałem kilkuset współpracowników. Informacje o...
W obecnej formie to pytanie nie pasuje do naszego formatu pytań i odpowiedzi. Oczekujemy, że odpowiedzi poparte będą faktami, referencjami lub wiedzą fachową, ale to pytanie prawdopodobnie będzie wymagało debaty, argumentów, ankiet lub rozszerzonej dyskusji. Jeśli uważasz, że to...
Wstrzykiwanie SQL jest bardzo poważnym problemem bezpieczeństwa, w dużej mierze dlatego, że tak łatwo go pomylić: oczywisty, intuicyjny sposób budowania zapytania zawierającego dane wejściowe użytkownika naraża cię na niebezpieczeństwo, a właściwy sposób jego złagodzenia wymaga znajomości...
To pytanie zostało przeniesione z przepełnienia stosu, ponieważ można na nie odpowiedzieć w programie Software Engineering Stack Exchange. Migrował 7 lat temu . Jakie aspekty muszę wziąć pod uwagę przy projektowaniu i publikowaniu oprogramowania, które musi spełniać...
Czytałem w wielu źródłach, że dane wyjściowe PHP rand () są przewidywalne jako PRNG, i w większości akceptuję to jako fakt, ponieważ widziałem to w tak wielu miejscach. Interesuje mnie proof-of-concept: jak mógłbym zająć się przewidywaniem wyników rand ()? Po przeczytaniu tego artykułu rozumiem,...
Nie zgadzam się z kimś (klientem) w sprawie procesu identyfikacji / uwierzytelnienia użytkownika w systemie. Najważniejsze jest to, że chcą, aby każdy użytkownik miał globalnie unikalne hasło (tzn. Żaden z dwóch użytkowników nie może mieć tego samego hasła). Wyłożyłem wszystkie oczywiste argumenty...
Jeśli utworzę login dla aplikacji o średnim lub niskim ryzyku bezpieczeństwa (innymi słowy, nie jest to aplikacja bankowa ani nic takiego), czy mogę zweryfikować hasło wprowadzone przez użytkownika, mówiąc tylko: if(enteredPassword == verifiedPassword) SendToRestrictedArea(); else...
Po przeczytaniu tego interesującego pytania poczułem, że mam dobry pomysł, który niepewny algorytm mieszający użyłbym, gdybym go potrzebował, ale nie mam pojęcia, dlaczego zamiast tego mogę użyć bezpiecznego algorytmu. Jakie jest zatem rozróżnienie? Czy wynik nie jest tylko liczbą losową...
Trudno powiedzieć, o co tu pytają. To pytanie jest dwuznaczne, niejasne, niepełne, zbyt szerokie lub retoryczne i na obecną formę nie można w rozsądny sposób odpowiedzieć. Aby uzyskać pomoc w wyjaśnieniu tego pytania, aby można je było ponownie otworzyć, odwiedź centrum pomocy ....
Przeczytałem tę odpowiedź i znalazłem komentarz nalegający, aby nie wysyłać hasła e-mailem: hasła nie powinny być możliwe do odzyskania przez e-mail, nienawidzę tego. Oznacza to, że moje hasło jest gdzieś zapisane jako zwykły tekst. należy go zresetować. To nasuwa mi pytanie o obsługę opcji...
Korzystam z tokenów JWT w nagłówkach HTTP do uwierzytelniania żądań do serwera zasobów. Serwer zasobów i serwer uwierzytelniania to dwie osobne role robocze na platformie Azure. Nie mogę się zdecydować, czy mam przechowywać roszczenia w tokenie, czy dołączyć je do żądania / odpowiedzi w inny...
Niedawno skorzystałem z usługi rządowej, z której miałem konto od lat temu. Nie mogłem zapamiętać mojego hasła do usługi, więc skorzystałem z linku „zapomniałem hasła” i byłem zaskoczony, że ta rządowa witryna wysłała moje hasło na mój adres e-mail zwykłym tekstem. Jestem osobiście świadomy tego,...
Buduję dość złożony interpretowany program w Pythonie. Pracuję nad większością tego kodu do innych celów od kilku miesięcy i dlatego nie chcę, aby mój klient mógł po prostu skopiować i spróbować go sprzedać, ponieważ uważam, że jest on wart sporej kwoty. Problem polega na tym, że potrzebuję...
Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post . Zamknięte 5 lat temu . Pracowałem więc w wielu...
Wydaje się to mniej powszechne w przypadku nowszych witryn, ale wiele witryn, na których potrzebuję konta (np. Do płacenia rachunków itp.), Uniemożliwia mi utworzenie hasła ze spacjami. To tylko utrudnia zapamiętywanie i nie jestem świadomy żadnych ograniczeń bazy danych lub programowania...
W firmie, w której kiedyś pracowałem, musiałem zaimplementować odbiornik gniazdowy, który przeważnie pobierał dane w postaci UDP przez połączenie lokalne z jakiegoś specjalistycznego sprzętu czujnikowego. Dane, o których mowa, były dobrze uformowanym pakietem UDP, ale co ciekawe, ładunek danych...
Jestem długoletnim programistą Java i wreszcie, po ukończeniu studiów, mam czas na przyzwoite przestudiowanie go, aby przystąpić do egzaminu certyfikacyjnego ... Jedną z rzeczy, które zawsze mnie niepokoiły, jest to, że String jest „ostateczny”. Rozumiem to, kiedy poczytam o kwestiach...