Zamknięte. To pytanie jest nie na temat . Obecnie nie przyjmuje odpowiedzi. Chcesz poprawić to pytanie? Zaktualizuj pytanie, aby było tematem dotyczącym wymiany stosów inżynierii oprogramowania. Zamknięte 4 lata temu . Złośliwe oprogramowanie...
Oto zasady dotyczące haseł, które właśnie otrzymałem od UPS (tylko do sprawdzania statusu paczki): Twoje hasło musi mieć od 8 do 26 znaków. Musi zawierać co najmniej trzy z następujących typów znaków: małe litery, wielkie litery, cyfry, znaki specjalne lub spacje. Hasło nie może zawierać Twojego...
Tworzę aplikację internetową z silnym naciskiem na bezpieczeństwo. Jakie środki można podjąć, aby zapobiec przechwytywaniu przez użytkowników wartości, które powinny być dobrze chronione, takich jak hasła, numery ubezpieczenia społecznego itd., Którzy pracują nad aplikacją (programiści, DBA,...
Czytałem trochę literatury na temat bezpieczeństwa, w szczególności bezpieczeństwa / szyfrowania haseł, i zastanawiałem się nad jedną rzeczą: czy zasada 3-strike jest idealnym rozwiązaniem dla bezpieczeństwa haseł? Oznacza to, że jeśli liczba prób podania hasła jest ograniczona do niewielkiej...
Dużo czytałem na temat OAuth2, próbując obejść ten problem, ale wciąż jestem z czegoś zdezorientowany. Rozumiem, że klient autoryzuje się u dostawcy OAuth (na przykład Google) i zezwala serwerowi zasobów na dostęp do danych profilu użytkownika. Następnie klient może wysłać token dostępu do serwera...
Na moim lokalnym uniwersytecie działa niewielki studencki klub komputerowy złożony z około 20 studentów. W klubie działa kilka małych zespołów o określonych obszarach, takich jak tworzenie aplikacji mobilnych, robotyka, tworzenie gier oraz hakowanie / bezpieczeństwo. Przedstawiam kilka...
Często to, co wyświetla się użytkownikowi (np. Na stronie internetowej), będzie częściowo oparte na kontroli bezpieczeństwa. Zazwyczaj uważam bezpieczeństwo na poziomie użytkownika / ACL za część logiki biznesowej systemu. Jeśli widok wyraźnie sprawdza zabezpieczenia w celu warunkowego wyświetlania...
Obecna specyfikacja RFC Websocket wymaga, aby klienci Websocket maskowali wszystkie dane w ramkach podczas wysyłania (ale nie jest to wymagane od serwera). Powodem protokół został zaprojektowany w ten sposób jest zapobieganie dane ramki z zmiané złośliwych połączeń między klientem a serwerem...
Muszę zaprojektować „widget”, skrypt, który partnerzy będą osadzać na swoich stronach internetowych, aby wyświetlać interfejs użytkownika i wykonywać połączenia z naszym interfejsem API. Zasadniczo będzie wyświetlać nasze dane w tych witrynach na podstawie niektórych identyfikatorów podanych w...
Odziedziczyłem niektóre projekty, w których tajniki miały kontrolę źródła w App.config i podobnych plikach. Na szczęście nie jest to publiczne repozytorium, więc ryzyko nie jest tak poważne, jak mogłoby być. Szukam lepszych sposobów zarządzania tym, takich jak Azure KeyVault. (Ale nie chcę, aby to...
W jakich okolicznościach konsultant IT powinien szyfrować dysk twardy, aby chronić swój kod / dane swoich klientów? Wydaje mi się, że jeśli nie zwiększy to znacznie obciążenia pracą, równie dobrze możesz użyć pełnego szyfrowania dysku za pomocą „słabego” hasła, aby przynajmniej uniemożliwić komuś...
Czy podczas kodowania aktywnie myślisz o tym, że Twój kod może zostać wykorzystany w sposób, w jaki pierwotnie nie był przeznaczony, a tym samym uzyskać dostęp do chronionych informacji, uruchamiać polecenia lub robić coś innego, czego nie chcieliby Twoi
Muszę wdrożyć elastyczne ORAZ proste (jeśli takie rzeczy istnieją), a jednocześnie w miarę możliwości korzystać z wbudowanych środków Do tej pory mam wdrożone MembershipProvider i RoleProviders. To jest fajne, ale gdzie dalej? Wydaje mi się, że muszę dodać termin „Przywilej” i zakodować te w...
Exchange 2010 ma model delegowania, w którym grupy poleceń cmdlet winrm są zasadniczo pogrupowane w role, a role przypisane do użytkownika. ( Źródło obrazu ) Jest to świetny i elastyczny model, biorąc pod uwagę, w jaki sposób mogę wykorzystać wszystkie zalety PowerShell, przy jednoczesnym użyciu...
Muszę zaprojektować bazę danych, która będzie zawierać informacje o osobistej chorobie użytkowników. Jakie może być podejście do wdrożenia kolumn tabel DB: szyfrowanie informacji, oddzielenie danych w dwóch różnych DB, jeden dla danych wrażliwych, a drugi dla danych wrażliwych, lub jedno lub...
Jestem w trakcie projektowania aplikacji internetowej Java, którą prawdopodobnie skończę w Google App Engine (GAE). Zaletą GAE jest to, że naprawdę nie muszę się martwić o wzmocnienie mojej aplikacji przed przerażającym atakiem DDoS - po prostu określam „pułap rozliczeniowy”, a jeśli mój ruch...
Czy informacje o uprawnieniach i rolach klienta powinny być zawarte w JWT? Posiadanie takich informacji w tokenie JWT będzie bardzo pomocne, ponieważ za każdym razem, gdy pojawi się prawidłowy token, łatwiej byłoby wyodrębnić informacje o uprawnieniu użytkownika i nie będzie potrzeby wywoływania...