Ingegneria software security

7

Gli URL privati non indovinabili equivalgono all'autenticazione basata su password?

Voglio esporre una risorsa sul web. Voglio proteggere questa risorsa: assicurarsi che sia accessibile solo a determinate persone. Potrei impostare una sorta di autenticazione basata su password . Ad esempio, ho potuto consentire l'accesso alla risorsa solo tramite un server Web che controlla le richieste in arrivo per le credenziali …

128 security authentication

7

Sei stato assunto per correggere un piccolo bug per un sito ad alta sicurezza. Guardando il codice, è pieno di buchi di sicurezza. cosa fai? [chiuso]

Sono stato assunto da qualcuno per fare qualche piccolo lavoro in un sito. È un sito per una grande azienda. Contiene dati molto sensibili, quindi la sicurezza è molto importante. Dopo aver analizzato il codice, ho notato che è pieno di buchi di sicurezza - leggi, molti file PHP che …

109 php security sql-injection

3

Sicurezza API REST Token archiviato vs JWT vs OAuth

Sto ancora cercando di trovare la migliore soluzione di sicurezza per proteggere l'API REST, perché la quantità di applicazioni mobili e API aumenta ogni giorno. Ho provato diversi modi di autenticazione, ma ho ancora dei malintesi, quindi ho bisogno del consiglio di qualcuno più esperto. Lasciami dire, come capisco tutte …

104 security rest api oauth https

8

Come salvaguardare un'API REST solo per applicazioni mobili attendibili

Come posso assicurarmi che l'API REST risponda solo alle richieste generate da client fidati, nel mio caso le mie applicazioni mobili? Voglio prevenire richieste indesiderate provenienti da altre fonti. Non voglio che gli utenti inseriscano una chiave seriale o altro, dovrebbe accadere dietro le quinte, al momento dell'installazione e senza …

96 security rest mobile

7

Come possono i robot battere i CAPTCHA?

Ho un modulo e-mail per il sito web. Uso un CAPTCHA personalizzato per prevenire lo spam dai robot. Nonostante ciò, ricevo ancora spam. Perché? In che modo i robot battono il CAPTCHA? Usano una sorta di OCR avanzato o ottengono la soluzione da dove sono archiviati? Come posso impedirlo? Devo …

84 security captcha

17

Come si può proteggere il software dalla pirateria?

Perché oggi sembra così facile piratare? Sembra un po 'difficile credere che, con tutti i nostri progressi tecnologici e i miliardi di dollari spesi per progettare il software più incredibile e strabiliante, non abbiamo ancora altri mezzi per proteggere dalla pirateria se non un "numero di serie / chiave di …

77 security

15

C'è qualche motivo per non passare direttamente da Javascript lato client a un database?

Possibile duplicato: scrittura di applicazioni Web "server less" Quindi, supponiamo che costruirò un clone di Stack Exchange e deciderò di utilizzare qualcosa come CouchDB come archivio back-end. Se utilizzo l'autenticazione integrata e l'autorizzazione a livello di database, c'è qualche motivo per non consentire al Javascript lato client di scrivere direttamente …

62 javascript architecture database security couchdb

14

Perché il meccanismo di prevenzione dell'iniezione SQL si è evoluto nella direzione dell'utilizzo di query con parametri?

Per come la vedo io, gli attacchi SQL injection possono essere prevenuti: Screening, filtraggio, codifica dell'input con attenzione (prima dell'inserimento in SQL) Utilizzo di istruzioni preparate / query con parametri Suppongo che ci siano pro e contro per ciascuno, ma perché il n. 2 è decollato e considerato più o …

59 security sql history hacking sql-injection

9

Perché non esporre una chiave primaria

Nella mia formazione mi è stato detto che è un'idea imperfetta esporre all'utente le chiavi primarie effettive (non solo chiavi DB, ma tutti gli accessori principali). Ho sempre pensato che fosse un problema di sicurezza (perché un utente malintenzionato poteva tentare di leggere cose non proprie). Ora devo verificare se …

53 design security theory

8

Perché quasi nessuna pagina web ha le password di hash nel client prima di inviarle (e cancellarle di nuovo sul server), in modo da "proteggere" dal riutilizzo delle password?

Esistono molti siti su Internet che richiedono informazioni di accesso e l'unico modo per proteggersi dal riutilizzo delle password è la "promessa" che le password siano sottoposte a hash sul server, il che non è sempre vero. Quindi mi chiedo, quanto è difficile creare una pagina Web con hash delle …

46 javascript security client-relations hashing client-side

7

Una traccia dello stack dovrebbe essere nel messaggio di errore presentato all'utente?

Ho un po 'di discussione sul mio posto di lavoro e sto cercando di capire chi ha ragione e qual è la cosa giusta da fare. Contesto: un'applicazione Web intranet che i nostri clienti utilizzano per la contabilità e altre cose ERP. Sono dell'opinione che un messaggio di errore presentato …

45 security error-handling

2

Controllo degli accessi in base al ruolo e alle autorizzazioni

Sto cercando di capire il compromesso intrinseco tra ruoli e autorizzazioni quando si tratta di controllo degli accessi (autorizzazione). Partiamo da un dato: nel nostro sistema, un'Autorizzazione sarà un'unità di accesso a grana fine (" Modifica risorsa X ", " Accesso alla pagina del pannello ", ecc.). Un ruolo sarà …

45 security permissions authorization access-control roles

13

Quanto è sicuro compilare un pezzo di codice sorgente da uno sconosciuto casuale? [chiuso]

Supponiamo che stia rivedendo il codice inviato dai candidati per dimostrare le loro competenze. Chiaramente non voglio eseguire eseguibili che inviano. Non così chiaramente preferirei non eseguire il risultato della compilazione del loro codice (solo per esempio, Java consente di nascondere il codice eseguibile nei commenti ). Che ne dici …

41 security source-code compiler vulnerabilities

9

Alla ricerca di argomentazioni forti e significative a favore del software antivirus su macchine di sviluppo [chiuso]

Quando formi delle opinioni, è una buona pratica seguire la tradizione scolastica - pensa il più possibile contro l'opinione che hai e cerca di trovare contro-argomenti. Tuttavia, non importa quanto ci provi, non riesco proprio a trovare argomenti ragionevoli a favore dell'antivirus (e delle relative misure di sicurezza) sulle macchine …

40 security hardware development-environment

10

Esistono motivi validi per vietare i caratteri e limitare la lunghezza delle password?

Mi sono imbattuto in parecchi siti che limitano la lunghezza che consentono alle password di essere e / o vietano determinati caratteri. Questo mi limita perché voglio ampliare e allungare lo spazio di ricerca della mia password. Mi dà anche una sensazione spiacevole che potrebbero non avere hash. Ci sono …

39 security passwords

Domande taggate «security»