Staramy się ustalić najlepszy sposób autoryzacji użytkowników w architekturze mikrousług, jednocześnie zapewniając ograniczone uprawnienia mikrousług. Nasza architektura korzysta z centralnej usługi autoryzacji do obsługi wydawania tokenów JWT. Mamy następujące wymagania: Użytkownicy powinni...
Znalazłem poważną lukę bezpieczeństwa w jednej z publicznych witryn mojej firmy. To nasza pierwsza publiczna witryna, która została przekonwertowana z witryny intranetowej. Przedstawiłem ten problem mojemu szefowi, który w zasadzie go wzruszył ramionami, mówiąc, że przebudowanie witryny zajmie...
Większość zagrożeń bezpieczeństwa, o których słyszałem, powstały z powodu błędu w oprogramowaniu (np. Wszystkie dane wejściowe nie są poprawnie sprawdzane pod względem czystości, przepełnienia stosu itp.). Więc jeśli wykluczymy wszelkie hakowanie społecznościowe, czy wszystkie zagrożenia...
Pracujemy nad nowym projektem, jesteśmy dwoma głównymi programistami i znaleźliśmy się na rozdrożu, jak używać tokena do zabezpieczenia komunikacji między serwerem a klientem. Pierwsza sugestia: (Jednorazowy token AKA Static Token) klient żąda tokena podstawowego, wysyłając nazwę użytkownika i...
tło Kontraktowano mnie, aby pomóc firmie w utrzymaniu serwera. Pracuję nad niektórymi mniejszymi projektami PHP, ale również sprawdzam problemy z wydajnością, a ostatnio skanuję dzienniki w poszukiwaniu hakerów. Ci faceci już od jakiegoś czasu pracują nad swoim serwerem i mają to, co nazwałbym...
Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było tematem dotyczącym wymiany stosów inżynierii oprogramowania. Zamknięte 6 lat temu . Najpopularniejsze aplikacje wymagają...
Czy rejestracja przy użyciu adresu e-mail jest lepszym pomysłem niż nazwa użytkownika do identyfikacji
Kiedy dodajesz wartości soli do wartości skrótu dla czegoś takiego jak hasło, którego nie można zapisać zwykłym tekstem, jakie jest najlepsze miejsce, aby uzyskać wartości soli? Dla kontekstu załóżmy, że dotyczy to haseł do logowania na stronie
Konfiguruję nową usługę sieci Web RESTful i muszę zapewnić oparty na rolach model kontroli dostępu . Muszę stworzyć architekturę, która pozwoli użytkownikom podać swoją nazwę użytkownika i hasło, aby uzyskać dostęp do usług, a następnie ograniczyć sposób, w jaki mogą korzystać z usług (z których...
Dzisiaj otrzymałem pytanie od mojego kierownika, które zadaje mi moje przemyślenia na temat tego, co uważa się za akceptowalny projekt do uwierzytelniania aplikacji formularza internetowego, szczególnie w odniesieniu do charakteru wielu popularnych przeglądarek, aby „Zapamiętaj hasło” w polach...
Będąc twórcą programu, prawdopodobnie jesteś w lepszej sytuacji niż ktokolwiek inny, aby mieć świadomość luk w zabezpieczeniach i potencjalnych włamań. Jeśli znasz lukę w systemie, który napisałeś, czy jest to znak, że MUSI być dodane zwiększone bezpieczeństwo przed wydaniem, czy też należy to...
Przez około 10 lat pracowałem nad różnymi wewnętrznymi aplikacjami klienckimi z magazynami danych SQL Server. Rzadko zaczynałem te projekty - większość z nich to prace związane z przejęciem. Jedną rzeczą, która wydawała się stała wszędzie, było to, że było jedno globalne konto użytkownika SQL...
Zamknięte . To pytanie musi być bardziej skoncentrowane . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby skupiało się tylko na jednym problemie, edytując ten post . Zamknięte 4 lata temu . Mam zamiar napisać...
Jeśli hasła są przechowywane w stanie mieszanym, skąd komputer wiedziałby, że twoje hasło jest podobne do ostatniego, jeśli spróbujesz je zresetować? Czy dwa hasła nie byłyby zupełnie inne, skoro jedno zostało zaszyfrowane i nie można go
Czy uważasz, że dobrą praktyką jest wdrożenie możliwości umożliwienia administratorowi zalogowania się jako inny użytkownik, z pominięciem hasła? Można to zaimplementować za pomocą hasła głównego lub funkcji w administracji użytkownika „Zaloguj się jako ten użytkownik”. Administratorzy proszą, aby...
Zamknięte . To pytanie jest oparte na opiniach . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby można było na nie odpowiedzieć faktami i cytatami, edytując ten post . Zamknięte 4 lata temu . Nie zgadzam się z...
To pytanie pojawiło się dzisiaj podczas dyskusji z kolegą na temat strony „Utwórz konto” dla witryny, nad którą pracujemy. Mój kolega uważa, że rejestracja powinna przebiegać tak szybko i bezproblemowo, jak to możliwe, dlatego powinniśmy po prostu poprosić użytkownika o jego e-mail i zająć się...
Mam tę aplikację internetową, która będzie w całości technologią po stronie klienta (HTML, CSS, JavaScript / AngularJS itp.). Ta aplikacja internetowa będzie współdziałać z interfejsem API REST w celu uzyskiwania dostępu i modyfikowania danych. Obecnie nie jest zadecydowane, jakiego rodzaju systemu...
Nie mam dużego doświadczenia z aplikacjami komputerowymi, ale gdybym musiał utworzyć aplikację kliencką na serwerze, dostęp do danych byłby możliwy za pośrednictwem usługi internetowej. Wierzę, że dostęp do danych za pośrednictwem usługi sieciowej zapewnia bezpieczeństwo - nie muszę podawać nazwy...
Dużo czytałem na temat OAuth2, próbując obejść ten problem, ale wciąż jestem z czegoś zdezorientowany. Rozumiem, że klient autoryzuje się u dostawcy OAuth (na przykład Google) i zezwala serwerowi zasobów na dostęp do danych profilu użytkownika. Następnie klient może wysłać token dostępu do serwera...