Ingegneria software security

4

La registrazione dei tentativi di accesso non riusciti espone le password

Ho iniziato a registrare tentativi di accesso non riusciti sul mio sito Web con un messaggio simile Failed login attempt by qntmfred Ho notato che alcuni di questi registri sembrano Failed login attempt by qntmfredmypassword Suppongo che alcune persone non abbiano effettuato l'accesso perché hanno digitato il loro nome utente …

38 web-development security

5

Quanto è facile hackerare JavaScript (in un browser)?

La mia domanda ha a che fare con la sicurezza JavaScript. Immagina un sistema di autenticazione in cui stai utilizzando un framework JavaScript come Backbone o AngularJS e hai bisogno di endpoint sicuri. Questo non è un problema, poiché il server ha sempre l'ultima parola e controllerà se sei autorizzato …

37 javascript security browser hacking

14

Cosa fare se si trova una vulnerabilità nel sito di un concorrente?

Mentre lavoravo a un progetto per la mia azienda, avevo bisogno di creare funzionalità che consentissero agli utenti di importare / esportare dati da / verso il sito del nostro concorrente. Nel fare ciò, ho scoperto un grave exploit di sicurezza che, in breve, poteva eseguire qualsiasi script sul sito …

37 business security ethics vulnerabilities

19

Come si impedisce la pirateria del software? [chiuso]

Ne vale ancora la pena proteggere il nostro software dalla pirateria? Esistono modi ragionevolmente efficaci per prevenire o almeno rendere difficile la pirateria?

37 security

14

Cosa succede se il client ha bisogno della capacità di recuperare le password?

Al momento ho ereditato un'applicazione al lavoro e, con mio grande sgomento, mi sono reso conto che le password dell'utente archiviate nel database sono crittografate utilizzando una funzione di crittografia interna, che include anche la possibilità di decrittografare. Quindi tutto ciò che qualcuno deve veramente fare è copiare la tabella …

34 security client-relations passwords

6

Qual è una buona pratica di sicurezza per l'archiviazione di un database critico sui laptop degli sviluppatori?

Abbiamo alcuni dati: Gli sviluppatori hanno bisogno di una replica del database di produzione sui loro computer. Gli sviluppatori hanno la password per detto database nei file App.config. Non vogliamo che i dati in detto database siano compromessi. Alcune soluzioni suggerite e i loro svantaggi: -Disk-crittografia completa. Questo risolve tutti …

33 database security

6

Quanto è sicuro localstorage?

La domanda dice davvero tutto. Voglio fornire un servizio ma non voglio archiviare personalmente nessuno dei dati in un database. Con tutte le recenti notizie di hacking, ecc., Mi sembra più bello che i clienti abbiano il controllo completo sui propri dati. Il problema è che i dati memorizzati sono …

33 javascript security

4

MVC / REST dovrebbe restituire un 403 o 404 per risorse appartenenti ad altri utenti?

Quando si lavora con un sito basato su risorse (come un'applicazione MVC o un servizio REST), abbiamo due opzioni principali quando un client tenta di GETaccedere a una risorsa a cui non ha accesso: 403 , che afferma che il cliente non è autorizzato ; o 404 , che indica …

33 web-development web-applications security web-services privacy

6

Aggiornamento dell'hash delle password senza forzare una nuova password per gli utenti esistenti

Gestisci un'applicazione esistente con una base di utenti consolidata. Nel tempo si decide che l'attuale tecnica di hashing della password è obsoleta e deve essere aggiornata. Inoltre, per motivi di UX, non vuoi che gli utenti esistenti siano costretti ad aggiornare la loro password. L'intero aggiornamento dell'hash delle password deve …

32 security language-agnostic passwords

5

Best practice per l'esecuzione di codice non attendibile

Ho un progetto in cui devo consentire agli utenti di eseguire codice Python arbitrario e non attendibile ( un po 'come questo ) contro il mio server. Sono abbastanza nuovo su Python e vorrei evitare di commettere errori che introducano falle nella sicurezza o altre vulnerabilità nel sistema. Ci sono …

31 python security web-services

14

È etico insegnare agli adolescenti i virus del software? [chiuso]

Mi sono offerto volontario per istruire un club informatico dopo scuola nella scuola media di mio figlio. C'è stato molto interesse per i virus informatici. Stavo pensando di mostrare loro come creare un semplice virus di file batch che infetti altri file batch nella stessa directory. Mostra anche come la …

31 security ethics

3

Token Web JSON: perché il payload è pubblico?

Non riesco a capire il ragionamento per rendere pubblicamente visibili le richieste / payload di un JWT dopo averlo decodificato in base64. Perché? Sembra che sarebbe molto più utile averlo crittografato con il segreto. Qualcuno può spiegare perché o in quale situazione è utile mantenere questi dati pubblici?

30 security json authentication jwt

3

Server Web in modalità kernel: un'ottimizzazione intelligente o un incubo di sicurezza?

Stavo leggendo un thread di Hacker News in cui un utente pubblica un link del 2011 che spiega che IIS è molto più veloce della maggior parte degli altri server (* nix). Un altro utente risponde, spiegando che IIS ottiene questo vantaggio avendo un modulo del kernel chiamato HTTP.sys . …

28 security operating-systems iis web-servers apache2

1

Se la specifica è difettosa, dovrebbe comunque essere seguita?

Mi è stato assegnato lo sviluppo di un'integrazione con una delle applicazioni del mio datore di lavoro in un sistema esterno sviluppato dal nostro cliente. Le specifiche del nostro cliente per l'integrazione che presenta alcuni evidenti difetti relativi alla sicurezza. I difetti consentirebbero a un utente non autorizzato l'accesso al …

28 architecture security ethics specifications

5

Convalida dell'input dei dati - Dove? Quanto? [chiuso]

Chiuso . Questa domanda è basata sull'opinione . Al momento non accetta risposte. Vuoi migliorare questa domanda? Aggiorna la domanda in modo che possa essere risolta con fatti e citazioni modificando questo post . Chiuso 6 anni fa . La convalida dell'input dei dati è sempre stata una vera lotta …

28 development-process language-agnostic security data validation

Domande taggate «security»